作者 | 绿盟科技格物实验室 田泽夏 tianzexia@nsfocus.com

背景

一切事物都在发展。简单地说,事物从简单到复杂的逐渐发展就是进化的全部意义。当某物停止进化,但仍存在时,它就被归类为活化石。银杏就是一个例子。这种进化花了数百万年才停止。这一切都是在没有人类帮助的情况下发生的。

当我们想到我们与技术的关系时,很明显,我们离实现技术进化的终点还很远。即使我们考虑人类最早的技术成就,比如如何把水运上山,我们仍然需要很多年才能用尽我们的想象力和技术能力。然而,就像树木容易受到自然力量的影响一样,我们也知道,人类最伟大的成就也可能被人类鼓舞人心的聪明才智所破坏。

关键基础设施的演变

互联网时代技术发展的一个例子是在关键基础设施和OT领域,水和废水系统只是关键基础设施的一类。多年发展以来,我们确实取得了长足的进步,但我们的破坏性也变得更强了。

许多控制关键基础设施部门的设备都被设计成拥有独立的机制。值得一提的是,这些类型的设备,如可编程逻辑控制器(PLC),已经存在了几十年,但从来没有连接到互联网,也从来没有打算这样做。虽然这种演变带来了易用性和远程访问,但它也为一系列全新的挑战打开了大门。

这些设备通常有长达20年的生命周期,无需更新、升级或打补丁。恶意攻击者正在想方设法让这些设备去做它们本职功能之外的事情。针对PLC设备的攻击正在与那些流行的消费者级操作系统(例如Windows系统)竞争,需要关注的不只是那些较高的CVSS评分。

一个需要培训和意识的时代

为了克服这些挑战,培训和意识是关键。这些系统现在需要的不仅仅是物理上的安全;他们需要基于互联网协议的安全——或者更亲切地称为“网络安全”。设备需要更频繁地更新或升级,如果不能做到这一点,就需要更严格的控制,以阻止不必要的流量进入这些设备。

例如,一个逻辑控制器应该只与某个工程师工作站或人机界面(HMI)通信。PLC应该只接收特定类型的数据包来确定,例如,阀门应该是开的还是关的,或者设置为特定的水平。如果向控制器发送了一个意外的命令,比如一个导致控制器旋转速度超过其正常工作阈值的命令,那么将删除该指令,记录该指令,并标记该指令,以便进一步调查。

一个公开接受来自互联网指令的逻辑控制器是极其脆弱的。显然,向PLC发出命令的工作站也存在问题。其中一个关键影响是COVID-19大流行。由于人们被迫在家办公,企业不得不迅速让员工实现远程工作,远程访问大大加快了对安全性的需求。在疫情之前,这些公司中有许多是严格禁止远程工作的,但现在它们被迫适应以便能够正常运作。许多基于IP的设备需要进行首次远程控制,那么建立安全访问权限就至关重要。

在这些新的工作规则下,当疫情开始缓解并恢复时,有三种选择:

  • 传统主义者认为一切都应该回到原来的样子。

  • 未来主义者认为,现在是继续远程工作、不再回到办公室的时候了。

  • 还有一些人介于两者之间。

可以推测,大多数人会介于两者之间。鉴于这场疫情持续的时间远远超过任何人的预期,各组织不情愿地开始了数字化转型。有些人选择全力以赴,有些人则慢慢地维持最低限度的经营。因此,对网络安全的需求只会越来越大。组织需要采取务实的方法,关注以下主题:

  • 了解他们的网络上有哪些设备。

  • 了解哪些设备在与其他设备通信,无论是内部还是外部。

  • 了解这些设备的风险状况,无论是关于漏洞还是它们的配置方式。

基于这三点,接下来需要把重点放在降低已识别的风险上,并确保网络被适当地分割和监控。

互联网安全中心发布了关键安全控制,帮助组织计划如何以简单和实用的方式构建他们的安全程序。对于那些在构建程序时负责关键基础设施和OT安全实现的人来说,这是一个很好的资源,他们还可以与业务IT方面的同行合作,在组织内创建协同效应。

进化的发生既是出于需要,也是为了让我们的生活更轻松。在这种情况下,关键基础设施的网络安全状况必须发展得更加安全。我们还有很长的路要走,才能让我们的聪明才智变成活化石。

声明:本文来自网络安全应急技术国家工程实验室,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。