Algunas reflexiones / respuestas sobre IDS / IPS como parte de SCADA Security:
1. Es útil y silencioso dentro del perímetro de seguridad, como en la LAN del centro de control, porque esta zona solo debería ver el tráfico relacionado con ICS. Cualquier alerta generada en esta zona, después de la sintonización, debe investigarse. Esto no debería suponer una gran carga para el personal y es efectivo para detectar ataques que se han producido a través del perímetro de seguridad.
2. El monitoreo de firewall o dispositivo de seguridad perimetral es importante para detectar ataques desde el exterior y, con suerte, detenerlos antes del éxito. Hemos desarrollado un módulo de monitoreo de firewall para el servidor PI, http://www.digitalbond.com/tools… [sin cargo, pero es necesario registrarse]. Todavía no mira IDS / IPS. Este sería el siguiente paso.
- ¿Hay verdad en las afirmaciones de que Estados Unidos está peligrosamente detrás de otros países en la guerra cibernética?
- Cómo cambiar mi contraseña de WiFi por mi cuenta
- Cómo obtener un alto rendimiento para un sistema de detección de intrusos basado en anomalías
- ¿Existe alguna biblioteca de software que pueda crear contraseñas seguras o verificar qué tan segura es?
- ¿Es el spyware de Windows 10?
3. En el perímetro, me interesarían especialmente las alertas IDS / IPS que están relacionadas con vulnerabilidades no parcheadas en mi SCADA o DCS. Por mucho que se justifiquen las advertencias de uso de IPS en ICS, IPS tiene sentido para bloquear ataques que sabe que comprometerían efectivamente una vulnerabilidad sin parches. Establezca esas firmas específicas en IPS / bloqueo y alerta hasta que se pueda implementar el parche. Podría presentar el argumento más amplio de que cualquier firma clara de ataque debe ser IPS / bloque en el perímetro, pero esto todavía es controvertido en el espacio de ICS.
4. También hay algunas firmas de SCADA Security IDS que llamamos Quickdraw, http://www.digitalbond.com/tools…. Estas u otras firmas específicas de ICS al menos le dirían que tiene un atacante que está interesado en comprometer un ICS, en lugar de solo un sistema o servidor general. También le diría si están intentando explotar una vulnerabilidad de ICS o simplemente aprovechando la falta de seguridad de los protocolos de ICS.
5. Por supuesto, IDS o cualquier monitoreo solo es útil para la detección si alguien o algún proceso está monitoreando el monitoreo. Ejecutar e IDS y nunca mirar las alertas solo está recopilando datos forenses para después del análisis de incidentes.