工控安全工作要考慮的問(wèn)題有哪些?
? ? ??? ?最近,一個(gè)潛在的民族國(guó)家威脅行為者在測(cè)試新的惡意軟件時(shí),無(wú)意中關(guān)閉了中東地區(qū)的關(guān)鍵基礎(chǔ)設(shè)施,這種工業(yè)控制系統(tǒng) (ICS)面對(duì)新的網(wǎng)絡(luò)威脅時(shí)所呈現(xiàn)出的脆弱性,引發(fā)了人們的普遍擔(dān)憂。許多安全專家認(rèn)為,這起事件是威脅行為者即將對(duì)ICS展開(kāi)新一輪破壞性攻擊的預(yù)兆,專家們希望關(guān)鍵基礎(chǔ)設(shè)施所有者能夠緊急更新其運(yùn)營(yíng)技術(shù)(OT)網(wǎng)絡(luò)的安全性。?
???? 什么是工業(yè)控制系統(tǒng)?
? ? ??? 工業(yè)控制系統(tǒng)是用于操作或自動(dòng)化工業(yè)過(guò)程的任何設(shè)備、儀器以及相關(guān)的軟件和網(wǎng)絡(luò)。工業(yè)控制系統(tǒng)通常用于制造業(yè),但對(duì)于能源、通信和交通等關(guān)鍵基礎(chǔ)設(shè)施也同樣具有非常重要的意義。很多此類系統(tǒng)都是通過(guò)互聯(lián)網(wǎng)——工業(yè)物聯(lián)網(wǎng)(IIoT)連接到傳感器和其他設(shè)備中的,這無(wú)疑增加了潛在的ICS攻擊面。
? ??? ? 企業(yè)組織除了必須充分利用經(jīng)驗(yàn)教訓(xùn)來(lái)確保企業(yè)IT的安全外,還要將這些經(jīng)驗(yàn)教訓(xùn)應(yīng)用于運(yùn)營(yíng)技術(shù)(OT)的獨(dú)特特性之中。這包括超越基于邊界的設(shè)施安全,并將安全控制措施添加到最重要的資產(chǎn)——專有控制系統(tǒng)中,因?yàn)樵撓到y(tǒng)將對(duì)流程安全性和可靠性負(fù)有主要責(zé)任。?
? ? ?? ?根據(jù)一些安全專家總結(jié)稱,以下是電廠操作員、流程控制工程師、制造IT專家以及安全人員在規(guī)劃ICS安全時(shí)必須要詢問(wèn)的一些關(guān)鍵問(wèn)題:
? ?? ?? A.我是否配有專人負(fù)責(zé)管理和維持ICS安全?
? ?? ?? 組織規(guī)劃人員往往傾向于認(rèn)為,工業(yè)網(wǎng)絡(luò)安全在很大程度上屬于技術(shù)問(wèn)題,而加深這一技術(shù)問(wèn)題的更大難題是缺乏技術(shù)資源。近年來(lái),關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營(yíng)商越來(lái)越多地采用推薦的技術(shù)控制措施來(lái)保護(hù)他們的系統(tǒng),但卻沒(méi)有足夠的人員來(lái)管理和維護(hù)這些措施/技術(shù)。
? ? ??? 例如,投入反惡意軟件技術(shù),但卻沒(méi)有人來(lái)負(fù)責(zé)技術(shù)更新。安全產(chǎn)品可以識(shí)別漏洞,但卻沒(méi)有人來(lái)修復(fù)。
? ? ?? ?通常情況下,負(fù)責(zé)管理網(wǎng)絡(luò)安全的人員同時(shí)也是將系統(tǒng)放在首位的自動(dòng)化工程師和生產(chǎn)工程師。安全只是這些人的其中一項(xiàng)兼職工作。由于時(shí)間精力,通常只會(huì)更關(guān)注保持系統(tǒng)運(yùn)行而不是解決安全問(wèn)題。許多工廠管理者認(rèn)為,他們通過(guò)實(shí)施一些技術(shù)控制措施已經(jīng)解決了他們的安全問(wèn)題,但這種想法往往是在虛假的安全意識(shí)下運(yùn)作的。
? ? ??? B.我是否真的清楚自己的工控系統(tǒng)中安裝了什么?
? ? ?? ?想要獲得正確的保護(hù),首先你需要弄清楚自己的工控系統(tǒng)中究竟安裝了什么,以及它們分別連接了哪些系統(tǒng)?如果你不具備這種可見(jiàn)性,你將會(huì)被溺死在網(wǎng)絡(luò)安全的深水中。你需要了解技術(shù)控制的具體位置,以及這些技術(shù)可以用于保護(hù)的具體位置。對(duì)于不支持現(xiàn)代安全控制的系統(tǒng),你還需要考慮進(jìn)行補(bǔ)償控制以降低風(fēng)險(xiǎn)。
? ??? ? 由于缺乏基本的安全保護(hù)措施,我們發(fā)現(xiàn)黑客能夠輕松繞過(guò)防火墻、跳過(guò)物理隔離(air gaps),并利用ICS設(shè)備的漏洞。對(duì)于工廠管理人員、運(yùn)營(yíng)商以及制造商來(lái)說(shuō),確保ICS設(shè)備本身值得信賴并支持重要的網(wǎng)絡(luò)安全是至關(guān)重要的。通常情況下,PLC(可編程邏輯控制器),傳感器以及工業(yè)網(wǎng)關(guān)沒(méi)有安全證書(如數(shù)字證書)或包含在芯片中的私鑰作為信任的基礎(chǔ)。像安全啟動(dòng)、認(rèn)證、加密和信任鏈接這樣的基本網(wǎng)絡(luò)保護(hù)措施,并未在影響人員安全、正常運(yùn)行時(shí)間和環(huán)境的設(shè)備上實(shí)施。
? ?? ?? C.我是否真正擁有合適的網(wǎng)絡(luò)安全控制系統(tǒng)策略?
? ? ??? 組織容易犯的最大錯(cuò)誤之一就是將IT安全與工業(yè)控制系統(tǒng)安全等同起來(lái)。但是,這兩者本質(zhì)上來(lái)說(shuō)卻是完全不同的。
??????? IT安全通常專注于檢測(cè)和解決網(wǎng)絡(luò)中的漏洞,而不考慮對(duì)流程系統(tǒng)的實(shí)際影響。對(duì)于工廠操作員來(lái)說(shuō),最重要的是系統(tǒng)的完整性和可用性。他們關(guān)注的焦點(diǎn)并不在于特定網(wǎng)絡(luò)威脅的復(fù)雜程度,而在于它是否會(huì)給這個(gè)過(guò)程帶來(lái)問(wèn)題。
? ? ??? 你是否真正地?fù)碛锌刂葡到y(tǒng)網(wǎng)絡(luò)安全策略和程序?不是IT,不是業(yè)務(wù)連續(xù)性,不是物理安全性。你是否有想過(guò)如何保護(hù)你的流程控制系統(tǒng),或者你是否與IT部門保持同步?為了確保安全,你需要能夠信任連接到你的控制器、執(zhí)行器和人機(jī)界面(HMI)系統(tǒng)的過(guò)程傳感器的輸出。在9/11之前,擁有這些設(shè)備的人就等于擁有了它的一切。而在9/11之后,網(wǎng)絡(luò)被重新分類為關(guān)鍵基礎(chǔ)設(shè)施,且取自運(yùn)營(yíng)商并提供給IT部門。其結(jié)果是形成過(guò)于以IT為中心的ICS安全觀。
? ? ?? ?D.我能否信任我的設(shè)備輸出?
? ? ?? ?確認(rèn)你自己有控制權(quán)來(lái)確保工業(yè)控制網(wǎng)絡(luò)上設(shè)備的可靠性。否則的話,相信他們的數(shù)據(jù)是會(huì)帶來(lái)風(fēng)險(xiǎn)的。
? ? ??? 你的工業(yè)控制設(shè)備是否具有安全引導(dǎo)過(guò)程和防止未經(jīng)授權(quán)更改固件的機(jī)制等功能?你知道你的無(wú)線軟件更新和安全補(bǔ)丁程序有多安全嗎?你的ICS設(shè)備能否支持使用基于標(biāo)準(zhǔn)的PKI認(rèn)證和數(shù)字證書?
? ??? ? 如今,每個(gè)人都只是專注于診斷。沒(méi)有人會(huì)想起來(lái)問(wèn)‘我們是否可以信任我們自己的傳感器’。如果你是一名醫(yī)生,除非你知道顯示器可以被信任,否則你不能相信你的血壓讀數(shù)。
? ??? ??E.IT安全措施是在保護(hù)我的系統(tǒng)還是造成更多問(wèn)題?
? ??? ? IT部門不應(yīng)該直接采用沒(méi)有控制系統(tǒng)人員監(jiān)督的控制系統(tǒng)。否則,可能會(huì)導(dǎo)致意外問(wèn)題。在IT中,如果有人嘗試輸入錯(cuò)誤的密碼達(dá)到五次,你就可以把這個(gè)人鎖定了。?
? ??? ? 如果有人真的需要急于進(jìn)入該系統(tǒng),采用同樣的方法來(lái)控制對(duì)關(guān)鍵電廠系統(tǒng)的訪問(wèn)可能是災(zāi)難性的。如此一來(lái),你可能會(huì)把設(shè)備變?yōu)閺U墟。因?yàn)樽鳛橐幻诳停宜枰龅木褪前l(fā)送五次錯(cuò)誤的密碼來(lái)鎖定你。?
? ??? ? 此外,了解你的安全控制是否適用于運(yùn)營(yíng)技術(shù)(OT)環(huán)境至關(guān)重要。由于安全性和可靠性的影響,代理、網(wǎng)絡(luò)ping掃描和其他常見(jiàn)的保護(hù)企業(yè)IT網(wǎng)絡(luò)的方法,在過(guò)程控制網(wǎng)絡(luò)中都是不起作用的。這樣的解決方案應(yīng)該永遠(yuǎn)不會(huì)投入生產(chǎn)階段。
? ??? ? F.我的系統(tǒng)是否有正確的文檔?
? ? ?? ?無(wú)論是部署新的控制系統(tǒng),還是強(qiáng)化現(xiàn)有的控制系統(tǒng),為控制組件提供必要和可選服務(wù)的所有文檔都是非常重要的。你需要知道文檔是否按功能分解了服務(wù)——例如,控制系統(tǒng)協(xié)議VS工程協(xié)議VS文件傳輸和HMI配置協(xié)議。?
? ? ?? ?當(dāng)控制組件出現(xiàn)故障時(shí),是否有文檔解釋控制器輸出的行為?你需要了解系統(tǒng)中實(shí)施了哪些專有網(wǎng)絡(luò)協(xié)議,以及為加強(qiáng)各自的服務(wù)而采取了哪些措施? 通過(guò)此類信息,你才能真正地了解你正在面臨的風(fēng)險(xiǎn),以及隔離正在影響系統(tǒng)的漏洞所需的緩解措施。
??? ? ? G.我完全了解自己的網(wǎng)絡(luò)訪問(wèn)問(wèn)題嗎?
? ? ?? ?將控制系統(tǒng)連接到網(wǎng)絡(luò)可以使它們更容易管理和操作,但是首先你需要對(duì)安全風(fēng)險(xiǎn)有所了解,并采取適當(dāng)?shù)目刂拼胧﹣?lái)減輕風(fēng)險(xiǎn)。
? ? ?? ?例如,你采取了哪些措施能夠確保通過(guò)網(wǎng)絡(luò)訪問(wèn)你的控制系統(tǒng)環(huán)境的任何人只能對(duì)數(shù)據(jù)進(jìn)行只讀訪問(wèn)?過(guò)程系統(tǒng)供應(yīng)商是否需要遠(yuǎn)程訪問(wèn)網(wǎng)絡(luò)?你可以對(duì)這種訪問(wèn)進(jìn)行什么樣的控制?
? ??? ? 同樣地,你需要知道工程師是否會(huì)遠(yuǎn)程訪問(wèn)控制組件,以及為什么他們需要訪問(wèn)權(quán)限。請(qǐng)確保你知道存在哪些控制措施,或者可能需要添加哪些措施以使網(wǎng)絡(luò)風(fēng)險(xiǎn)達(dá)到可接受的級(jí)別,并確保安全地執(zhí)行遠(yuǎn)程訪問(wèn)。
? ? ?? ?此外,還要確保詢問(wèn)需要通過(guò)設(shè)備類別和設(shè)備類型支持的通信協(xié)議。了解你是否擁有與控制系統(tǒng)通信的所有強(qiáng)大認(rèn)證和加密功能,識(shí)別最易受攻擊的通信協(xié)議,了解你是否正在與 SCADA 和 IIoT 網(wǎng)絡(luò)進(jìn)行安全通信。
? ? ?? ?H.事件響應(yīng)和事件管理功能是否到位?
? ? ?? ?即使網(wǎng)絡(luò)攻擊的可能性相對(duì)較低,也要謹(jǐn)記,任何一次網(wǎng)絡(luò)攻擊所造成的影響都可能是災(zāi)難性的。在此環(huán)節(jié),你需要明確的一個(gè)基本問(wèn)題是你應(yīng)對(duì)和緩解成功攻擊的能力。如果攻擊者真的想滲透你的組織并建立一個(gè)基地,你可能將無(wú)法阻止他們,你需要確保自己有一個(gè)計(jì)劃和一個(gè)流程,以便能夠從網(wǎng)絡(luò)攻擊中迅速而安全地恢復(fù)。
? ? ??? 在評(píng)估你的ICS環(huán)境的網(wǎng)絡(luò)安全措施時(shí),你需要明確以下問(wèn)題:“你是否有基于資產(chǎn)重要性的事件響應(yīng)協(xié)議來(lái)適當(dāng)和快速地做出響應(yīng)?你知道工業(yè)資產(chǎn)存在何種程度的攻擊面嗎?”?
? ? ??? 最后,評(píng)估你的漏洞識(shí)別和緩解過(guò)程,同時(shí)適用于基于IT的控制系統(tǒng)資產(chǎn)以及專有控制系統(tǒng)資產(chǎn),目前存在的補(bǔ)丁級(jí)別以及最容易暴露的設(shè)施。如果最糟糕的情況發(fā)生,你需要明確自己是否具備測(cè)試業(yè)務(wù)連續(xù)性計(jì)劃,包括對(duì)風(fēng)險(xiǎn)系統(tǒng)的全新備份。
