当前位置:首页 > 报告详情

检测至关重要——工业网络安全计划中威胁检测的务实方法.pdf

上传人: 可*** 编号:991851 2025-12-07 14页 791.02KB

1、DETECTIONis a mustC:whoamiAustin ScottDirector of DetectionDragoshttps:/ Prevention Vs ICS DetectionBetter to focus on prevention andjust doing the basics like asset management to get the best ROIThreat Detection generates too much noise and false positives,wasting already limited resources.You Cant

2、 ProtectWhat You Cant SeeA lot of the ransomware cases we get called into literally didnt know what was in their network.They had no visibility and no asset identificationICS IncidentResponseTriggers IRDefensibleArchitectureICS NetworkVisibilitySecureRemote AccessVulnerabilityManagement12345Validate

3、s SegmentationTells The ICS StoryUnauthorized AccessVulnerability ExploitationDetection+SANS 5 Critical Controls for ICSBAUXITE+Sophos Firewall (CVE-2022-3236,CVE-2022-1040)BAUXITE exploited specific Sophos Firewall vulnerabilities,notably CVE-2022-3236 and CVE-2022-1040,to plant the IOControl backd

4、oorApril2024When Prevention FailsHELLDOWN+Zyxel Firewalls(CVE-2023-28771)Unauthenticated command injection allowing remote code execution.Exploited by HELLDOWN in August 2024,targeting manufacturing with leaked Lockbit builder.May2024VOLTZITE+Cisco,Fortinet,Ivanti,F5,SonicWall,PaloAltoHas utilized 0

5、-days used by other PRC adversariesQuickly Integrate and then target devices from released POCs for remote access assets or other internet-exposed assetsAugust2023May2025PARASITE+Credential Stuffing+ZKTeco(CVE-2023-38950)Stolen VPN administrator credentials Exploited publicly facing ZKTeco BioTime v

6、8.5.5 software *Source:Dragos WorldviewRecent Critical Firewall Vulnerabilities FortinetCVE-2022-406849.8(Critical)CVE-2022-424759.3(Critical)CVE-2022-413287.1(High)CVE-2023-256109.3(Critical)CVE-2023-279979.8(Critical)CVE-2023-226397.8(High)CVE-2023-280019.8(Critical)CVE-2023-333089.8(Critical)CVE-

word格式文档无特别注明外均可编辑修改,预览文件经过压缩,下载原文更清晰!
三个皮匠报告文库所有资源均是客户上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作商用。
根据报告的内容,全文主要内容概括如下: 1. **ICS安全挑战**:工业控制系统(ICS)面临日益增长的勒索软件攻击,2024年针对制造业的攻击翻倍,平均恢复成本高达1.7百万美元。 2. **检测的重要性**:随着攻击者攻击速度加快,早期检测对于减少损害至关重要。Dragos研究显示,2025年初美国工业组织遭受的勒索软件攻击增长了150%。 3. **法规推动**:NERC CIP-015-1法规要求关键基础设施实体进行检测,以符合合规性要求。 4. **检测技术**:网络IDS、EDR、SIEM和异常检测等技术提供对ICS操作的可见性,帮助识别恶意活动和异常行为。 5. **检测成功案例**:通过检测工具,可以及时发现如Conficker、Bloodhound和Mimikatz等恶意软件,实现从零可见性到捕获域管理员尝试的转变。 6. **关键点**: - 2024年工业勒索软件攻击增长翻倍。 - 平均恢复成本高达1.7百万美元。 - 2025年初勒索软件攻击增长150%。 - NERC CIP-015-1法规要求合规性检测。 - 检测技术提供对ICS操作的可见性。 - 检测工具帮助识别恶意软件和异常行为。
如何防患未然?" 如何快速识别?" 检测技术揭秘!"
客服
商务合作
小程序
服务号
折叠