DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > DDOS防御 > 正文

ddos高防_ddos防_免费试用

06-28 DDOS防御

ddos高防_ddos防_免费试用

关键基础设施注入了专有协议和软件、气隙网络和强健的物理安全系统,这是工业控制系统(ICS)社区中实现"模糊安全"概念的混合体。尽管如此,业务需求最终还是需要信息技术(IT)和ICS架构的融合。尽管这看起来是天作之合,但从IT的角度来看,将可见性和控制设计到一个天生缺乏可见性和控制的系统中是一个挑战,这可能是痛苦的。

然而,IT的"纵深防御"安全方法可能对ICS安全有效。毕竟,这一战略采用了一种全面的方法来保护所有资产,包括人员、技术、运营,以及敌方意识,同时考虑其相互联系和依赖性,以提供基于网络安全风险暴露的有效监控和保护层(图1)。

1.整体方法。纵深防御安全方法采用整体方法,以保护所有资产,同时考虑对其的依赖性根据风险敞口提供有效的监控和保护层。礼节:Kudelski Security

以下重点介绍了使用纵深防御方法保护ICS环境的合理最佳实践(图2)。

2.纵深防御框架。应用程序和数据安全是所有安全工作的中心。礼节:Kudelski Security

政策、程序和培训

有效的ICS安全计划取决于操作人员和管理层是否愿意接受安全作为所有面向计算机的活动的促成因素,以及他们从可接受风险的角度应用控制的能力。

考虑到这一点,组织领导层必须通过培训计划和政策明确定义和传达网络安全角色、责任、绩效期望以及管理者、系统管理员和用户的权限,同时让个人对其绩效负责。这将组织人员无意中披露有关监控和数据采集(SCADA)系统设计、操作或安全控制的敏感信息的可能性降至最低。同样,在处理微妙情况、表彰和奖励员工方面的良好管理实践,关注他们的健康有助于分散潜在的内部威胁。

风险管理

设计有效的ICS安全架构需要一个风险模型,该模型映射这些复杂系统的功能需求,并提供潜在现实世界后果的整体图像。全面的风险分析程序包括识别组织中的所有资产(包括软件、网络元素和人员),ddos攻击防御软件下载,以及风险驱动因素或威胁,如不满的员工、恐怖分子、敌对国家,

建立一个"红队"来识别潜在的攻击场景和评估系统漏洞,有助于检测合理的入侵方法,高防cdn的目标客户,这些方法应被评估为风险,并根据其发生的可能性和对组织的影响进行分类。请注意,高防便宜cdn,可操作的政策和程序以及监控和反馈应成为风险管理计划的一部分。定期审查对于跟上不断变化的威胁形势至关重要。

供应商和供应链管理

组织经常雇用没有统一网络安全政策和做法的承包商和第三方供应商。这在运营链中造成了可利用的弱点。因此,建议it部门以及法律和其他相关部门审查第三方请求,并提供适当的文件。文件应附有定期安排的合规性审查/再验证,所有这些都基于评估的风险,同时仅将知识产权的获取限制在需要知道的基础上。同样,必须为评估新SCADA设备的购买制定严格的指导方针。

事件响应管理

全面的网络事件响应计划应包括主动(预防事件)和反应措施(检测和管理事件)。因此,建议建立一个能够检测ICS网络威胁的24/7事件监测计划。在发现敌方活动时,制定全面的应对计划(如隔离策略和禁用受影响的帐户)也很重要。关键是制定恢复计划,包括建立系统备份(冗余硬件和容错系统)和灾难恢复计划(回退机制)。

审核和评估

审核消除了攻击者可能利用的"阻力最小的路径"。这包括对SCADA设备和网络的技术审计、物理安全调查以及对连接到SCADA网络的所有远程站点的评估。这将确定安全问题,同时保持符合NIST-80053、NERC CIP、法国ANSSI、CIDX/ACC、AGA 12、API、ISA/IEC 62443、CPNI、CPNI、ISO 27001等标准。

符合标准/法规并不能保证持续安全,但它确实在某个时间点提供了所需控件的快照。考虑到影响系统整个生命周期安全性的诸多因素,定期测试和验证对于实现最佳安全性非常重要。

物理安全

物理考虑通常指分层安全措施的环形体系结构,该体系结构限制用户仅执行其职责。一些措施包括验证物理访问,如钥匙卡和生物特征、设施监控(摄像头和运动探测器)、周界防御(围栏和反车辆沟),以及访客护送程序。

网络管理

保护ICS免受现代威胁需要精心规划和实施的战略,以使网络防御团队有机会快速有效地发现、反击和驱逐对手。因此,建议:

记录网络架构并确定关键系统、SCADA网络连接和主机到主机通信路径。评估风险并断开不需要的项目。物理上分开的公司和控制域。确保ICS网络与不受信任的网络隔离,并且仅当存在已定义的业务需求或控制功能时,才允许实时连接到外部网络。在逻辑上划分网络并隔离系统的关键部分。非军事区(DMZ)和数据仓库提供了一个安全的缓冲区,在这里可以共享服务和数据,并确保数据从SCADA网络安全传输到业务网络。通过为公司和控制网络区域要求单独的凭据来部署网络访问控制和管理身份验证(最好是两因素或更多),并将这些凭据存储在单独的信任存储中。切勿在公司和控制网络之间共享活动目录、RSA ACE服务器或其他信任存储。要求任何远程访问由操作员控制并有时间限制。防火墙、虚拟专用网络、回调(用于拨号)、多因素身份验证、用户访问控制和入侵检测可以提供对计算机网络的"安全"远程访问。使用网络监控工具,并通过在所有系统上启用日志来补充这些工具。定期审核系统日志,ddos防御清洗过程,尽快发现可疑活动。采取措施避免"水坑"袭击。使用web域名(DNS)信誉系统。从经过身份验证的供应商站点获取更新。验证下载的真实性。坚持要求供应商通过一个越界通信路径对更新进行数字签名和发布哈希,并要求他们使用这些来进行身份验证。锁定路由器、交换机和网络守护进程上所有未使用的端口、服务。更改所有默认配置和密码。部署欺骗网络以提高尽早发现对手的几率并减轻整体损失。

主机管理

资产库存是确定必要安全控制的准确基线。确定了资产之后,锁定主机上所有未使用的端口和服务,并将权限限制为只需要的那些端口和服务。此外,使用安全密码策略管理身份验证(最好是多因素的),该策略强调长度而不是复杂性,应该是唯一的,并且至少每90天更改一次。通过应用程序动态白名单、内存保护、写保护和读保护等方法加强主机。

在调试前、调试中和调试后,实施变更管理政策和程序,防止不当修改。有一个以安全导入和实施受信任的补丁程序为中心的配置/补丁管理程序。监控主机活动并警告未经授权的更改。

应用程序和数据管理

应用程序和数据是ICS环境的关键元素。避免在ICS应用程序中嵌入硬编码密码。此外,要求供应商披露SCADA系统的任何后门或供应商接口,并期望他们提供能够被保护的系统。

在部署应用程序之前,阿里云cdn能防御cc跟d吗,进行初步评估(静态和动态分析),确保应用程序与主机操作系统的兼容性。仅限目标用户访问应用程序和数据。最后,建议使用加密控制和数据卫生技术来维护所收集数据的完整性和真实性。

3.ICS威胁谱。国家资助的行为者有特别破坏性的动机、能力和手段,但纵深防御安全解决方案对这些威胁尤其有效。礼节:Kudelski Security

没有环境是100%安全的。威胁行为体通过意图、能力和机会,总是试图通过其操作、人员、技术和其他漏洞危害组织的系统,从而对ICS网络构成威胁。实施

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /ddos1/70447.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 9318297访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X