可移动媒体仍然是 OT(操作技术)和 ICS(工业控制系统)环境中最常见的攻击载体之一。美国国家标准与技术研究院(NIST)最近发布的特别出版物NIST SP 1334 为运营 OT 和 ICS 的组织提供了实用建议。该文件题为 "降低 OT 环境中便携式Media 的网络安全风险",其中包括降低与使用外设和可移动介质设备有关的网络安全风险的指导原则。
根据 SANS 发布的《2025 年 ICS/OT 网络安全报告》,27% 的攻击是由受损的可移动媒体和瞬时设备发起的。在空气封闭的环境中,便携式介质通常用于传输固件更新、配置文件和日志等数据。这增加了恶意软件、零日漏洞利用和供应链篡改绕过现有防御的风险。NIST SP 1334 旨在帮助 OT 运营商和制造商管理 OT/ICS 环境中与便携式存储介质(包括 USB、SD 卡和便携式硬盘驱动器)相关的风险。
为什么对加时赛环境很重要
与 IT 环境不同,由于常见的隔离和网络隔离要求,OT/ICS 环境在网络安全方面经常面临挑战和限制。根据 NIST SP 1334 指南调整网络安全实践有助于组织减少攻击面,支持其深度防御保护措施,并更好地管理通过便携式媒体的使用和文件传输。
OT/ICS 环境最常见的挑战包括
- 使用传统系统:许多 OT 设备和系统仍依赖于缺乏现代网络安全措施且无法升级的旧系统。更换这些系统不仅成本高昂,而且遥不可及。
- 高可用性要求:停机和服务中断会造成物理损坏、安全风险或巨大的运营损失。
- 运行空气屏蔽环境:OT 网络通常是隔离、孤立或隔绝空气的,这给基于网络的防御带来了限制。
- 不可避免地使用可移动Media :使用可移动媒体进行软件更新、诊断和数据传输往往是不可避免的。
NIST SP 1334 的主要启示
NIST SP 1334 强调在程序、物理、技术和运输四个关键领域进行分层控制。
程序控制
组织应制定明确的政策来管理介质的使用。这些政策包括购买具有硬件加密功能(FIPS 认证)的组织自有介质、禁止使用未经授权的设备,以及制定严格的介质配置、消毒和处置程序。记录使用详情(如用户身份、设备序列号和时间戳)以及对员工进行政策培训也至关重要。
物理控制
NIST SP 1334 指导方针中的物理控制措施包括将便携式媒体存储在物理安全、访问控制的位置,并清点和标注经批准的媒体使用详情,以此作为资产管理计划的基础部分,最大限度地降低风险。
技术控制
建议各组织建立媒体保护技术控制。这些控制措施包括禁用不必要的端口、使用允许列表来限制设备和文件的执行、在使用前后扫描介质、在重复使用前重新格式化设备、为只读文件启用写保护、关闭自动运行、使用加密设备,以及为可移动介质活动配置警报。
运输和消毒控制
还需要额外的物理和逻辑控制措施来降低介质运输的风险。这些控制措施包括使用加密或上锁的容器进行安全的内部传输,在各方之间传输文件时执行散列或校验和验证,以及在处置介质前进行彻底的消毒处理(详见 NIST SP 800-88,修订版 2)。
OPSWAT 如何帮助防止外设和可移动Media 攻击
OPSWAT 提供一系列解决方案,旨在保护关键 OT 环境免受外设和可移动媒体威胁。这些解决方案可帮助企业实现符合监管准则,包括 NIST、ISA/IEC 62443、NEI 18-08、NERC CIP、ISO27001、ANSSI、NIS2 和 GDPR。
在进入点缓解可移动Media 威胁
MetaDefender Kiosk™专为保护最具挑战性环境的安全而设计,可在空气封闭环境的入口点扫描和消毒可移动媒体,确保进入 OT 系统的数据流的安全。MetaDefender Kiosk 还可帮助企业提高运营弹性,降低意外停机、生产中断和安全事故的风险。MetaDefender Kiosk 是艾默生 DeltaV 银牌联盟(DeltaV Silver Alliance)的一员,证明了其在多种环境和使用案例中的有效性。
运行前Endpoint 保护和设备控制
MetaDefender Endpoint™可加强端点安全,为运行环境提供高级保护。它能在可移动媒体和外围媒体插入关键系统之前对其进行主动扫描和检测。这一功能可帮助企业满足 NIST SP 1334 中对便携式存储介质的网络安全要求。它还能让用户安全地擦除可移动媒体数据,帮助满足标准的媒体清除要求。
通过一块玻璃进行保护监控
与My OPSWAT™Central Management 集成后,MetaDefender Endpoint 和MetaDefender Kiosk 支持集中式策略执行,以控制设备访问、监控和管理便携式媒体的使用以及活动记录。
Media 验证作为额外的防御层
OPSWAT 还提供一系列解决方案来加强您的深度防御战略。MetaDefender Endpoint Validation、OPSWAT Media Validation Agent 和MetaDefender Media Firewall™ 通过执行扫描和消毒策略提供了额外的安全层。
MetaDefender Endpoint 验证和OPSWAT Media 验证代理是安装在端点上的轻量级工具,可在空气屏蔽和连接环境中工作。它们可作为检查点,确保只有经过MetaDefender Kiosk 扫描的文件才能被端点打开、复制、选择和访问。
MetaDefender Media Firewall 是一种即插即用的硬件解决方案,用于保护关键主机系统免受可移动媒体带来的威胁。它与MetaDefender Kiosk 一起作为一个易于使用的物理层,保护 OT 环境的安全,并确保未经扫描的可移动媒体无法绕过入口点。该解决方案还可帮助企业执行符合监管合规标准的扫描策略。
行业领先的Core
MetaDefender Kiosk 和MetaDefender Endpoint 采用全球公认的行业领先技术,包括
- Metascan™Multiscanning:通过 30 多种反恶意软件引擎,恶意软件检测率高达 99.2
- 深度 CDR™:对文件进行递归消毒,在不影响文件功能的情况下移除潜在威胁,防止未知威胁(包括零时差漏洞利用),支持 200 多种文件类型
- File-Based Vulnerability Assessment:利用从活动设备收集的 3,000,000+ 个数据点和 30,000+ 个相关 CVE(含严重性信息)检测已知漏洞
- 主动式 DLP™:利用人工智能模型在 110 多种文件类型中查找并自动删节 PII、PHI、PCI 等敏感信息
- 来源国:检测文件的地理来源,以识别受限地点和供应商,支持监管合规性
