最安全操作人我在电力公用事业和有很好的处理自己的SCADA环境中的安全漏洞。他们的问题是说服他们的管理充分基金补救。
这里只是几个SCADA安全相关问题我们发现多年来,可能感兴趣的那些控制钱袋。我会提到他们的顺序NERC CIP合规标准。
CIP 002 - 1关键网络资产鉴定
没有中央列表相关的关键SCADA软件;没有更新的SCADA网络图或SCADA服务器配置列表。
CIP 003 - 1安全管理控制和CIP 007 - 1系统安全管理
苗条没有明确书面政策:SCADA操作,为企业IT操作,或最终用户可接受的使用。没有结构化的常规SCADA之间的通信过程和执行委员会。我从没见过一个良好的IT安全治理过程。没有访问权限的网络访问生命周期过程:前雇员、顾问、承包商、供应商、访客。
CIP 004 - 1人员和培训
没有预算安全培训SCADA操作或最终用户。没有安全意识计划或预算。没有奖励系统员工报告可疑或异常活动可能影响安全。
CIP 005 - 1电子安全周长(s)
直接,不受限制的互联网接入的网络节点分结内框位于字段。没有进行定期的自我发起内部或外部脆弱性评估。没有逻辑和物理网络图的关键元素或部分网络。没有实现补丁/修订包括结构化的过程;测试更新之前实现,测试,确保所有预定更新实施成功,日志的更新不足或流程回滚到前一个稳定的状态。没有相关的漏洞评估当前补丁/修订的水平。没有最近的防火墙规则来检查评估不一致。SCADA网段依赖企业SCADA安全防火墙。没有id或调整不当id。没有正在进行的事件日志审查; no correlation of event logs with firewall rules / IDS rules / vulnerability assessments / anti-virus or anti-spam filters.
CIP 006 - 1关键网络的物理安全
资产担保分线盒领域;没有物理安全警报接线箱或远程站(出席会议并无人值守)领域;周边无担保的门在SCADA操作。没有游客伴奏或挑战的政策。
CIP 008 - 1事故报告和响应计划和CIP 009 - 1复苏计划关键的网络资产
没有事故报告计划,任何形式的文档,或培训;没有定义一个事件是什么样子。未经检验或过时的组成;没有BCP。特别的复苏计划基于知识存储在它的头上;很难有一个复苏计划对关键资产当没有列表的关键资产。没有更新,集中存储的紧急联系人列表:员工、供应商、承包商、紧急服务;没有紧急升级计划。
这是谁的责任?
在我看来我们当然不能怪它的人。他们知道的安全问题。我们尤其不能责怪SCADA安全组在最不发达国家NERC CIP不授权LDC合规。所以责任和责任必须由高级主管们治理安全责任,谁需要创建适当的IT安全预算允许其SCADA IT安全员工做他们的工作。
有一个安全的一周。CISM罗恩通过CISSP,概述个人状况www.ere-security.ca