Nem szoktam titkot csinálni abból, hogy az ICS kiberbiztonság területén igyekszem minél inkább figyelemmel követni az USA-ban tevékenykedő kollégákat (nem egyszer voltak már posztok a blogon Joe Weiss és Robert M. Lee gondolatairól, írásairól). Nem rég Isiah Jones tollából találtam néhány alapvető ökölszabálynak szánt tanácsot, amik mentén könnyebb lehet biztonságos konfigurációt fejleszteni és fenntartani az ICS rendszerek terén (én pedig itt-ott kiegészítettem a saját gondolataimmal - lehet, hogy néhol a kiegészítésem felesleges, mert mindenki számára magától értetődő, de inkább legyen leírva, mint hogy valaki betű szerint kövesse a leírtakat és emiatt valamilyen lépés kimaradjon).

1. Az ICS szoftverek és alkalmazások telepítése előtt készítsünk snapshotot legalább az adott host operációs rendszer szintű beállításairól, a rendszerleíró adatbázisról (registry), szolgáltatásokról és felhasználói fiókokról, esetleg további fontosnak érzett konfigurációs beállításokról.

2. Az ICS szoftverek és alkalmazások telepítése után készítsünk snapshotot legalább az adott host operációs rendszer szintű beállításairól, a rendszerleíró adatbázisról (registry), szolgáltatásokról és felhasználói fiókokról, esetleg további fontosnak érzett konfigurációs beállításokról.

3. Végezzünk összehasonlító konfiguráció-elemzést a telepítés előtti és utáni snapshotok közötti különbségek azonosítása céljából és vizsgáljuk meg alaposan, hogy mi miért változott, a változások indokoltak voltak-e és biztonsági szempontból milyen kockázatokat jelentenek.

4. Az ICS gyártó kézikönyve és az operációs rendszerhez kiadott biztonságos implementációs útmutatója (Security Technical Implementation Guide - STIG) alapján is vizsgáljuk át a 3. pontban feltárt változásokat és távolítsuk el az összes, nem létfontosságú funkciót, szolgáltatást és biztosítsuk, hogy aminek maradnia kell, azok az elérhető ajánlások és best practice-ek szerint vannak beállítva.

5. Az 1-4. pontokban elvégzett feladatok után készítsünk teljes mentést az így előállt konfigurációról, ez lesz az a biztonságos alapkonfiguráció, amit egyébként a magyar jogszabáyok és egyéb, ipari környezetekben is egyre szélesebb körben alkalmazott nemzetközi szabványok is előírnak a különböző szervezetek számára (elég csak az ipari szervezetektől is egyre szélesebb körben megkövetelt ISO 2700x szabványcsaládban is megjelenő alapkonfigurációs nyilvántartás vezetését előíró követelményre gondolni).

6. Készítsünk másolatokat a beállításokról, fájlokról, képernyőképekről és egyéb, hasznos információkról, amiket a rendszer-specifikus konfigurációs tervbe/dokumentumba és a rendszer-specifikus biztonsági tervbe/dokumentumba illeszhetünk.

7. Vezessünk be és kényszerítsünk ki megfelelő változáskezelési szabályokat a produktív rendszerekre vonatkozóan, amik biztosítják, hogy alapesetben senki és semmi nem rendelkezik a változtatáshoz szükséges jogosultságokkal.

8. Tegyünk róla, hogy a fenti konfigurációkból és dokumentációkból, tervekből legyen egy saját másolatunk, amik biztosítják, hogy a teszt környezetekben és különböző esettanulmányoknál nem szükséges mindent nulláról újrakezdeni, minden ICS szoftver/alkalmazás/firmware és host frissítés/patch-elés esetén.

A fenti lépéseket végrehajtva meglehetősen sok fárasztó, ismétlődő munkát takaríthatunk meg és számos megelőzhető problémával kapcsolatos tevékenységet spórlhatunk meg magunknak.