Dragos:工業控制系統安全閱讀清單
- 2019 年 10 月 4 日
- 筆記
本文為國外工控安全諮詢公司Dragos發佈的關於工業控制系統安全能夠進行網絡自學習的一些清單和資源。
第1單元:工業系統和網絡簡介
https://ics.sans.org/media/An-Abbreviated-History-of-Automation-and-ICS-Cybersecurity.pdf
簡述了自動化和控制系統的發展以及工控安全的簡要歷史。通過該文可幫助我們了解自動化和控制系統的發展歷史,並且明白工控安全現有的天然缺陷產生的必然歷史。
Dragos公司擁有一個為期5天的ICS培訓課程,其中部分課程材料涉及到本書的內容,這本書主要講述工控安全方面的治理、風險管理和合規性控制。
https://www.sans.org/reading-room/whitepapers/ICS/paper/36327
本文提供了有關正確認識和劃分ICS網絡及體系架構的更多背景信息。它從普渡參考模型開始對工控體系架構進行概述,並通過遠程訪問等關鍵概念的實際實現進行擴展,最終描述工控領域的網絡及體系架構信息。
羅克韋爾自動化領域的PLC編程書籍。通過該書籍可深入了解羅克韋爾的PLC控制器以及梯形圖邏輯編程。類似的書籍中文版本很多,可以參考和借鑒的也很多。
這本書內容深入了解PLC:理論,硬件,指令,編程,安裝,啟動和故障排除。
這本書是P&ID所有東西的綜合資源。
這段17分鐘的視頻概述了石油精鍊過程。
這個56分鐘的視頻概述了電力傳輸和發電。
這段6分鐘的視頻介紹了廢水處理過程。
https://www.youtube.com/watch?v=OIPICAcrN34
這個11分鐘的視頻是大量自動化和過程控制驅動的製造過程的一個很好的例子。
電力系統基礎:非電專業也可很容易明白。
第2單元:評估工業環境
https://www.sans.org/reading-room/whitepapers/ICS/paper/36297
ICS殺戮鏈,國內有人翻譯了中文版。
工業控制系統滲透測試方面目前最好的書籍,有中文版。
https://www.ccn-cert.cni.es/publico/InfraestructurasCriticaspublico/CPNI-Guia-SCI.pdf
評估ICS最佳實踐的概述。
https://www.first.org/cvss/cvss-v30-specification-v1.8.pdf
描述了常見漏洞評分系統CVSSv3.0框架,該框架提供了一種向利益相關者傳達優先級風險的結構化方法。框架並不完美,但可為滲透測試和評估提供很好的參考價值。
https://resources.sei.cmu.edu/asset_files/WhitePaper/2017_019_001_509275.pdf
本文提供了一種可重複的宏觀級方法,用於使用名為TROMMEL和其他的開源工具評估嵌入式設備的安全性。
注意:使用以下存儲庫中的工具需要您自擔風險,僅在非生產環境中使用。
https://github.com/ITI/ICS-Security-Tools
這個存儲庫存儲大量工具,包括數據包捕獲,腳本和各種ICS安全相關主題的指南。
https://github.com/w3h/icsmaster
ICS上的另一個實體存儲庫。
該書提供了一個易於理解的描述,讓我們清楚威脅計算機系統的都有那些類型的攻擊,以及攻擊如何實際運作以及它們對計算機網絡造成的風險。並提供了基本的方法來防禦這些威脅和攻擊。
第3單元:ICS狩獵的工具、策略和技術
經典的安全防禦書籍。
網絡安全監控的經典書籍,討論了可用於入侵分析的不同數據類型。
卡尼曼的書解釋了思維科學並打破了認知偏見。
「OODA循環」的最佳建議。
https://hbr.org/1977/09/double-loop-learning-in-organizations
我們談論狩獵以及它如何影響安全組織的學習方式。我們使用這個來自20世紀70年代的原始文章/研究來說明這個概念。
我們在整個課程中提供了很多故事/歷史用例。如果從歷史中尋找和提升學習興趣,那麼Jason的書應該是必讀的。
https://www.sans.org/reading-room/whitepapers/threats/paper/37172
創造成功威脅狩獵的假設#paper #blueteam
我們談論假設生成作為狩獵的基石,並在討論中引用Rob和Dave的白皮書。
https://www.sans.org/reading-room/whitepapers/threathunting/paper/38515
Dan(Dragos分析師之一)在今年早些時候的SANS白皮書中提煉了許多概念。我們在課程中並未直接引用他的白皮書,但我們的課程材料與Dan的白皮書之間存在直接的思路。如果您正在尋找在課堂上擴展我們的狩獵概念,那麼本文應該在您的列表中佔據重要位置。
https://dragos.com/blog/mimics/
我們參考了Dragos在2017年進行的MIMICS研究,作為使用外部工具進行狩獵的一種形式,並解釋了其中的一些發現。本白皮書概述了該研究。
我們將Aurora測試作為一個特定領域的假設(參見上面的成功威脅狩獵的生成假設白皮書)。這是來自愛達荷國家實驗室的測試原始視頻。
第4單元:ICS監測和安全操作
我們討論並引用Dragosintel團隊在整個課程中跟蹤的活動(使用原始Diamond Model(鑽石模型)白皮書中列出的方法)。
https://dragos.com/media/Dragos-Insights-into-Building-an-ICS-Security-Operations-Center.pdf
Dragos在經過多次討論後撰寫了關於組建ICS-SOC的白皮書。在建立安全運營中心時,我們會參考這一點。
https://www.epri.com/#/pages/product/000000003002000374/?lang=en-US
EPRI成員也可以獲得有關綜合SOC的指導。但是這份文檔不公開。
https://www.dragos.com/media/Industrial-Control-Threat-Intelligence-Whitepaper.pdf
塞爾吉奧寫了一篇關於如何為工業運營量身定製的情報計劃能夠影響更好決策的初級讀本。我們在審核智能產品時討論這個問題。
https://www.dragos.com/media/The_Four_Types%20of_Threat_Detection.pdf
在模塊4中,我們使用了Dragos平台。要了解我們在平台威脅檢測方面的方法,本白皮書將提供深刻見解。
當我們談論Playbook 如何在Dragos平台中工作時,我經常會回顧這本書及其中的經驗教訓。如果您對編寫自己的劇本感到好奇,我推薦這本書。
https://www.sans.org/reading-room/whitepapers/ICS/paper/36297
我們在課堂上討論了相當多的入侵。我們使用ICS 殺戮鏈作為模型來幫助描述這些入侵。
在模塊3和4中,多次提到Windows註冊表組件對於理解計算機上發生的事情的重要性.Carvey 的書提供了對於安全調查可能感興趣的各種註冊表項,以及如何理解它們的值參考概述。
在我們對整個課程的系統感染和命令與控制的高級概述之後,還有更多關於惡意軟件的技術問題。「實用惡意軟件分析」提供了一個全面的,自定進度的惡意軟件功能和隱藏方法–包括逆向工程的基礎知識。
ICS系統通常依賴於舊的Windows操作系統配置來實現關鍵功能,因此有關Windows如何工作的詳細參考資源是一個很好的資源。Mark Russinovich是Windows最重要的專家,多年來一直在發佈Windows Internals(windows技術內幕,有中文版,第6版只有上冊)參考書。
