信息安全在当下社会的重要性不言而喻,尤其在数据安全领域,IT技术的应用越来越多地涉及到企业的重要资产。随着技术的不断发展,数据安全的挑战也在日益增加,尤其是在对工业控制系统(ICS)进行渗透测试时,安全专家面临众多挑战。
对生产环境下的ICS网络进行渗透测试存在重大的风险,可能危及到生产过程的安全性和可靠性。为了减少风险,建议不要对生产环境的ICS网络进行渗透测试,而应该在生产环境以外测试网络的连接性,例如企业的边界和远程访问连接。在部署小型解决方案之前进行测试,以及在安全验收测试(SAT)期间或之前针对风险承受能力测试ICS网络。
招聘和培训经验丰富的ICS渗透测试人员是一大挑战。尽管新员工和咨询公司的可用性正在不断提高,但是仍需通过如SANSHostedClass: Assessing and Exploiting Control Systems课程来提升公司经验。对每个系统/网络进行测试时,需要建立经验,并在最初几次测试中投入大量的人力。
第三个挑战是选择合适的工具来进行ICS特定组件和协议的渗透测试。这需要使用大量的脚本来包裹工程工具,如果能获取这些工具的话。或者,将IT渗透测试工具泛用化,在ICS环境中使用或者为ICS添加特定功能。在GitHub和Google搜索中随机尝试遇到的工具,这种方式被称为“俄罗斯轮盘”,由于作者未知且不可信,其代码难以审计,使用这些工具存在很高的风险。
现有ICST工具解决方案的局限性显而易见。使用图形宏工具来控制图形应用程序,往往缺乏进行适当渗透测试所需的功能,而且几乎总是限制在Windows环境下使用。泛用化或扩展IT渗透测试工具的做法因过于关注网络(尤其是TCP/IP),而忽视了其他众多攻击向量。此外,这些工具通常没有维护非Web界面、串行接口和专有接口的测试功能,扩展工具也需要大量的时间和经验。
因此,渗透测试工具需要具备一些关键特性,例如灵活的界面,支持命令行(远程)和图形化使用。需要有能力导出和导入项目以供责任追溯和团队协作。
在进行信息安全研究和企业安全部署时,确保业务安全也是一项重要工作。自动化技术的引入不仅可以提高安全性,还可以优化安全运营效率。例如,通过自动化工具来管理网络扫描、建立隧道和模拟攻击,可以帮助安全团队更好地理解系统漏洞和潜在的攻击途径,从而采取更为有效的防御措施。
在安全体系的构建方面,需要考虑业务安全的整体需求,包括安全政策的制定、风险管理、安全监控、事故响应计划等。安全运营中心(SOC)可以对各种安全事件进行实时监控,通过情报分析,快速响应潜在的威胁和事故。
安全管理是确保整个信息安全体系有效运转的关键,涉及人员培训、流程建立、技术部署等多个方面。定期进行安全演练和渗透测试,不断评估和改进安全策略,才能持续提升企业的信息安全水平。
