當地時間3月16日，美國國家標準與技術研究所（NIST）的國家網絡安全卓越中心 （NCCoE）與NIST 的工程實驗室（EL）和網絡安全技術提供商合作推出了一份文件，以解決制造業面臨的網絡安全挑戰。該文檔提供了以數據為驅動的見解，并基于對幾個基本制造系統測試平臺的實驗室測試分析。NIST聯合MITRE以及Microsoft、Dispel、Forescout、Dragos、OSIsoft、TDi Technologies、GreenTec、Tenable和VMware共同合作，制定了題為《NIST 特別出版物 （SP） 1800-10，保護工業控制系統環境中的信息和系統完整性》的指南。該文件就制造商如何加強運營技術（OT）系統以降低ICS完整性風險并保護這些系統處理的數據提供經過審查的信息和指導。這份369頁的指南文檔分為三大部分，以適用于不同的網絡安全角色。文檔的實用性在于其描述了常見的攻擊場景，并提供了制造商可以實施的實用解決方案示例，以保護ICS免受破壞性惡意軟件、內部威脅、未經授權的軟件、未經授權的遠程訪問、異常網絡流量、歷史數據丟失和未經授權的系統修改。

　　NCCoE在文件中表示，該提案構建了示例解決方案，制造組織可以使用這些解決方案來減輕ICS（工業控制系統）完整性風險，加強OT系統的網絡安全，并保護這些系統處理的數據。它還將幫助組織開發和實施示例解決方案，展示制造組織如何保護其數據的完整性，使其免受依賴ICS的制造環境中的破壞性惡意軟件、內部威脅和未經授權的軟件的影響。

　　指南共分為三個部分。

　　第一部分，A 卷，是執行摘要，概述了主要痛點和業務理由，說明為什么組織需要采取下一步措施以使制造業網絡安全成熟。對于那些需要更廣泛地對待挑戰的最高級別的人來說，這是理想的選擇。后續部分在本質上逐漸變得更加技術化。

　　B卷是方法、架構和安全特性部分。它主要是為項目經理和中層管理決策者編寫的，他們考慮使用哪些技術來解決他們的OT驅動的制造設施將面臨的問題。指南的這一部分討論了類別、不同方法的權衡以及各種風險考慮。

　　C卷介紹了操作指南。這是向在現場部署安全工具的技術人員提供真正的具體細節的地方，其中包含有關如何導航系統或平臺以及這些不同技術組合在一起的大量信息。最后一部分對于那些參與解決方案部署過程的人來說至關重要。它通過提供具體的技術實施細節，全面了解他們如何從投資中獲得最大價值。

　　NCCoE指南適用于負責ICS網絡安全的個人或實體，以及有興趣了解OT的信息和系統完整性能力的人員。它還分析了如何實現架構，并深入探討了在ICS環境中保護信息和系統完整性所涉及的安全功能。這些功能是使用商業上可用的第三方和開源解決方案實現的，這些解決方案提供應用程序許可、行為異常檢測 （BAD）、文件完整性檢查、用戶身份驗證和授權以及遠程訪問。

　　制造業對國家的經濟福祉至關重要，并且一直在尋找實現系統現代化、提高生產力和效率的方法。因此，制造商正在對其OT系統進行現代化改造，以實現這些目標，使它們與其他IT系統更加互聯和集成，并引入自動化方法來加強其整體OT 資產管理能力。

　　隨著OT和IT系統變得越來越相互關聯，制造商已成為更廣泛和更復雜的網絡安全攻擊的重要目標，這些攻擊可能會破壞這些流程并導致設備損壞和/或工人受傷。此外，這些事件可能會顯著影響生產力并提高運營成本，具體取決于網絡攻擊的程度。

　　IT和OT網絡的集成有助于制造商提高生產力和效率，因為它還為黑客（包括民族國家、普通犯罪分子和內部威脅）提供了一個肥沃的環境，他們可以利用網絡安全漏洞并破壞ICS和ICS數據的完整性達到他們的最終目標。這些攻擊背后的動機可能從降低制造能力到經濟利益和造成聲譽損害。一旦黑客獲得訪問權限，他們就可以通過破壞數據或系統完整性、索取ICS和/或OT系統贖金、損壞ICS機器或對工人造成人身傷害來損害組織。

　　指南涵蓋的攻擊場景包括保護主機免受通過遠程訪問連接傳遞的惡意軟件、保護主機免受未經授權的應用程序安裝、防止未經授權的設備被添加到網絡、檢測設備之間的未經授權的通信、檢測對PLC邏輯的未經授權的修改、防止歷史數據修改、檢測傳感器數據操縱和檢測未經授權的固件更改。

　　指南稱，參與該項目的合作者貢獻了他們的能力，以響應《聯邦公報》中關于學術界和行業供應商和集成商的所有相關安全能力來源的公開呼吁。那些具有相關能力或產品組件的受訪者簽署了合作研發協議 （CRADA），與NIST在一個聯盟中合作構建示例解決方案。

　　NCCoE文檔中介紹的體系結構和解決方案，建立在基于標準的商用產品之上，并代表了一些可能的解決方案。這些解決方案實現了標準的網絡安全功能，例如 BAD、應用程序白名單、文件完整性檢查、變更控制管理以及用戶身份驗證和授權。研究團隊構建了測試臺以模擬真實的制造環境。這些場景側重于由MITRE ATT&CK（r） for ICS數據驅動的已知網絡挑戰。所有相關方都為兩個不同實驗室設置的設計和可能的測試做出了貢獻：代表裝配線生產的離散制造工作單元和代表化學制造行業的連續過程控制系統。 設計了四種不同的架構圖，下圖就是第4個架構示意。

　　指南稱，有興趣保護制造系統完整性和信息免受破壞性惡意軟件、內部威脅和未經授權的軟件影響的組織應首先進行風險評估，并確定減輕這些風險所需的適當安全能力。一旦確定了安全功能，就可以使用本文檔中提供的示例架構和解決方案。它補充說，示例解決方案的安全功能映射到NIST的網絡安全框架、國家網絡安全教育框架倡議和NIST特別出版物800-53。

　　項目合作者包括Dispel提供具有身份驗證和授權支持的安全遠程訪問，Dragos提供網絡和資產監控以檢測行為異常以及對硬件、固件和軟件功能的修改，Forescout提供網絡和資產監控以檢測行為異常和對硬件的修改，固件和軟件功能，以及GreenTec提供安全的本地數據存儲。

　　其他合作者包括Microsoft，提供了網絡和資產監控以檢測行為異常以及對硬件、固件和軟件功能的修改。OSIsoft提供了實時數據管理軟件，可以檢測行為異常以及對硬件、固件和軟件功能的修改。TDi Technologies提供了一個訪問控制平臺，可保護連接并為授權用戶和設備提供企業系統的控制機制，并監控活動直至擊鍵。

　　該項目還包括Tenable提供網絡和資產監控以檢測行為異常和對硬件、固件和軟件功能的修改，而VMware提供基于主機的應用程序許可名單和文件完整性監控。

　　NCCoE表示，雖然它使用了一套商業產品來應對這一挑戰，但該指南并不認可這些特定產品或保證遵守任何監管舉措。

　　合作企業Dragos高級業務開發經理Josh Carlson在公司博客文章中寫道：“我們相信它為制造業社區提供了易于理解的指導，以改善網絡安全狀況，無論他們處于旅程的哪個階段。” “就像永遠不會有靈丹妙藥或單一方法來實現適合您的體型的 BMI，制造公司有很多方法來完成他們認為適合其業務的網絡風險態勢。本指南旨在涵蓋其中的許多方法，并提出一些值得思考的問題，以制定適用于每個組織的量身定制的網絡安全計劃，”他補充說。

　　該文件位于NCCoE本月早些時候發布的“項目描述”的后面，以幫助制造商應對行業內的網絡攻擊并從中恢復。NCCoE項目呼吁組織在公眾意見征詢期間審查出版物草案，并在4月14日之前提供反饋。

　　NCCoE還與感興趣的利益相關者合作，以確定響應和從網絡攻擊中恢復：制造業網絡安全項目所需的工作范圍、用例以及硬件和軟件組件。即為制造商制定另一份網絡安全指南。該出版物目前是處于公眾意見征詢期的草稿，公眾意見征詢期現已開放至4月28日。