Attenzione, molto testo. Problema molto complicato tl; dr is: noi come nazione non stiamo facendo molto e non abbiamo fatto molto. L'attuale mentalità è "spetta alle aziende risolverlo prima che il GOVT debba essere coinvolto". Le aziende non vogliono pagare, e non sanno cosa fare, e non vedono un "motivatore del mercato" (sì, lo sento letteralmente tutto il tempo, non sto scherzando). L'Europa sta andando molto meglio con la spinta verso i requisiti 62443 per tutti gli ICS.
Sono primario su ICS / Infrastruttura critica per un'azienda che è coinvolta nella certificazione di sicurezza per i dispositivi associati a questo. E ho brutte notizie. non c'è molto che richiede la maggior parte delle infrastrutture per proteggersi. Nerc-CIP è correlato alla rete elettrica, ma non tutto ha requisiti di sicurezza. Il nucleare ne ha, attraverso NEC e IAEA e la loro sovrapposizione con Power Grid. Altrimenti ... non molto.
Ogni anno ci sono interventi alle conferenze sulla sicurezza su come gli "scoiattoli" hanno fatto più danni alla nostra infrastruttura che agli hacker. Detto questo, ricorda che non esistono regole di divulgazione oneste per l'infrastruttura. Non sappiamo davvero quanto siano gli scoiattoli e quanto non lo siano.
Posso dirti questo, come un pen tester ICS di prima mano che ha lavorato con una sfilza di prodotti in questo spazio ... almeno 1/3 dei nuovi prodotti entrano nella porta criticamente vulnerabili (nel mio esperienza e sono generoso), e solo una piccola percentuale in totale è stata chiaramente costruita con un piano di sicurezza completo di "difesa in profondità". La buona notizia è quando abbiamo finito con loro sono molto più sicuri e le aziende con cui abbiamo lavorato stanno sviluppando le migliori pratiche (se necessario).
Inoltre buone notizie, ci sono buone pratiche per proteggere i dispositivi insicuri all'interno di una rete, anche se i dispositivi non sono sicuri, ma non ci sono molti controlli e controlli costanti per questo. In effetti, la mia esperienza è che HIPPA, PCI e SOX hanno tutte regole e responsabilità molto più rigide rispetto alla protezione dei Crit. Infrastruttura. In questo sto includendo anche sistemi di risposta 911, che si sono dimostrati vulnerabili anche.
Ci sono una miriade di esempi degli ultimi 10 anni, che hanno avuto un'impennata negli ultimi 4 anni di attacchi allo stato di nazione su Crit. Infrastrucutre. La rete elettrica ucraina è stata attaccata più volte utilizzando più strumenti, il pensiero è che è un terreno di addestramento per gli hacker russi. Gli Stati Uniti hanno attaccato gli impianti nucleari di Nitanez utilizzando malware personalizzato in un exploit molto famoso nel 2010. Molto altro Troppo per questa risposta.
Per quanto riguarda ciò che viene fatto ... non molto. Le aziende non possono permettersi milioni di dollari di rinnovamento, non ci sono standard universalmente concordati per i moderni protocolli ICS sicuri (sì, la maggior parte dei protocolli di rete ICS sono testo semplice senza verifica dei dispositivi), i team ICS non riescono a trovare professionisti della sicurezza che capiscano ICS perché ci sono -molti pochi. C'è una sfilza di altri problemi ...
E peggiora ... Mi sono letteralmente seduto a pranzo con l'ex capo del DHS. Erano io, lui, altre 2 persone. Era profondamente preoccupato perché la nostra attuale amministrazione sta lasciando enormi buchi di personale e sembra essere completamente non investita in qualsiasi tipo di spinta per risolvere questo problema e garantire la nazione. Sì, è vero che hanno un sacco di conferenze DC per parlarne ... ma nessuno sta facendo i soldi o sta creando una legislazione.
La buona notizia è che in generale sappiamo come proteggere i nostri sistemi e quali sono le principali debolezze a ogni livello dello stack tecnologico (da CWE a Network zoning). ICS-CERT (una branca di US-CERT, il team americano di risposta alle emergenze per cyber) ha un grande articolo su di esso. Insieme a NIST, IEC 62443 e un'infarinatura di altri. Un buon punto di partenza per chiunque in ICS che ora è interessato. Ricerca Google questo sono ci sono più, trovare quello più adatto alle proprie esigenze:
[google] filetype: pdf best practice ics-cert