你是否了解，当某些不该发生的事情发生时，你的工业控制系统是否能够识别出这些情况？这些知识对于你制定防御策略非常关键，这也是相对攻击者而言，你的最大优势所在。

　　尽管在网络安全领域，数字取证技术仍然是不太被了解的一些概念之一，但是在工业控制系统及其网络中使用数字取证技术，将是一个非常强大的防护工具。当人们提到“数字取证”的时候，经常会想到电视剧，比如犯罪现场调查，认为这仅仅是在犯罪调查时的一个做法。事实并非如此。数字取证是防护的一个关键部分，与机械、电气和化学研究没有什么差别。当人们了解这项技术是如何工作的，可靠性就可以提升到更高的层次。

　　数字取证是数字化领域内，取证科学的一个分支，它的领域包括：计算机取证、网络取证和移动设备取证。与其它的科学和工程相比，它是一个相当新的领域；因此尝试更全面地理解这个主题十分重要。

　　取证科学是一个搜集和审查信息的方法。简单的讲，它就是提出问题，然后为其寻找答案。当将这个思考过程应用于数字取证的时候，重点不仅仅放在恶意行为上和网络非法入侵上，还应放在理解一般系统和网络活动以及为何某些特定的事件会发生上。数字取证技术和科学有助于更好的理解运行环境和正常情况包括哪些内容。

　　设想一个简单的例子：假定历史数据没有采集到从SCADA（监控和数据采集服务器）到RTU（远程终端单元）发出的指令。为什么没有？网络内是否有恶意行为正在发生？是否存在能够导致重大错误的网络异常、故障或错误的组态？这些问题非常适合于数字取证调查。

　　随着工业控制系统环境不断增加的互联属性，有些会归结为网络和设备组态问题。还有一些归结为恶意人员入侵网络，从而造成严重破坏或偷窃敏感数据。Verizon 公司2013 年所进行的数据泄露调查报告指出，过去一年监测到47,000次以上的网络入侵，其中20% 与设备制造、运输和公用设备相关。在这些入侵中，66% 的入侵需要数月或数年才能发现。攻击者，尤其是那些对控制系统特性不熟悉的入侵者，花费数月的时间访问敏感网络，可能会造成巨大的破坏。

　　实际上，尽管已经有很多天花乱坠的关于网络攻击的宣传，而且这还会一直持续下去。但是足够安全的标准是什么，是一个永远没有结论的问题，这需要花费时间和金钱，但是这已经偏离了核心的商业运营。防御入侵的相关费用巨大，但是产生的回报却有限。但是，数字取证的一个好处是：业主需要一些步骤来激活数字取证，这与业主确保运营可靠性的步骤一致。在这种方式下，数字取证可以成为助力因素，或者是增加营收的一种机制，而不仅仅只是投入却没有产出。

　　为了实现这些收益，一个十分关键的事情是：要有一些流程和程序就位，来识别组织机构内的适当人员或者知道谁会和组织外部进行联络。上面提到的Verizon 公司报告还引述：69% 的泄漏源于外部组织，仅有9% 被证实源于内部人员。

　　第一个关键步骤

　　有效使用数字取证的前提是你要了解自己的网络。一旦牢牢把握，就可确认现场入侵，降低对外部团队的依赖。此外，如果需要外部数字取证调查，对自己网络的透彻了解，知道关键数据保存的位置，能够大幅度的减少调查所需的时间、费用。

　　了解你的网络，是防御的一个巨大优势，这是攻击者永远不可能拥有的。只有你们公司内部的人员能够了解你的网络，而攻击者无法了解，这个事实是防御最重要的一个方面。关于你们网络的全部知识：网络上的内容，它是如何运行的，这些都是所有网络安全包括数字取证的基础。当取证团队尝试确定和向下追踪，网络中的事件是不是蓄意的时候，最困难和最耗时的工作，经常是识别网络看起来像什么和网络中有哪些设备。

　　在传统的IT 世界中，调查人员往往只需要了解基于微软Windows 操作系统和基于Linux 的操作系统，以及各种各样的网络应用和服务器。尽管这可能也是一个挑战，但是有很多工具和经实践验证的方法可以用来取证并描述网络。

　　对工业控制系统相关的调查，由于需要确定和理解所有不同的RTU、历史数据库、PLC、嵌入式设备、HMI 工作站以及其它一些没有被看作传统IT 设备的那些资产，导致编译这些信息，成为一个令人望而生畏的任务。此外，工业控制系统设备和网络所使用的各种取证工具也不尽相同。像工厂的自动化一样，所有这些自动控制系统资源的标识，经常仅仅存在于电子表格、图纸和纸质的日志中。这些信息的保存，更多的是为了后勤和合规方面的原因，而不是为了更好地了解网络。如果分析团队想了解这些设备是如何连接的，他们经常需要沿着电缆和光纤顺藤摸瓜的去查找设备。随着网线通讯路径的增加，这项工作变得更困难了。当事故发生时，时间非常宝贵，这绝不是你想要的处境。

　　当资源所有者和工业控制系统团队成员，投入时间来了解网络环境的时候，可以从很多途径获得收益。正如前面所提及的，描述网络并识别在网络上运行的设备，对数字取证团队有巨大帮助。此外，它还能够使运行人员和工程师参与到数字取证过程中。一旦有了对网络更深入的了解，运行人员就能够快速识别出不正常的事项。网络用户能够开始像调查人员一样思考，当看到奇怪的事情发生时，就能提出问题：

　　■ 为何这些在网络上的新设备没有记录在文档上？

　　■ 内部设备是否应该与厂外通讯并将数据发送到不相关的地方？

　　■ 设备等待时间和连接断开的时间比期望的要高，这是故障发生的前兆吗？

　　当事情没有向预期的方向发展的时候，知道事情如何发展的人，就可识别出这种情况。每个网络用户都成为网络健康的监视仪。但是如果没有正确的理解网络，没有掌握相关的知识，是不能胜任的。人员培训是迈向安全和可靠性积极防护的重要一步。你应该采取哪些措施，来更好的保护你的环境、实现更好的系统可靠性并为你的数字取证做准备？最关键的一步是为介入以下活动的人员，储备网络安全知识：日常运营、应急管理、工程、IT、控制环境管理与业务人员。技能分析是重要的一步，有助于理解所需技能以及所要弥补的差距。

　　美国国土安全部建议：首先，采用网络安全技能工作组报告（一项国家级的技能评估）进行分析，有助于理解如何在内部完成这项工作。与公司的人力资源部门合作，不管人力资源规模的大小，对于确定哪些员工能胜任这些工作，这是一个很好的开始。无论是内部还是外包，这个人员清单对于构建网络意外事件响应能力，都十分必要。第二个关键步骤是：识别正在使用何种机制来保护你的敏感信息。如果没有，创建一个。当你学习数字资产并记录它们的相互作用时，你将开发一个需要保护信息的基准。考虑一下，当存储的时候，如何保护它，如何确定你将和谁共享这些信息，如何将这些信息传送给其它人，这些接收者如何处理这些信息。有了这些理解，你就满足了最初的两个要求。下一个任务，就是确定在现场建立检测和响应能力需要什么。必须认识到，我们提出的每个步骤都有其自己的挑战。受到篇幅所限，本文只给出了概述。上面表格中列出了一些必要的步骤。

　　在工业控制系统环境中，数字取证是一个新领域。在工具、流程和方法论方面还有很多的研究工作需要去做，以使工业控制系统能够面对当今的挑战。但是，也没有必要去等待万事具备，然后坐享其成。记录工业控制环境的可靠基准，在可疑事故发生并需要及时恢复时，该基准可做参考并易于恢复。网络和信息技术运行着工业控制系统环境。由于网络是现代竞争性企业成功的重要组成部分，因此不能将其从大的业务环境中割裂出来。取证和事故响应，意味着做最坏的打算，抱最大的希望。也意味着创建方法论，了解那些对你的资产至关重要的知识。数字战场领域正在扩大，越来越多的人在寻找工业目标进行攻击。留给你的时间，能够让你学习和掌握正确地响应网络攻击的必要知识，永远不会太长，而且帮助你完成任务的知识也在不断快速的增长。