卡巴斯基实验室ICS CERT成立一周年

向大家介绍关于卡巴斯基实验室ICS CERT中心的职能以及与其他响应中心的不同之处等

一年前,我们针对影响工业和关键基础设施的网络事件,成立了自己的响应中心:卡巴斯基实验室ICS CERT。经过一年的成功运作,我们认为现在正是最恰当的时机向大家详细解释为什么需要这个中心、中心的职能是什么、与其他响应中心的不同之处在哪里。

为什么要成立卡巴斯基实验室ICS CERT?

ICS CERT的主要任务是协调工业控制系统(ICS)制造商、工业设施所有者和运营商以及信息安全研究人员的活动。虽然我们的中心的建立时间不长,但已经与ICS市场的主要参与者、区域协调中心(如美国的US ICS-CERT和日本的JPCERT/CC)以及国际和国家监管机构建立了成功的工作关系。

卡巴斯基实验室ICS CERT与其他中心有什么不同?

首先,工业网络安全领域的其他所有计算机应急响应小组(CERT)都是国家机构或者是ICS制造商自己设立的部门。前者受到国家(主要是领土)利益的限制,后者则只专注于解决与自己产品有关的问题。但我们这两方面的限制都没有。

其次,其他CERT的运作通常不太可能执行自己的漏洞研究,对威胁环境进行深入分析。他们的工作主要集中在处理外部收到的威胁相关信息,如来自第三方研究人员和ICS制造商的信息。但我们的情况并不是这样:我们是世界领先的信息安全供应商下设的一个部门,拥有资源、技术和专业知识来独立搜索漏洞并检测威胁。最重要的是,我们有丰富的经验。毕竟,卡巴斯基实验室二十多年来,一直走在打击网络威胁的前沿;近些年来,格外关注工业威胁。

我们处理的大数据来自全球各地各种来源的目前和潜在威胁,并使用机器学习工具和算法对这些数据进行分析。随后,我们的专家团队会对分析结果做进一步细调。因此,我们的ICS CERT能专门识别到针对工业控制系统的威胁。

卡巴斯基实验室ICS CERT的具体工作是什么?

我们的CERT运作涉及多个领域,涵盖各种各样的的工作,其主要职能是与社区分享专业知识,向合作伙伴展现技术能力,向ICS安全专家、工程师和运营商推广该项目。

搜索工业系统内的漏洞。我们的专家在不断研究各种工业控制系统和工业物联网(IoT)设备,评估其安全级别,发现新的漏洞。在过去一年中,我们已经发现了100多个零日漏洞,并将此通知了相关系统制造商。在我们的努力下,到今年10月份,我们发现的这些漏洞中,有54个漏洞已经被制造商修复,让世界变得更加安全。

美国ICS-CERT在其年度报告中指出了我们研究和发现漏洞的成果。最近,MITRE也认为我公司是漏洞领域的权威(CVE编号权威,简称CNA)。因此,卡巴斯基实验室以安全研究机构的身份被列入CNA的名单。我们是世界上第六个取得这一地位的组织。

识别并分析威胁,向行业持续披露。我们能识别并分析对工业企业的攻击(包括有针对性的攻击和偶然影响ICS系统的广泛攻击),调查SCADA系统的感染源,搜索针对工业系统的恶意软件。我们会向用户和合作伙伴发布有关所检测到的威胁相关警告。目前,我们的CERT网站已经发布了两份关于ICS威胁环境的半年报告,另外该网站还会定期发布已发现威胁的相关警告,并报告检测到的针对工业企业的攻击。

调查事件。在调查工业企业网络事件过程中,我们会追查原因,检查攻击者使用的工具和技术,协助进行修复,帮助防范新事件的发生。一年来,我们为全球各个国家种种行业(冶金、石化、建材)的企业提供过帮助。

评估工业系统的防御水平。我们的CERT会专门评估工业控制系统的防御水平。此外,我们还开发了多种工具,支持公司独立测试自己系统中是否有特定漏洞。在不久的将来,我们计划增加这些工具的数量。

与行业和国家监管机构合作。国家和行业监管机构制定确保工业设施信息安全的各种要求的过程中,我们的专家是其中的一分子。近一年来,我们与IIC、IEEE、国际电联和OPC基金会的合作非常富有成果 – 这些机构制定的标准和技术深受我们专家的影响。

培训。我们的CERT为ICS运营商和工程师以及工业公司雇用的信息安全专家制定并举办了多种培训课程。此外,我们还与教育机构进行合作。例如,在2017年初,我们的专家为麻省理工学院的学生、研究生和教师举办了为期一周的ICS安全研讨会。目前,预定于2018年1月-2月举办下一期麻省理工学院研讨会正在筹备中,我们希望2017年11月能在加州大学伯克利分校举办另一场研讨会。此外,我们正在与弗劳恩霍夫协会合作开展一项联合培训项目,并应俄罗斯各大学的要求,致力于开设一个成熟的硕士课程。

夺旗赛。夺旗赛是一种信息安全竞赛,涉及模拟黑客攻击各种工业控制系统,提供了独特的安全防御体验,促进了人们对如何保护关键设施的理解。因此,我们会以”工业CTF”(夺旗赛)的形式,定期举办信息安全专家竞赛。第一届已于2016年秋季举行,当时参赛的主要是俄罗斯人。不过,第二届工业CTF的资格挑战赛中,就有来自俄罗斯、中国、印度、欧洲和拉丁美洲的180多支队伍展示了自己的网络实力。工业CTF 2017更是吸引了诸多参赛者,有近700支来自世界各地的团队报名参赛,2017年10月24日作为GeekPwn(极棒)嘉年华上海站进行决赛。进入最后决赛的三个团队分别来自日本、韩国和中国。

总而言之,我们可以肯定的说,卡巴斯基实验室ICS CERT成立第一年工作密集但颇富成效。祝贺所有参与一周年纪念的员工,愿你们在骄人的成绩上,未来更上一层楼!

提示
注册