Dragos：工业控制系统安全阅读清单

Dragos：工业控制系统安全阅读清单

本文为国外工控安全咨询公司Dragos发布的关于工业控制系统安全可以进行网络自学习的一些清单和资源。

第1单元：工业系统和网络简介
https://ics.sans.org/media/An-Abbreviated-History-of-Automation-and-ICS-Cybersecurity.pdf
简述了自动化和控制系统的发展以及工控安全的简要历史。经过该文可帮助咱们了解自动化和控制系统的发展历史，而且明白工控安全现有的自然缺陷产生的必然历史。

https://www.amazon.com/Industrial-Network-Security-Second-Infrastructure/dp/0124201148/
Dragos公司拥有一个为期5天的ICS培训课程，其中部分课程材料涉及到本书的内容，这本书主要讲述工控安全方面的治理、风险管理和合规性控制。

https://www.sans.org/reading-room/whitepapers/ICS/paper/36327
本文提供了有关正确认识和划分ICS网络及体系架构的更多背景信息。它从普渡参考模型开始对工控体系架构进行概述，并经过远程访问等关键概念的实际实现进行扩展，最终描述工控领域的网络及体系架构信息。

https://www.amazon.com/Learning-RSLogix-5000-Programming-Automation/dp/1784396036/
罗克韦尔自动化领域的PLC编程书籍。经过该书籍可深刻了解罗克韦尔的PLC控制器以及梯形图逻辑编程。相似的书籍中文版本不少，能够参考和借鉴的也不少。

https://www.amazon.com/Technicians-Guide-Programmable-Controllers-Borden/dp/1111544093/
这本书内容深刻了解PLC：理论，硬件，指令，编程，安装，启动和故障排除。

https://www.amazon.com/Piping-Instrumentation-Diagram-Development-Toghraei/dp/1119329337
这本书是P＆ID全部东西的综合资源。

https://www.youtube.com/watch?v=gYnGgre83CI
这段17分钟的视频概述了石油精炼过程。

https://www.youtube.com/watch?v=nJ-eBqEnraE
这个56分钟的视频概述了电力传输和发电。

https://www.youtube.com/watch?v=ZSFdOjxB-1I
这段6分钟的视频介绍了废水处理过程。

https://www.youtube.com/watch?v=OIPICAcrN34
这个11分钟的视频是大量自动化和过程控制驱动的制造过程的一个很好的例子。

https://www.amazon.com/dp/0470129875/?coliid=I5X3TXQJO5B0L&colid=2FNRV47TKVPSK&psc=0&ref_=lv_ov_lig_dp_it
电力系统基础：非电专业也可很容易明白。

第2单元：评估工业环境
https://www.sans.org/reading-room/whitepapers/ICS/paper/36297
ICS杀戮链，国内有人翻译了中文版。

https://www.amazon.com/Hacking-Exposed-Industrial-Control-Systems/dp/1259589714/
工业控制系统***测试方面目前最好的书籍，有中文版。

https://www.ccn-cert.cni.es/publico/InfraestructurasCriticaspublico/CPNI-Guia-SCI.pdf
评估ICS最佳实践的概述。

https://www.first.org/cvss/cvss-v30-specification-v1.8.pdf
描述了常见漏洞评分系统CVSS v3.0框架，该框架提供了一种向利益相关者传达优先级风险的结构化方法。框架并不完美，但可为***测试和评估提供很好的参考价值。

https://resources.sei.cmu.edu/asset_files/WhitePaper/2017_019_001_509275.pdf
本文提供了一种可重复的宏观级方法，用于使用名为TROMMEL和其余的开源工具评估嵌入式设备的安全性。
注意：使用如下存储库中的工具须要您自担风险，仅在非生产环境中使用。
https://github.com/ITI/ICS-Security-Tools
这个存储库存储大量工具，包括数据包捕获，脚本和各类ICS安全相关主题的指南。
https://github.com/w3h/icsmaster
ICS上的另外一个实体存储库。

https://www.amazon.com/Counter-Hack-Reloaded-Step-Step/dp/0131481045
该书提供了一个易于理解的描述，让咱们清楚威胁计算机系统的都有那些类型的，以及如何实际运做以及它们对计算机网络形成的风险。并提供了基本的方法来防护这些威胁和***。

第3单元：ICS狩猎的工具、策略和技术
https://www.amazon.com/Cuckoos-Egg-Tracking-Computer-Espionage/dp/B0051CSCG6/ref=sr_1_2?ie=UTF8&qid=1542383037&sr=8-2&keywords=cuckoos+egg+cliff+stoll
经典的安全防护书籍。

https://www.amazon.com/Tao-Network-Security-Monitoring-Intrusion/dp/0321246772/ref=sr_1_1?ie=UTF8&qid=1542383008&sr=8-1&keywords=tao+of+network+security+monitoring
网络安全监控的经典书籍，讨论了可用于***分析的不一样数据类型。

https://www.amazon.com/Thinking-Fast-Slow-Daniel-Kahneman-ebook/dp/B00555X8OA/ref=sr_1_2?ie=UTF8&qid=1542382978&sr=8-2&keywords=thinking+fast+and+slow+by+daniel+kahneman
卡尼曼的书解释了思惟科学并打破了认知偏见。

https://www.amazon.com/Science-Strategy-War-Strategic-History/dp/0415459524/ref=pd_sim_14_5?_encoding=UTF8&pd_rd_i=0415459524&pd_rd_r=a82f57bf-e9b4-11e8-b5f3-4fa8805058f7&pd_rd_w=JTh05&pd_rd_wg=CAy0v&pf_rd_i=desktop-dp-sims&pf_rd_m=ATVPDKIKX0DER&pf_rd_p=18bb0b78-4200-49b9-ac91-f141d61a1780&pf_rd_r=76NM8VHR4KVM7T5V1PXZ&pf_rd_s=desktop-dp-sims&pf_rd_t=40701&psc=1&refRID=76NM8VHR4KVM7T5V1PXZ
“OODA循环”的最佳建议。

https://hbr.org/1977/09/double-loop-learning-in-organizations
咱们谈论狩猎以及它如何影响安全组织的学习方式。咱们使用这个来自20世纪70年代的原始文章/研究来讲明这个概念。

https://www.amazon.com/gp/product/098932740X/ref=oh_aui_detailpage_o00_s00?ie=UTF8&psc=1
咱们在整个课程中提供了不少故事/历史用例。若是从历史中寻找和提高学习兴趣，那么Jason的书应该是必读的。

https://www.sans.org/reading-room/whitepapers/threats/paper/37172
创形成功威胁狩猎的假设 #paper #blueteam
咱们谈论假设生成做为狩猎的基石，并在讨论中引用Rob和Dave的白皮书。

https://www.sans.org/reading-room/whitepapers/threathunting/paper/38515
Dan（Dragos分析师之一）在今年早些时候的SANS白皮书中提炼了许多概念。咱们在课程中并未直接引用他的白皮书，但咱们的课程材料与Dan的白皮书之间存在直接的思路。若是您正在寻找在课堂上扩展咱们的狩猎概念，那么本文应该在您的列表中占据重要位置。

https://dragos.com/blog/mimics/
咱们参考了Dragos在2017年进行的MIMICS研究，做为使用外部工具进行狩猎的一种形式，并解释了其中的一些发现。本白皮书概述了该研究。

https://www.youtube.com/watch?v=LM8kLaJ2NDU
咱们将Aurora测试做为一个特定领域的假设（参见上面的成功威胁狩猎的生成假设白皮书）。这是来自爱达荷国家实验室的测试原始视频。

第4单元：ICS监测和安全操做
http://www.activeresponse.org/the-diamond-model/
咱们讨论并引用Dragos intel团队在整个课程中跟踪的活动（使用原始Diamond Model（钻石模型）白皮书中列出的方法）。

https://dragos.com/media/Dragos-Insights-into-Building-an-ICS-Security-Operations-Center.pdf
Dragos在通过屡次讨论后撰写了关于组建ICS-SOC的白皮书。在创建安全运营中心时，咱们会参考这一点。

https://www.epri.com/#/pages/product/000000003002000374/?lang=en-US
EPRI成员也能够得到有关综合SOC的指导。可是这份文档不公开。

https://www.dragos.com/media/Industrial-Control-Threat-Intelligence-Whitepaper.pdf
塞尔吉奥写了一篇关于如何为工业运营量身定制的情报计划可以影响更好决策的初级读本。咱们在审核智能产品时讨论这个问题。

https://www.dragos.com/media/The_Four_Types%20of_Threat_Detection.pdf
在模块4中，咱们使用了Dragos平台。要了解咱们在平台威胁检测方面的方法，本白皮书将提供深入看法。

https://www.amazon.com/Checklist-Manifesto-How-Things-Right-ebook/dp/B0030V0PEW/ref=sr_1_2?s=books&ie=UTF8&qid=1542382362&sr=1-2&keywords=checklist+manifesto
当咱们谈论Playbook 如何在Dragos平台中工做时，我常常会回顾这本书及其中的经验教训。若是您对编写本身的剧本感到好奇，我推荐这本书。

https://www.sans.org/reading-room/whitepapers/ICS/paper/36297
咱们在课堂上讨论了至关多的。咱们使用ICS 杀戮链做为模型来帮助描述这些。

https://www.amazon.com/Windows-Registry-Forensics-Advanced-Forensic/dp/1597495808
在模块3和4中，屡次提到Windows注册表组件对于理解计算机上发生的事情的重要性.Carvey 的书提供了对于安全调查可能感兴趣的各类注册表项，以及如何理解它们的值参考概述。

https://www.amazon.com/Practical-Malware-Analysis-Hands-Dissecting/dp/1593272901
在咱们对整个课程的系统感染和命令与控制的高级概述以后，还有更多关于恶意软件的技术问题。“实用恶意软件分析”提供了一个全面的，自定进度的恶意软件功能和隐藏方法--包括逆向工程的基础知识。

https://www.amazon.com/Windows-Internals-Part-Developer-Reference/dp/0735648735ICS系统一般依赖于旧的Windows操做系统配置来实现关键功能，所以有关Windows如何工做的详细参考资源是一个很好的资源。Mark Russinovich是Windows最重要的专家，多年来一直在发布Windows Internals（windows技术内幕，有中文版，第6版只有上册）参考书。