最近,一个潜在的民族国家威胁行为者在测试新的恶意软件时,无意中关闭了中东地区的关键基础设施,这种工业控制系统(ICS)面对新的网络威胁时所呈现出的脆弱性,引发了人们的普遍担忧。许多安全专家认为,这起事件是威胁行为者即将对ICS展开新一轮破坏性攻击的预兆,专家们希望关键基础设施所有者能够紧急更新其运营技术(OT)网络的安全性。

什么是工业控制系统?

工业控制系统是用于操作或自动化工业过程的任何设备、仪器以及相关的软件和网络。工业控制系统通常用于制造业,但对于能源、通信和交通等关键基础设施也同样具有非常重要的意义。很多此类系统都是通过互联网——工业物联网(IIoT)连接到传感器和其他设备中的,这无疑增加了潜在的ICS攻击面。

企业组织除了必须充分利用经验教训来确保企业IT的安全外,还要将这些经验教训应用于运营技术(OT)的独特特性之中。这包括超越基于边界的设施安全,并将安全控制措施添加到最重要的资产——专有控制系统中,因为该系统将对流程安全性和可靠性负有主要责任。

根据一些安全专家总结称,以下是电厂操作员、流程控制工程师、制造IT专家以及安全人员在规划ICS安全时必须要询问的一些关键问题:

1. 我是否配有专人负责管理和维持ICS安全?

组织规划人员往往倾向于认为,工业网络安全在很大程度上属于技术问题,而加深这一技术问题的更大难题是缺乏技术资源。近年来,关键基础设施运营商越来越多地采用推荐的技术控制措施来保护他们的系统,但却没有足够的人员来管理和维护这些措施/技术。

例如,投入反恶意软件技术,但却没有人来负责技术更新。安全产品可以识别漏洞,但却没有人来修复。

通常情况下,负责管理网络安全的人员同时也是将系统放在首位的自动化工程师和生产工程师。安全只是这些人的其中一项兼职工作。由于时间精力,通常只会更关注保持系统运行而不是解决安全问题。许多工厂管理者认为,他们通过实施一些技术控制措施已经解决了他们的安全问题,但这种想法往往是在虚假的安全意识下运作的。

2. 我是否真的清楚自己的工控系统中安装了什么?

想要获得正确的保护,首先你需要弄清楚自己的工控系统中究竟安装了什么,以及它们分别连接了哪些系统?如果你不具备这种可见性,你将会被溺死在网络安全的深水中。你需要了解技术控制的具体位置,以及这些技术可以用于保护的具体位置。对于不支持现代安全控制的系统,你还需要考虑进行补偿控制以降低风险。

由于缺乏基本的安全保护措施,我们发现黑客能够轻松绕过防火墙、跳过物理隔离(air gaps),并利用ICS设备的漏洞。对于工厂管理人员、运营商以及制造商来说,确保ICS设备本身值得信赖并支持重要的网络安全是至关重要的。通常情况下,PLC(可编程逻辑控制器),传感器以及工业网关没有安全证书(如数字证书)或包含在芯片中的私钥作为信任的基础。像安全启动、认证、加密和信任链接这样的基本网络保护措施,并未在影响人员安全、正常运行时间和环境的设备上实施。

3. 我是否真正拥有合适的网络安全控制系统策略?

组织容易犯的最大错误之一就是将IT安全与工业控制系统安全等同起来。但是,这两者本质上来说却是完全不同的。

IT安全通常专注于检测和解决网络中的漏洞,而不考虑对流程系统的实际影响。对于工厂操作员来说,最重要的是系统的完整性和可用性。他们关注的焦点并不在于特定网络威胁的复杂程度,而在于它是否会给这个过程带来问题。

你是否真正地拥有控制系统网络安全策略和程序?不是IT,不是业务连续性,不是物理安全性。你是否有想过如何保护你的流程控制系统,或者你是否与IT部门保持同步?为了确保安全,你需要能够信任连接到你的控制器、执行器和人机界面(HMI)系统的过程传感器的输出。在9/11之前,拥有这些设备的人就等于拥有了它的一切。而在9/11之后,网络被重新分类为关键基础设施,且取自运营商并提供给IT部门。其结果是形成过于以IT为中心的ICS安全观。

4. 我能否信任我的设备输出?

确认你自己有控制权来确保工业控制网络上设备的可靠性。否则的话,相信他们的数据是会带来风险的。

你的工业控制设备是否具有安全引导过程和防止未经授权更改固件的机制等功能?你知道你的无线软件更新和安全补丁程序有多安全吗?你的ICS设备能否支持使用基于标准的PKI认证和数字证书?

如今,每个人都只是专注于诊断。没有人会想起来问‘我们是否可以信任我们自己的传感器’。如果你是一名医生,除非你知道显示器可以被信任,否则你不能相信你的血压读数。

5. IT安全措施是在保护我的系统还是造成更多问题?

IT部门不应该直接采用没有控制系统人员监督的控制系统。否则,可能会导致意外问题。在IT中,如果有人尝试输入错误的密码达到五次,你就可以把这个人锁定了。

如果有人真的需要急于进入该系统,采用同样的方法来控制对关键电厂系统的访问可能是灾难性的。如此一来,你可能会把设备变为废墟。因为作为一名黑客,我所需要做的就是发送五次错误的密码来锁定你。

此外,了解你的安全控制是否适用于运营技术(OT)环境至关重要。由于安全性和可靠性的影响,代理、网络ping扫描和其他常见的保护企业IT网络的方法,在过程控制网络中都是不起作用的。这样的解决方案应该永远不会投入生产阶段。

6. 我的系统是否有正确的文档?

无论是部署新的控制系统,还是强化现有的控制系统,为控制组件提供必要和可选服务的所有文档都是非常重要的。你需要知道文档是否按功能分解了服务——例如,控制系统协议VS工程协议VS文件传输和HMI配置协议。

当控制组件出现故障时,是否有文档解释控制器输出的行为?你需要了解系统中实施了哪些专有网络协议,以及为加强各自的服务而采取了哪些措施? 通过此类信息,你才能真正地了解你正在面临的风险,以及隔离正在影响系统的漏洞所需的缓解措施。

7. 我完全了解自己的网络访问问题吗?

将控制系统连接到网络可以使它们更容易管理和操作,但是首先你需要对安全风险有所了解,并采取适当的控制措施来减轻风险。

例如,你采取了哪些措施能够确保通过网络访问你的控制系统环境的任何人只能对数据进行只读访问?过程系统供应商是否需要远程访问网络?你可以对这种访问进行什么样的控制?

同样地,你需要知道工程师是否会远程访问控制组件,以及为什么他们需要访问权限。请确保你知道存在哪些控制措施,或者可能需要添加哪些措施以使网络风险达到可接受的级别,并确保安全地执行远程访问。

此外,还要确保询问需要通过设备类别和设备类型支持的通信协议。了解你是否拥有与控制系统通信的所有强大认证和加密功能,识别最易受攻击的通信协议,了解你是否正在与 SCADA 和 IIoT 网络进行安全通信。

8. 事件响应和事件管理功能是否到位?

即使网络攻击的可能性相对较低,也要谨记,任何一次网络攻击所造成的影响都可能是灾难性的。在此环节,你需要明确的一个基本问题是你应对和缓解成功攻击的能力。如果攻击者真的想渗透你的组织并建立一个基地,你可能将无法阻止他们,你需要确保自己有一个计划和一个流程,以便能够从网络攻击中迅速而安全地恢复。

在评估你的ICS环境的网络安全措施时,你需要明确以下问题:“你是否有基于资产重要性的事件响应协议来适当和快速地做出响应?你知道工业资产存在何种程度的攻击面吗?”

最后,评估你的漏洞识别和缓解过程,同时适用于基于IT的控制系统资产以及专有控制系统资产,目前存在的补丁级别以及最容易暴露的设施。如果最糟糕的情况发生,你需要明确自己是否具备测试业务连续性计划,包括对风险系统的全新备份。

声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。