Dragos:工业控制系统安全阅读清单
- 2019 年 10 月 4 日
- 笔记
本文为国外工控安全咨询公司Dragos发布的关于工业控制系统安全能够进行网络自学习的一些清单和资源。
第1单元:工业系统和网络简介
https://ics.sans.org/media/An-Abbreviated-History-of-Automation-and-ICS-Cybersecurity.pdf
简述了自动化和控制系统的发展以及工控安全的简要历史。通过该文可帮助我们了解自动化和控制系统的发展历史,并且明白工控安全现有的天然缺陷产生的必然历史。
Dragos公司拥有一个为期5天的ICS培训课程,其中部分课程材料涉及到本书的内容,这本书主要讲述工控安全方面的治理、风险管理和合规性控制。
https://www.sans.org/reading-room/whitepapers/ICS/paper/36327
本文提供了有关正确认识和划分ICS网络及体系架构的更多背景信息。它从普渡参考模型开始对工控体系架构进行概述,并通过远程访问等关键概念的实际实现进行扩展,最终描述工控领域的网络及体系架构信息。
罗克韦尔自动化领域的PLC编程书籍。通过该书籍可深入了解罗克韦尔的PLC控制器以及梯形图逻辑编程。类似的书籍中文版本很多,可以参考和借鉴的也很多。
这本书内容深入了解PLC:理论,硬件,指令,编程,安装,启动和故障排除。
这本书是P&ID所有东西的综合资源。
这段17分钟的视频概述了石油精炼过程。
这个56分钟的视频概述了电力传输和发电。
这段6分钟的视频介绍了废水处理过程。
https://www.youtube.com/watch?v=OIPICAcrN34
这个11分钟的视频是大量自动化和过程控制驱动的制造过程的一个很好的例子。
电力系统基础:非电专业也可很容易明白。
第2单元:评估工业环境
https://www.sans.org/reading-room/whitepapers/ICS/paper/36297
ICS杀戮链,国内有人翻译了中文版。
工业控制系统渗透测试方面目前最好的书籍,有中文版。
https://www.ccn-cert.cni.es/publico/InfraestructurasCriticaspublico/CPNI-Guia-SCI.pdf
评估ICS最佳实践的概述。
https://www.first.org/cvss/cvss-v30-specification-v1.8.pdf
描述了常见漏洞评分系统CVSSv3.0框架,该框架提供了一种向利益相关者传达优先级风险的结构化方法。框架并不完美,但可为渗透测试和评估提供很好的参考价值。
https://resources.sei.cmu.edu/asset_files/WhitePaper/2017_019_001_509275.pdf
本文提供了一种可重复的宏观级方法,用于使用名为TROMMEL和其他的开源工具评估嵌入式设备的安全性。
注意:使用以下存储库中的工具需要您自担风险,仅在非生产环境中使用。
https://github.com/ITI/ICS-Security-Tools
这个存储库存储大量工具,包括数据包捕获,脚本和各种ICS安全相关主题的指南。
https://github.com/w3h/icsmaster
ICS上的另一个实体存储库。
该书提供了一个易于理解的描述,让我们清楚威胁计算机系统的都有那些类型的攻击,以及攻击如何实际运作以及它们对计算机网络造成的风险。并提供了基本的方法来防御这些威胁和攻击。
第3单元:ICS狩猎的工具、策略和技术
经典的安全防御书籍。
网络安全监控的经典书籍,讨论了可用于入侵分析的不同数据类型。
卡尼曼的书解释了思维科学并打破了认知偏见。
“OODA循环”的最佳建议。
https://hbr.org/1977/09/double-loop-learning-in-organizations
我们谈论狩猎以及它如何影响安全组织的学习方式。我们使用这个来自20世纪70年代的原始文章/研究来说明这个概念。
我们在整个课程中提供了很多故事/历史用例。如果从历史中寻找和提升学习兴趣,那么Jason的书应该是必读的。
https://www.sans.org/reading-room/whitepapers/threats/paper/37172
创造成功威胁狩猎的假设#paper #blueteam
我们谈论假设生成作为狩猎的基石,并在讨论中引用Rob和Dave的白皮书。
https://www.sans.org/reading-room/whitepapers/threathunting/paper/38515
Dan(Dragos分析师之一)在今年早些时候的SANS白皮书中提炼了许多概念。我们在课程中并未直接引用他的白皮书,但我们的课程材料与Dan的白皮书之间存在直接的思路。如果您正在寻找在课堂上扩展我们的狩猎概念,那么本文应该在您的列表中占据重要位置。
https://dragos.com/blog/mimics/
我们参考了Dragos在2017年进行的MIMICS研究,作为使用外部工具进行狩猎的一种形式,并解释了其中的一些发现。本白皮书概述了该研究。
我们将Aurora测试作为一个特定领域的假设(参见上面的成功威胁狩猎的生成假设白皮书)。这是来自爱达荷国家实验室的测试原始视频。
第4单元:ICS监测和安全操作
我们讨论并引用Dragosintel团队在整个课程中跟踪的活动(使用原始Diamond Model(钻石模型)白皮书中列出的方法)。
https://dragos.com/media/Dragos-Insights-into-Building-an-ICS-Security-Operations-Center.pdf
Dragos在经过多次讨论后撰写了关于组建ICS-SOC的白皮书。在建立安全运营中心时,我们会参考这一点。
https://www.epri.com/#/pages/product/000000003002000374/?lang=en-US
EPRI成员也可以获得有关综合SOC的指导。但是这份文档不公开。
https://www.dragos.com/media/Industrial-Control-Threat-Intelligence-Whitepaper.pdf
塞尔吉奥写了一篇关于如何为工业运营量身定制的情报计划能够影响更好决策的初级读本。我们在审核智能产品时讨论这个问题。
https://www.dragos.com/media/The_Four_Types%20of_Threat_Detection.pdf
在模块4中,我们使用了Dragos平台。要了解我们在平台威胁检测方面的方法,本白皮书将提供深刻见解。
当我们谈论Playbook 如何在Dragos平台中工作时,我经常会回顾这本书及其中的经验教训。如果您对编写自己的剧本感到好奇,我推荐这本书。
https://www.sans.org/reading-room/whitepapers/ICS/paper/36297
我们在课堂上讨论了相当多的入侵。我们使用ICS 杀戮链作为模型来帮助描述这些入侵。
在模块3和4中,多次提到Windows注册表组件对于理解计算机上发生的事情的重要性.Carvey 的书提供了对于安全调查可能感兴趣的各种注册表项,以及如何理解它们的值参考概述。
在我们对整个课程的系统感染和命令与控制的高级概述之后,还有更多关于恶意软件的技术问题。“实用恶意软件分析”提供了一个全面的,自定进度的恶意软件功能和隐藏方法–包括逆向工程的基础知识。
ICS系统通常依赖于旧的Windows操作系统配置来实现关键功能,因此有关Windows如何工作的详细参考资源是一个很好的资源。Mark Russinovich是Windows最重要的专家,多年来一直在发布Windows Internals(windows技术内幕,有中文版,第6版只有上册)参考书。
