论文部分内容阅读
最近发生了一件事,一名民族国家的威胁犯罪分子在测试新的恶意软件时,很有可能无意中关闭了中东的一个关键基础设施,这引发了人们对脆弱的工业控制系统(ICS,Industrial Control Systems)难以应对网络新威胁的普遍担忧。很多安全专家认为这一事件预示着将针对ICS发起新一轮破坏性的攻击,并敦促关键基础设施所有者紧急更新其运营技术(OT,Operational Technology)网络的安全防护措施。
什么是ICS?
ICS是用于工业过程运营或者实现自动化的任何设小备、仪器仪表以及相关的软件和网络。工业控制系统通常用于制造业,但对于能源、通信和运输等关键基础设施也非常重要。很多这类系统通过互联网连接至传感器和其他设备,这就是所谓的工业物联网(IIoT,Industrial Internet of Things ),这也使得ICS很容易遭受攻击。
ICS安全
ICS安全供应商PAS Global公司的首席执行官兼创始人Eddie Habibi指出:“非常重要的一点是,安全部门应汲取经验教训以保证企业IT的安全,而且还要善于运用这些经验教训,适应OT某些独特的特性。”他说:“这包括在设施设备中不仅采取基于周界的安全措施,还要在最重要的资产中加入安全控制功能——专有控制系统,这些系统对过程安全和可靠性负有首要责任。”
参考几位专家的观点,本文列出了工厂操作人员、过程控制工程师、制造IT专家以及安全人员在进行ICS安全规划时应注意的一些关键问题。
1.我有管理和维持ICS安全的人员吗?
ARC咨询集团分析师Sid Snitkin指出,企业规划人员通常倾向于认为工业网络安全在很大程度上是技术问题,而往往更大的问题是缺乏高技能的人力资源。近年来,关键基础设施运营商已经越来越多地部署推荐的技术控制措施来保护他们的系统,但却没有足够的操作运营人员。
Snitkin说:“很多企业根本没有足够的人手来维持他们投入的技术。他们部署了反恶意软件,但没有人去进行更新。他们能发现漏洞,但没有人去修复。”通常,管理网络安全的人员也是最初让系统投入运行的自动化工程师和生产工程师。
Snitkin说:“安全职能只是他们的副业。”他们没有时间,通常更注重怎样保持系统运行,而不是让系统停下来处理安全问题。Snitkin说,很多工厂经理认为他们通过实施一些技术控制措施来解决其安全问题,這是一种错误的安全观点。
2.我知道在哪儿安装了什么吗?
要正确地进行保护,首先应弄清楚在该领域安装了什么,以及它们连接到哪些系统。应用控制解决方案公司总经理Joe Weiss说,如果你对这些都不清楚,那就死定了。你需要了解已经在哪里部署了技术控制措施,在哪里可以采用技术来进行保护。Weiss说,对于不支持现代安全控制措施的系统,需要考虑进行控制补偿以降低风险。
工业安全供应商Mocana公司首席执行官Bill Diotte说:“我们已经看到由于缺乏基本的安全保护措施,黑客绕过了防火墙,跳过网关,并利用了ICS设备的漏洞。”Diotte说:“对于工厂管理人员、运营商和制造商来说,最重要的是确保ICS设备本身是可信的,并具备必要的网络安全功能。”
他说:“通常,PLC(可编程逻辑控制器)、传感器和工业网关没有数字证书等安全凭证,也没有隐藏在硬件中的私有密钥作为信任的基础。”他说,安全启动、认证、加密和信任链等基本的网络保护功能并没有在设备上实现,这影响了人员安全、正常运行时间和环境。
3.我是否部署了真正的网络安全控制系统政策?
企业所犯的最大错误就是把IT安全与控制系统安全等同起来。Weiss说,这两者完全不同。
IT安全通常侧重于探测并处理网络中的漏洞,而不考虑对过程系统的实际影响。Weiss说,对于工厂操作人员,最重要的是系统的完整性和可用性。对他们来说,重点不是某一具体的网络威胁有多么复杂,而是在于它是否会导致过程出现问题。
Weiss说:“您真的有控制系统的网络安全政策和程序吗?这不是IT,不是业务连续性计划,不是物理安全。”他问道,您思考过怎样保护自己的过程控制系统吗,还是只是与IT保持同步而已。
为确保安全,你要求能够信任连接到控制器、致动器和人机接口(HMI)系统的过程传感器的输出。Weiss说:“在9/11之前,拥有设备的人就拥有了一切。9/11之后,网络被重新划分为关键基础设施,由运营商提供,并转交给IT部门维护。”结果是ICS的安全过于以IT为中心。
4.我能信任我的设备的输出吗?
Diotte说,确定有控制措施以保证工业控制网络上设备的可信性。否则,信任它们的数据是有风险的。
企业的工业控制设备有安全启动过程和防止未经授权更改固件的机制吗?你知道企业的无线软件更新和安全补丁过程有多安全吗?Diotte问道,企业的ICS设备能支持使用基于标准的PKI身份认证和数字证书吗?
Weiss补充说:“每个人都非常重视诊断。没有人会问,我们是否可以信任我们的传感器。如果你是医生,除非你知道监视器是可信的,否则就不能信任你的血压读数。”
5.IT安全措施保护了我的系统,还是带来了更多的问题?
Weiss说,IT部门不应该在没有控制系统人员监督的情况下直接使用控制系统。否则,会产生意想不到的问题。“在IT领域,如果有人用错了五次密码,就会把那个人锁定起来。”他说,当有人真的需要急于进入关键的电厂系统,那么采用同样的方法来控制其访问可能导致灾难性的后果。Weiss说:“这么做有可能把整个设施变成废墟。作为黑客,我所要做的不过就是用错五次密码来锁定你。”
Habibi说,看看企业的安全控制措施是否是针对OT环境设计的,这一点非常重要。他说:“由于安全性和可靠性的影响,代理、网络Ping扫描以及企业IT网络安全防护等其他常用方法在过程控制网络中都是不可行的。根本不应该采用这样的解决方案。就是如此。” 6.我的系统有合适的文档吗?
Dragos公司的高级漏洞分析师Reid Wightman指出,无论是部署新的控制系统还是加强现有的,都应该为控制组件必要的服务和可选服务提供所有文档。他说,你需要知道文档是否按照功能对服务进行了分解——例如,控制系统协议与工程协议、文件传输和HMI配置协议等。
当控制组件发生故障时,是否有解释控制器输出行为的文档?Wightman说:“系统中采用了哪些专有网络协议,为加强各自的服务而采取了什么措施?”你需要这类信息才能真正理解所面临的风险,知道为了隔离漏洞所采取的必要的缓解措施会对系统产生怎样的影响。
7.我真正理解我的网络访问问题吗?
Wightman说,控制系统联网后,更容易进行管理和监控,但是你需要了解安全影响范围,并采取适当的控制措施来降低风险。
例如,你有什么保证措施,保证任何通过网络访问控制系统环境的人只能对数据进行读操作?过程系统供应商是否需要对网络进行远程访问?对這种访问你怎样进行控制?
类似地,还应该知道工程师是否需要远程访问控制组件,他们为什么需要这种访问。Wightman说,确保你知道网络现有的控制措施,或者网络需要添加哪些控制措施,以达到可接受的风险等级,保证远程访问是安全的。
Mocana的Diotte指出,确定你知道不同等级和不同类型的设备所支持的通信协议。Diotte说,你应该知道与控制系统进行的所有通信是否具备很强的身份验证和加密功能,找出最易受攻击的通信协议,了解是否与SCADA和IIoT网络安全的进行通信。
8.是否具备事件响应和事件管理能力?
即使出现网络攻击的可能性相对较低,但其影响可能是灾难性的。ARC咨询公司的Snitkin认为,应该提出的一个基本问题是,企业是否具备响应并缓解成功攻击的能力。他说:“如果攻击者下定决心要渗透到企业中并建立基地,那么你很难阻止他们。”一定要制定好计划,部署好过程,以便遭受网络攻击后能够快速安全的恢复。
Habibi说,评估ICS环境的网络安全措施时,应知道怎样对企业进行配置以发现未经授权的更改。他说:“你是否有基于资产重要性的事件响应协议,以便作出适当、快速的反应?你知道工业资产有哪些攻击面吗?”
Habibi指出,应评估IT和专有控制系统资产的漏洞发现和缓解过程,知道目前有哪些补丁,哪些设施设备最易受到攻击。“如果最糟糕的情况发生,你是否有经过测试的业务连续性计划,包括对高风险系统的全新备份?”
什么是ICS?
ICS是用于工业过程运营或者实现自动化的任何设小备、仪器仪表以及相关的软件和网络。工业控制系统通常用于制造业,但对于能源、通信和运输等关键基础设施也非常重要。很多这类系统通过互联网连接至传感器和其他设备,这就是所谓的工业物联网(IIoT,Industrial Internet of Things ),这也使得ICS很容易遭受攻击。
ICS安全
ICS安全供应商PAS Global公司的首席执行官兼创始人Eddie Habibi指出:“非常重要的一点是,安全部门应汲取经验教训以保证企业IT的安全,而且还要善于运用这些经验教训,适应OT某些独特的特性。”他说:“这包括在设施设备中不仅采取基于周界的安全措施,还要在最重要的资产中加入安全控制功能——专有控制系统,这些系统对过程安全和可靠性负有首要责任。”
参考几位专家的观点,本文列出了工厂操作人员、过程控制工程师、制造IT专家以及安全人员在进行ICS安全规划时应注意的一些关键问题。
1.我有管理和维持ICS安全的人员吗?
ARC咨询集团分析师Sid Snitkin指出,企业规划人员通常倾向于认为工业网络安全在很大程度上是技术问题,而往往更大的问题是缺乏高技能的人力资源。近年来,关键基础设施运营商已经越来越多地部署推荐的技术控制措施来保护他们的系统,但却没有足够的操作运营人员。
Snitkin说:“很多企业根本没有足够的人手来维持他们投入的技术。他们部署了反恶意软件,但没有人去进行更新。他们能发现漏洞,但没有人去修复。”通常,管理网络安全的人员也是最初让系统投入运行的自动化工程师和生产工程师。
Snitkin说:“安全职能只是他们的副业。”他们没有时间,通常更注重怎样保持系统运行,而不是让系统停下来处理安全问题。Snitkin说,很多工厂经理认为他们通过实施一些技术控制措施来解决其安全问题,這是一种错误的安全观点。
2.我知道在哪儿安装了什么吗?
要正确地进行保护,首先应弄清楚在该领域安装了什么,以及它们连接到哪些系统。应用控制解决方案公司总经理Joe Weiss说,如果你对这些都不清楚,那就死定了。你需要了解已经在哪里部署了技术控制措施,在哪里可以采用技术来进行保护。Weiss说,对于不支持现代安全控制措施的系统,需要考虑进行控制补偿以降低风险。
工业安全供应商Mocana公司首席执行官Bill Diotte说:“我们已经看到由于缺乏基本的安全保护措施,黑客绕过了防火墙,跳过网关,并利用了ICS设备的漏洞。”Diotte说:“对于工厂管理人员、运营商和制造商来说,最重要的是确保ICS设备本身是可信的,并具备必要的网络安全功能。”
他说:“通常,PLC(可编程逻辑控制器)、传感器和工业网关没有数字证书等安全凭证,也没有隐藏在硬件中的私有密钥作为信任的基础。”他说,安全启动、认证、加密和信任链等基本的网络保护功能并没有在设备上实现,这影响了人员安全、正常运行时间和环境。
3.我是否部署了真正的网络安全控制系统政策?
企业所犯的最大错误就是把IT安全与控制系统安全等同起来。Weiss说,这两者完全不同。
IT安全通常侧重于探测并处理网络中的漏洞,而不考虑对过程系统的实际影响。Weiss说,对于工厂操作人员,最重要的是系统的完整性和可用性。对他们来说,重点不是某一具体的网络威胁有多么复杂,而是在于它是否会导致过程出现问题。
Weiss说:“您真的有控制系统的网络安全政策和程序吗?这不是IT,不是业务连续性计划,不是物理安全。”他问道,您思考过怎样保护自己的过程控制系统吗,还是只是与IT保持同步而已。
为确保安全,你要求能够信任连接到控制器、致动器和人机接口(HMI)系统的过程传感器的输出。Weiss说:“在9/11之前,拥有设备的人就拥有了一切。9/11之后,网络被重新划分为关键基础设施,由运营商提供,并转交给IT部门维护。”结果是ICS的安全过于以IT为中心。
4.我能信任我的设备的输出吗?
Diotte说,确定有控制措施以保证工业控制网络上设备的可信性。否则,信任它们的数据是有风险的。
企业的工业控制设备有安全启动过程和防止未经授权更改固件的机制吗?你知道企业的无线软件更新和安全补丁过程有多安全吗?Diotte问道,企业的ICS设备能支持使用基于标准的PKI身份认证和数字证书吗?
Weiss补充说:“每个人都非常重视诊断。没有人会问,我们是否可以信任我们的传感器。如果你是医生,除非你知道监视器是可信的,否则就不能信任你的血压读数。”
5.IT安全措施保护了我的系统,还是带来了更多的问题?
Weiss说,IT部门不应该在没有控制系统人员监督的情况下直接使用控制系统。否则,会产生意想不到的问题。“在IT领域,如果有人用错了五次密码,就会把那个人锁定起来。”他说,当有人真的需要急于进入关键的电厂系统,那么采用同样的方法来控制其访问可能导致灾难性的后果。Weiss说:“这么做有可能把整个设施变成废墟。作为黑客,我所要做的不过就是用错五次密码来锁定你。”
Habibi说,看看企业的安全控制措施是否是针对OT环境设计的,这一点非常重要。他说:“由于安全性和可靠性的影响,代理、网络Ping扫描以及企业IT网络安全防护等其他常用方法在过程控制网络中都是不可行的。根本不应该采用这样的解决方案。就是如此。” 6.我的系统有合适的文档吗?
Dragos公司的高级漏洞分析师Reid Wightman指出,无论是部署新的控制系统还是加强现有的,都应该为控制组件必要的服务和可选服务提供所有文档。他说,你需要知道文档是否按照功能对服务进行了分解——例如,控制系统协议与工程协议、文件传输和HMI配置协议等。
当控制组件发生故障时,是否有解释控制器输出行为的文档?Wightman说:“系统中采用了哪些专有网络协议,为加强各自的服务而采取了什么措施?”你需要这类信息才能真正理解所面临的风险,知道为了隔离漏洞所采取的必要的缓解措施会对系统产生怎样的影响。
7.我真正理解我的网络访问问题吗?
Wightman说,控制系统联网后,更容易进行管理和监控,但是你需要了解安全影响范围,并采取适当的控制措施来降低风险。
例如,你有什么保证措施,保证任何通过网络访问控制系统环境的人只能对数据进行读操作?过程系统供应商是否需要对网络进行远程访问?对這种访问你怎样进行控制?
类似地,还应该知道工程师是否需要远程访问控制组件,他们为什么需要这种访问。Wightman说,确保你知道网络现有的控制措施,或者网络需要添加哪些控制措施,以达到可接受的风险等级,保证远程访问是安全的。
Mocana的Diotte指出,确定你知道不同等级和不同类型的设备所支持的通信协议。Diotte说,你应该知道与控制系统进行的所有通信是否具备很强的身份验证和加密功能,找出最易受攻击的通信协议,了解是否与SCADA和IIoT网络安全的进行通信。
8.是否具备事件响应和事件管理能力?
即使出现网络攻击的可能性相对较低,但其影响可能是灾难性的。ARC咨询公司的Snitkin认为,应该提出的一个基本问题是,企业是否具备响应并缓解成功攻击的能力。他说:“如果攻击者下定决心要渗透到企业中并建立基地,那么你很难阻止他们。”一定要制定好计划,部署好过程,以便遭受网络攻击后能够快速安全的恢复。
Habibi说,评估ICS环境的网络安全措施时,应知道怎样对企业进行配置以发现未经授权的更改。他说:“你是否有基于资产重要性的事件响应协议,以便作出适当、快速的反应?你知道工业资产有哪些攻击面吗?”
Habibi指出,应评估IT和专有控制系统资产的漏洞发现和缓解过程,知道目前有哪些补丁,哪些设施设备最易受到攻击。“如果最糟糕的情况发生,你是否有经过测试的业务连续性计划,包括对高风险系统的全新备份?”