一年前,我们为影响工业和关键基础设施的网络事件引入了自己的响应中心:卡巴斯基实验室ICS CERT。我们决定,在成功运营一年之后,现在是对为何需要该中心,需要做什么以及它与其他中心有何不同的详细说明的最佳时机。

为什么选择卡巴斯基实验室ICS CERT?

ICS CERT的主要任务是协调工业控制系统(ICS)的制造商,工业设施的所有者和运营商以及信息安全研究人员的活动。尽管我们中心很年轻,但它已经与ICS市场中的主要参与者,区域协调中心(例如,美国的US ICS-CERT和日本的JPCERT / CC)以及国际和州监管机构建立了成功的合作关系。

卡巴斯基实验室ICS CERT与其他中心有何不同?

首先,工业网络安全领域中的所有其他计算机紧急响应小组(CERT)都是国家机构或ICS制造商的部门。前者受到本州(主要是领土)利益的限制,而后者则专注于解决仅与本国产品有关的问题。没有此类限制适用于我们。

其次,其他CERT运营通常不太可能进行自己的漏洞研究和对威胁态势的深入分析。他们的工作集中在处理有关从第三方(例如,第三方研究人员和ICS制造商)接收到的威胁的信息。我们的处境并非如此:作为全球领先的信息安全供应商的一个部门,我们拥有资源,技术和专业知识,可以独立地搜索漏洞并检测威胁。最重要的是,我们有经验。毕竟,卡巴斯基实验室领导反网络威胁的斗争已经有二十多年了,现在几年来一直特别关注工业威胁。

我们处理来自全球来源的当前和潜在威胁的大数据,并使用机器学习工具和算法进行分析。我们的专家团队会微调结果。因此,我们的ICS CERT可以识别专门针对工业控制系统的威胁。

卡巴斯基实验室ICS CERT到底做什么?

我们的CERT在多个领域运作,涵盖了广泛的任务。它的主要功能是与社区共享专业知识,向合作伙伴展示技术能力,并向ICS安全专业人员,工程师和操作员推广该项目。

搜索工业系统内部的漏洞。 我们的专家不断研究各种工业控制系统和工业物联网(IIoT)设备,评估其安全级别,并发现新的漏洞。在过去的一年中,我们检测到了100多个零日漏洞,并通知了系统制造商。由于我们的努力,到今年10月,我们发现了54个漏洞,这些漏洞已由制造商修补,从而使整个世界变得更加安全。

美国ICS-CERT在其研究中指出了我们发现漏洞的研究和工作结果。 年度报告。最近,MITRE承认我们公司是漏洞领域的权威(CVE编号机构,或CNA)。结果,卡巴斯基实验室以安全研究员的身份加入了CNA名单。我们已成为世界上拥有这一地位的第六家组织。

识别和分析威胁,使行业保持知情。 我们识别并分析对工业公司的攻击(既有针对性的攻击也有广泛的攻击,它们会偶然影响ICS系统),调查SCADA系统的感染源,并搜索针对工业系统的恶意软件。并且,我们会向用户和合作伙伴发出有关检测到的威胁的警告。我们的 CERT网站 已经发布了两个有关ICS威胁态势的半年度报告,并且定期发布有关已识别威胁的警告和 报告检测到的攻击 在工业公司上。

调查事件。 在调查工业企业的网络事件时,我们会找出原因,检查攻击者使用的工具和技术,协助进行补救,并帮助防止发生新的事件。在过去的一年中,我们为全球各个行业(冶金,石化,建材)的企业提供了帮助。

评估工业系统的保护级别。 我们的CERT专长于评估工业控制系统的保护级别。此外,我们开发了工具,使公司可以针对特定漏洞独立测试其系统。在不久的将来,我们计划增加此类工具的数量。

与行业和国家监管机构合作。 我们的专家是为国家和行业监管机构制定框架要求过程的一部分,以确保工业设施的信息安全。在过去的一年中,我们与IIC,IEEE,ITU和OPC基金会进行了富有成效的合作-他们制定的标准和技术在很大程度上受到我们专家的影响。

教育。  我们的CERT为ICS操作员和工程师以及工业公司聘用的信息安全专家开发并举办培训课程。我们还与教育机构合作。例如,在2017年初,我们的专家为麻省理工学院的学生,研究生和教师举办了为期一周的ICS安全研讨会。麻省理工学院下一次研讨会的筹备工作正在进行中,该研讨会定于2018年1月至2月举行,我们希望于2017年11月在加州大学伯克利分校举行另一场研讨会。此外,我们正在与弗劳恩霍夫协会(Fraunhofer Society)制定联合培训计划,并应俄罗斯大学的要求,努力创建一门成熟的硕士课程。

夺旗。 涉及各种工业控制系统的模拟黑客攻击的信息安全竞赛提供了独特的体验,并增进了人们对如何保护关键设施的理解。因此,我们会定期组织旗帜下的信息安全专家竞赛 工业周转基金 (夺旗)。第一次此类活动于2016年秋季举行,主要是俄罗斯的事件。但是,在第二轮工业CTF的资格赛中,来自俄罗斯,中国,印度,欧洲和拉丁美洲的180多支队伍展示了他们的网络肌肉。 2017年工业周转基金 迄今为止,吸引了最多的参与者,来自世界各地的近700个团队。决赛于2017年10月24日在GeekPwn国际会议的框架内在上海举行。来自日本,韩国和中国的团队参加了比赛。

综上所述,我们可以肯定地说,卡巴斯基实验室ICS CERT的第一年是紧张而富有成效的。祝贺所有员工成立一周年,也许已经令人印象深刻的成绩会更好!