TRITON®声波风廓线仪对ICS安全未来的影响Darktrace Industrial技术总监Andrew Tsonchev，北京大数据公司有哪些，1月22日星期一，2018年最近针对一个关键基础设施组织的TRITON®声波风廓线仪恶意软件攻击试图修改和操纵工业安全系统，意图造成潜在的灾难性物理损害。ICS系统在物理环境和数字环境之间建立了一个接口，这意味着未经处理的故障的后果可能是致命的。TRITON®声波风廓线仪运动可分为两个概念阶段。首先，攻击者设法远程访问连接到SIS（安全仪表系统）网络的工程工作站，之后他们部署了一个伪装成关键控制和系统安全供应商生产的合法应用程序的程序。模仿这一合法应用的框架并不容易获得，因此有理由相信TRITON®声波风廓线仪是建立资金充足、能力强大的参与者，其意图可能超出了微小的货币收益。攻击者成功地颠覆了传统的网络防御。一旦他们建立了这个立足点，他们选择深入网络并进行详细的侦察——这是攻击的第二阶段。值得庆幸的是，他们意外地触发了部分系统故障，内部安全团队对此进行了调查和修复。由于没有达到他们的最终目标，攻击者很可能会评估他们哪里出了问题，这样下次他们就不会在这么晚的阶段暴露自己。他们也可能在考虑这一侦察步骤是否值得，因为很明显，他们能够在没有任何进一步机会被抓获的情况下，数据分析和大数据，从该地点进行重大破坏。他们成功地渗透了网络，因为他们没有被发现，他们目前的工具和方法意味着，他们几乎肯定会利用他们来对付其他组织。TRITON®声波风廓线仪应被视为ICS安全的一个重要先例。这起事件表明，传统的非军事区、严重的网络隔离和多重防火墙显然不足以保护构成ICS网络的基本上毫无防备的机器。那么基础设施提供商应该如何根据TRITON®声波风廓线仪攻击调整其安全姿态？关于第二阶段，异常检测是查明控制系统内异常活动的明确解决方案，云服务器比较，突出意外的重新编程或侦察，以引起安全小组的注意。在诸如HMI和PLC这样的ICS设备之间进行的典型可预测通信直观地为这种方法提供了肥沃的土壤。监管机构已经注意到了这一点，例如在英国，即将出台的国家信息系统指令（NIS）法规要求关键基础设施提供商对其相关网络进行异常检测。然而，防御者不希望他们第一次抓住攻击者的机会是在他们已经到达控制系统并利用自动化协议和利用固有的易受攻击的设备时。他们希望在攻击者向这些网络靠近时，对网络杀戮链的早期部分发出警报，并在那里进行补救。这只能通过将异常和网络威胁检测从控制系统向外扩展，企业交流软件，通过其他网络（非军事区、公司）来实现，这些网络可以在其周围形成防御缓冲区。这就是为什么Darktrace的工业免疫系统被设计成同时监控所有这些网络，包括从PLC到OT控制室中几乎标准的IT系统的所有设备类型，一直到组织可能的可见性边缘，甚至在需要时进入云端。对于那些负责保护控制系统的人来说，仅仅监视自动化协议或包含的网络是不够的他们。安德鲁TsonchevAndrew是网络安全技术专家，为Darktrace的战略客户提供先进的威胁防御、人工智能和自主响应方面的建议。他拥有威胁分析和研究背景，拥有牛津大学一流的物理学学位和伦敦国王学院的一流哲学学位。他对网络安全和国家重要基础设施受到威胁的评论已经在包括CNBC和BBC在内的国际媒体上报道世界。分享在LinkedIn上的FacebookTweetShare发送电子邮件

，淘客返利系统