【工业控制系统】深入了解 ICS612:ICS 网络安全:第 1 部分
降落飞机
我认识一家生产工厂的首席执行官,我们就叫他比尔吧,他希望他的关键团队成员真正了解他的运营团队每天为实现生产目标而承受的压力。比尔还希望他的经理和支持人员能够理解“让它发生”和“看着它发生”之间的区别。换句话说,他希望他的团队能够认识到认为自己有技能和知道自己有技能之间的区别,并坚定地理解如果只有“教育知识”而不是“知识结合起来”会有不同的结果有经验。”
比尔做了什么来灌输这一课?他为他的 10 名主要员工购买了一小时的飞行课程。
什么?飞行课?为什么?
首先,正如比尔解释的那样,如果没有背景或先前的经验,指导某人完成一项任务并不容易。如果你期待一个成功的结果,你需要重新设定你的期望,有目的地让他们接触相关的经验,并在他们完成现实世界的场景时指导他们。飞行就是一个很好的例子。看起来很简单,教练有一个精确的飞行控制副本,并坐在学生旁边告诉他或她该做什么。但是,在学生有足够的技能和经验来纠正自己的错误并最终降落飞机之前,教练最终会接管飞行控制并确保他们不会遇到麻烦。
所以比尔基本上用一小时的飞行场景来灌输一个教训,即如果学生缺乏经验,即使是经验丰富的飞行教练也无法指导学生完成降落飞机等复杂场景。从学生的角度来看,他们可能认为他们对飞行控制有足够的了解,他们甚至可能已经练习过连接到计算机模拟的控制轭。但他们很快就会发现,要成功降落飞机,知识必须与相关经验相结合,而且很多情况下不能模拟经验。相关经验是……嗯,相关的。
那么,如何获得相关经验呢?
为了回答这个问题,让我们谈谈什么是“相关”体验。我们必须首先看看工厂或工厂是如何建造和组织的,以创造一种盈利的产品。工厂或工厂由原始设备制造商 (OEM) 设备的集合组成,这些设备经过设计和整合以生产产品或控制最终成为消费品的过程。我们可以使用从生产牙膏到精炼汽油的任何例子。现代世界的这些奇迹确实是令人着迷的艺术作品,每一个都有自己的权利。在过去三年的职业生涯中,我一直对事物的制造方式充满好奇。
直到最近,我们才以网络安全进入我们词汇的方式将机器连接在一起。多年来,控制规则并未发生根本性变化,但连接性的变化迫使我们将网络安全技能添加到我们的工具包中。
在大多数情况下,原始设备制造商已经创建了自己的专业类型的机械或设计了基于在创建特定产品或控制特定过程方面拥有专业知识或经验的解决方案。例如,一个 OEM 可能完全了解如何填充牙膏管或将液体放入瓶中,而另一个 OEM 可能具有加热和混合所有成分以制造牙膏的专业知识。但是每个 OEM 都缺乏做对方做的事情的专业知识或经验。我们还必须了解,虽然 OEM 知道自己的机械设计,但最终客户将获得不同类型的体验,包括学习如何操作、维护和排除设备故障。 OEM 必须在设计设备时考虑到客户的不同但同样重要的观点,同时培养自己团队的技能,以尽可能高效地执行其特定任务。例如,OEM 的培训方案可能会教授诸如如何编码或如何确定控制阀尺寸等技能。另一方面,如果最终用户学习如何调整和调整机器或解决电气问题,他们的培训可能更有意义。
为什么这个故事很重要?它回到了获得相关经验将导致成功的前提。例如,我曾为多家机械 OEM 工作,我在这方面的相关经验是了解如何设计控制系统来控制某些过程。我需要获得的经验是了解控制阀如何响应物理阀的尺寸和响应。这涉及了解控制系统的响应并将正确的控制元件组合在一起,以便操作员可以输入他们想要的设定点,并且物理机械将以可预测和一致的方式响应。
将我的相关经验与操作员的经验进行对比。操作员需要了解如何设置控制设定点的值以及机器如何响应,如何输入和调整这些关键参数,以及如何响应警报条件。例如,如果操作员正在制作烘焙食品,并且要求他们了解甘蔗糖和甜菜糖之间的烹饪和口味差异,他们将需要知道如何调整机械参数,以使产品的味道相同,而无论其类型如何。用的糖。对我来说,作为与 OEM 制造商合作的人,我几乎不知道有不同种类的糖,我当然不知道当你用任何一种甜味剂烘烤时有什么区别。
这些各自的相关经验是不同的,但两者都是取得成功所必需的。我们当然可以理解,并不是所有的经历对每个演员都是平等的或相关的。在 ICS 网络安全培训方面也是如此。与您的培训相关的经验最终取决于您在何种环境中工作以及获得成功所需的技能。
ICS 网络安全深入研究
所以现在让我们谈谈我们希望通过 SANS ICS612:ICS 网络安全深度课程实现的目标和学习经验。所有课程的合著者都认为,我们需要提炼安全从业人员在生产或运营环境中会发现的系统类型,并让学生接触动手实验室,为他们提供操作、维护、监控、故障排除的相关经验,响应、恢复和保护工业领域的共同元素。例如,如果有人问我在我遇到的 90% 的工厂或工厂中发现了哪些共同元素,我会将这些共同元素分类如下:
- 实时嵌入式控制系统,如可编程逻辑控制器 (PLC),可控制某些机器或过程
- 数字和模拟输入/输出子系统
- 基于协议的“智能”传感器和阀门(例如,Ethernet/IP、Highway Addressable Remote Transducer [HART]、DeviceNet、Profibus DP、Profibus PA 等)
- 过程可见性元素,例如电子操作员界面 (EOI)、人机界面 (HMI),有时还有监控和数据采集 (SCADA) 系统
- 过程数据存储,如 Historian 或本地过程趋势数据库
- 网络设备可以是传统的基于以太网的协议和一些实时控制标准,如以太网/IP、Modbus、Profibus 等。
- 安全控制,例如防火墙、监控系统等。
上面的列表是对常见元素的高级分类,虽然不详细,但有助于确定可能需要的培训的主要领域。在您的培训中应考虑这些类别,因为您很可能会在工业环境中遇到这些类型的技术。
当我们开发 ICS612 时,我们决定每个学生都必须通过参与动手实验来获得经验。我们认为这将为学生提供相关经验,并使他们在课程结束时能够自信地发现问题并恢复工厂运营。当然,如果我们希望我们的学生恢复工厂运营,我们需要创建一个工厂。因此,我们创建了一个环境,让学生使用 PLC、网络 I/O、EOI、HMI 服务器、Historian 服务器和其他支持元素(如远程连接技术和工作工业非军事区)构建一个工作咖啡工厂。这使我们能够与学生一起研究每个元素,并最终在一个真正代表由复杂系统组成的系统的“系统系统”模型中。
了解如何对常见工业资产进行编程和操作是 ICS612 的基本必要组成部分,但我们认为如果不通过资产攻击实验室工作,这门课程将是不完整的。在工业生产环境中发现的每项资产都有不同的漏洞,了解如何构建和保护这些关键资产至关重要。动手攻击实验室经过精心设计,可以展示这些资产的优势和劣势。我们认为,工业网络安全课程的正确组合需要学习如何让资产在正常运行条件下工作,通过实验室练习保护资产,并通过攻击实验室发现漏洞。了解如何防守和进攻不仅有趣,而且非常重要。
正如我之前提到的,课程在第五天达到高潮,其中的场景涉及一家倒闭的咖啡厂。每个学生都应该让他或她的工厂部分启动并运行。随着咖啡工厂的一部分得到修复,我们鼓励学生互相帮助,让工厂的一部分得到修复。众所周知,网络安全是一项团队运动(这使得在虚拟环境中的培训更加困难)。一旦我们真正解决了故障模式,真正的故障排除就开始了。学生很快就会明白,在真实设备上工作与模拟环境有很大不同。当电机无法启动、保险丝熔断并且您闻到烟味时,或者由于继电器触点不工作而导致灯指示不正确时,您从解决问题中获得的冒险和信心会建立在计算机模拟之外.我们第五天的学生与第一天的学生有很大不同。他们获得了相关的 ICS 网络安全经验,可以立即在他们的工作环境中使用。我们的目标是提供培训,使从业者能够在现实世界中立即使用他们的 ICS612 课堂培训。 ICS612 校友的反馈始终与我们的目标相呼应,即他们的培训是相关的,让他们在工业运营环境中感到更加自信和有效。
那么比尔的 10 名工作人员的一小时飞行体验是怎么出来的呢?他说,参与者的经历将永远改变他们认为自己知道某事而不是真正知道自己知道某事的观点。问问自己,如果你必须将你的模拟飞行技能放在一架真正的飞机上,你对降落飞机有多大信心?
这一切都表明,知识和正确的经验是任何事情成功的关键。作为旁注,比尔实验的 10 名参与者中的一名后来成为了飞行员、飞机所有者,甚至拥有了自己的跑道!
哦,是的,顺便说一句,我也是一名私人飞行员。
在我的下一篇博客中,我将深入探讨 ICS612 的学习目标:深入 ICS 网络安全,更具体地说,为什么我们选择用“破碎”的咖啡工厂来挑战我们的学生,以加强我们在期间磨练的所有技能我们上课的前四天。
原文:https://www.sans.org/blog/a-look-into-ics612-ics-cybersecurity-in-depth…
本文:
- 37 次浏览