西門(mén)子和羅克韋爾致力于解決工業(yè)網(wǎng)絡(luò)安全問(wèn)題
網(wǎng)絡(luò)攻擊可能會(huì)對(duì)依賴(lài)工業(yè)控制系統(tǒng) (ICS) 或其他運(yùn)營(yíng)技術(shù) (OT) 的組織造成嚴(yán)重破壞和損失,無(wú)論它們是直接針對(duì) ICS(例如最近發(fā)生的水務(wù)部門(mén)攻擊事件),還是間接影響 ICS(例如勒索軟件攻擊事件),其影響可能會(huì)從 IT 環(huán)境蔓延開(kāi)來(lái)。?
負(fù)責(zé)管理西門(mén)子產(chǎn)品和服務(wù)相關(guān)安全問(wèn)題的西門(mén)子產(chǎn)品 CERT 表示,導(dǎo)致隱私泄露和生產(chǎn)停頓的網(wǎng)絡(luò)攻擊屢見(jiàn)不鮮。?
許多事件的根本原因與密碼缺失或安全性較差有關(guān),這通常是由于集成商為了簡(jiǎn)化服務(wù)而多次不使用密碼或使用相同(通常很簡(jiǎn)單)的密碼。?
西門(mén)子安全專(zhuān)家經(jīng)常看到多年未更新的系統(tǒng),以及未受保護(hù)且暴露在互聯(lián)網(wǎng)上的系統(tǒng)。?
這家工業(yè)巨頭的調(diào)查通常重點(diǎn)關(guān)注OT組件周?chē)腎T環(huán)境,而不是攻擊者利用OT組件本身的漏洞。
然而,西門(mén)子產(chǎn)品 CERT 意識(shí)到,利用全球許多組織使用的產(chǎn)品中的漏洞可能會(huì)造成毀滅性的影響,正如2017年的WannaCry勒索軟件攻擊所表明的那樣,該攻擊主要針對(duì) IT 系統(tǒng),但也對(duì) ICS 構(gòu)成了風(fēng)險(xiǎn)。?
WannaCry攻擊利用了名為“EternalBlue”的SMB漏洞,影響了包括西門(mén)子在內(nèi)的多家供應(yīng)商的醫(yī)療設(shè)備,西門(mén)子當(dāng)時(shí)發(fā)布了補(bǔ)丁以防止該漏洞被利用。
在WannaCry攻擊發(fā)生幾周后,同樣的EternalBlue漏洞被用于NotPetya 惡意軟件攻擊,給許多大公司造成了重大損失。??
對(duì)于羅克韋爾自動(dòng)化生命周期服務(wù)部門(mén)負(fù)責(zé)產(chǎn)品安全的Joshua Newton 來(lái)說(shuō),NotPetya攻擊是針對(duì)ICS環(huán)境的重大攻擊的最佳例子,因?yàn)檫@次網(wǎng)絡(luò)攻擊擾亂了制造商的整個(gè)運(yùn)營(yíng),并對(duì)全球供應(yīng)鏈產(chǎn)生了嚴(yán)重影響。?
牛頓稱(chēng)?“在大多數(shù)情況下,IT網(wǎng)絡(luò)是攻擊媒介,未打補(bǔ)丁或已停產(chǎn)的工業(yè)控制系統(tǒng) Windows操作系統(tǒng)很容易成為攻擊目標(biāo),造成中斷甚至損壞。”
從這些聲明中可以清楚地看出,WannaCry和 NotPetya等全球性事件是工業(yè)自動(dòng)化巨頭最關(guān)心的問(wèn)題。那么西門(mén)子(特別是其Product CERT團(tuán)隊(duì))和羅克韋爾自動(dòng)化正在采取什么措施來(lái)幫助保護(hù)客戶(hù)免受此類(lèi)事件的侵害呢??
ICS最初的設(shè)計(jì)并沒(méi)有考慮到網(wǎng)絡(luò)安全——許多人認(rèn)為這種設(shè)備無(wú)法被黑客入侵,因?yàn)樗鼈兣c網(wǎng)絡(luò)的其他部分完全隔離——但I(xiàn)T和OT之間的融合,以及遠(yuǎn)程訪問(wèn)工業(yè)系統(tǒng)日益增長(zhǎng)的需求,促使ICS供應(yīng)商采取新的方法并在網(wǎng)絡(luò)安全方面投入大量資源。?
除了建立內(nèi)部網(wǎng)絡(luò)安全團(tuán)隊(duì)和部門(mén)為客戶(hù)提供安全服務(wù)和解決方案外,西門(mén)子和羅克韋爾自動(dòng)化等工業(yè)巨頭還與專(zhuān)業(yè)公司合作,提供全面的工業(yè)網(wǎng)絡(luò)安全。?
例如,西門(mén)子一直與Palo Alto Networks和Nozomi Networks合作,而羅克韋爾一直與 Claroty、Dragos 和 Fortinet 合作,甚至在去年??收購(gòu)了ICS/OT 安全公司Verve。
對(duì)于西門(mén)子Product CERT部門(mén)來(lái)說(shuō),目標(biāo)是提高透明度并幫助客戶(hù)在漏洞處理方面做出明智的決策。?
西門(mén)子Product CERT每周二都會(huì)發(fā)布安全公告,每年解決數(shù)百個(gè)漏洞,該公司表示,這證明了該公司對(duì)安全的重視,而不是表明其產(chǎn)品比其他供應(yīng)商的產(chǎn)品更容易受到攻擊。?
西門(mén)子Product CERT表示:“西門(mén)子發(fā)現(xiàn)、處理并向集成商和客戶(hù)披露的安全問(wèn)題數(shù)量與主要 IT 供應(yīng)商相當(dāng),并且超過(guò)大多數(shù)OT供應(yīng)商。”?
Product CERT一直與其他產(chǎn)品團(tuán)隊(duì)合作,利用自動(dòng)化擴(kuò)展漏洞處理流程,同時(shí)滿(mǎn)足新標(biāo)準(zhǔn)和客戶(hù)的需求。
具體來(lái)說(shuō),西門(mén)子的建議采用機(jī)器可讀的 CSAF 格式,以支持自動(dòng)化流程。?
西門(mén)子Product CERT團(tuán)隊(duì)表示:“關(guān)注系統(tǒng)安全的客戶(hù)現(xiàn)在可以清楚地知道,如果不進(jìn)行修補(bǔ)和升級(jí),他們的安裝中很快就會(huì)出現(xiàn)大量漏洞。記錄系統(tǒng)狀態(tài)非常重要。管理層現(xiàn)在可以權(quán)衡更新成本并做出決定。如果沒(méi)有適當(dāng)?shù)穆┒赐该鞫龋?fù)責(zé)系統(tǒng)的人員在這方面就會(huì)視而不見(jiàn)。”?
然而,最終是否部署安全補(bǔ)丁仍取決于客戶(hù),而且許多工業(yè)組織仍然猶豫不決,因?yàn)楦驴赡軙?huì)造成干擾。?
首先,西門(mén)子Product CERT指出,評(píng)估漏洞對(duì)供應(yīng)鏈的影響和暴露程度可能是一項(xiàng)成本高昂的任務(wù),而且通常需要手動(dòng)完成。“業(yè)界尚未找到更有效的方法來(lái)實(shí)現(xiàn)這一目標(biāo),”它表示。
西門(mén)子 ProductCERT 解釋道:“即使投入預(yù)算來(lái)提高人們對(duì)當(dāng)前安全狀況和軟件安全補(bǔ)丁狀態(tài)的認(rèn)識(shí),應(yīng)用已確定的補(bǔ)丁仍具有挑戰(zhàn)性,因?yàn)橄到y(tǒng)的可用性可能會(huì)受到影響。制造商之間補(bǔ)丁類(lèi)型的多樣性也意味著將不兼容性引入之前正常運(yùn)行的系統(tǒng)的風(fēng)險(xiǎn)。除此之外,還有人擔(dān)心某些配置可能會(huì)受到影響,因?yàn)楣?yīng)商無(wú)法確保所有可能的場(chǎng)景都得到維護(hù),尤其是針對(duì)舊系統(tǒng)。”
它補(bǔ)充道:“我們還需要考慮最重要的猶豫似乎與財(cái)務(wù)和業(yè)務(wù)需求有關(guān)。維護(hù)和更新基礎(chǔ)設(shè)施被視為成本因素,而不是維持業(yè)務(wù)的內(nèi)在必要性,而且沒(méi)有任何激勵(lì)或強(qiáng)制要求任何維護(hù)窗口進(jìn)行修補(bǔ)。”?
羅克韋爾自動(dòng)化解決了 ICS/OT 安全的另一個(gè)方面:說(shuō)服客戶(hù)認(rèn)真對(duì)待安全并對(duì)其進(jìn)行投資。?
首先,說(shuō)服客戶(hù)為 OT 網(wǎng)絡(luò)安全分配資金,根據(jù)羅克韋爾的 Newton 的說(shuō)法,這實(shí)際上是一場(chǎng)關(guān)于風(fēng)險(xiǎn)的對(duì)話(huà)。
“事件的成本取決于對(duì)生產(chǎn)的潛在影響。這是可以量化的。在我擔(dān)任 OT 網(wǎng)絡(luò)安全顧問(wèn)的這些年里,這些都是基于定性假設(shè)的對(duì)話(huà),并用于做出實(shí)時(shí)設(shè)計(jì)決策。然而,客戶(hù)變得越來(lái)越老練,正在轉(zhuǎn)向更定量、數(shù)據(jù)驅(qū)動(dòng)的風(fēng)險(xiǎn)分析理由,”Newton 解釋道。
羅克韋爾自動(dòng)化網(wǎng)絡(luò)安全服務(wù)部高級(jí)銷(xiāo)售主管 Travis Tidwell 舉了一個(gè)來(lái)自一線的例子。
“最近,在一家領(lǐng)先的消費(fèi)品制造商,我們?cè)诠S進(jìn)行了風(fēng)險(xiǎn)評(píng)估,采訪了工廠層面的利益相關(guān)者,與 CISO 制定了戰(zhàn)略,審查了工廠網(wǎng)絡(luò)架構(gòu),并將這項(xiàng)工作細(xì)化以確定其最高風(fēng)險(xiǎn)項(xiàng)目,”Tidwell 說(shuō)。“由于制定了業(yè)務(wù)案例,團(tuán)隊(duì)能夠根據(jù)這些努力制定和批準(zhǔn)預(yù)算和安全計(jì)劃。”
更大的問(wèn)題是說(shuō)服客戶(hù)更換舊的和不安全的設(shè)備,并讓他們擺脫“只要還能用就不需要更換”的心態(tài),這種心態(tài)在許多工業(yè)組織中普遍存在。?
“這仍然是一個(gè)風(fēng)險(xiǎn)話(huà)題,但在某些方面更具挑戰(zhàn)性,”牛頓說(shuō)。“在大多數(shù)情況下,升級(jí)控制系統(tǒng)并不簡(jiǎn)單。控制系統(tǒng)系列與其版本支持和功能緊密相關(guān),通常需要升級(jí)整個(gè)系統(tǒng),而不僅僅是單個(gè)設(shè)備。”
Tidwell 補(bǔ)充道:“此外,設(shè)備現(xiàn)代化項(xiàng)目通常屬于工廠經(jīng)理的預(yù)算,可能需要工廠經(jīng)理和 CISO 合作為項(xiàng)目提供資金。實(shí)施安全控制的成本很可能低于現(xiàn)代化項(xiàng)目。因此,在制定大型現(xiàn)代化項(xiàng)目計(jì)劃時(shí),可能需要實(shí)施安全控制。”
這可以說(shuō)服各組織部署網(wǎng)絡(luò)安全產(chǎn)品,并向他們保證它們不會(huì)對(duì)工業(yè)流程造成破壞。?
“從歷史上看,這種方法一直避免實(shí)施可能影響生產(chǎn)或?qū)е鹿S停工的安全控制措施。這就是 Claroty 和 Dragos 等入侵檢測(cè)系統(tǒng) (IDS) 如此受歡迎的原因。另一種流行的方法是分段,但我們必須始終教育大家,分段本身并不是安全控制措施,而是實(shí)施安全控制措施的推動(dòng)因素,”Newton 說(shuō)道。
“然而,過(guò)去幾年中,一些客戶(hù)已經(jīng)逐漸掌握了更具預(yù)防性的控制措施,例如端點(diǎn)檢測(cè)和響應(yīng) (EDR) 和下一代防火墻功能,這些功能能夠阻止?jié)撛诘膼阂饣顒?dòng),”他補(bǔ)充道。
另一方面,專(zhuān)家表示這仍然是一個(gè)普遍存在的挑戰(zhàn)。“OT 環(huán)境仍然難以采取最基本的措施來(lái)降低風(fēng)險(xiǎn),例如修補(bǔ)和更新。即使是擁有良好記錄的可信賴(lài)的 OT 網(wǎng)絡(luò)安全顧問(wèn)通常也不夠用,”牛頓解釋道。
牛頓認(rèn)為,最好的方法是“通過(guò)概念驗(yàn)證 (PoC) 參與,使用安全技術(shù)測(cè)試系統(tǒng)的代表性子集,并通過(guò)該 PoC 的成功,慢慢建立信任。”
來(lái)源:祺印說(shuō)信安
?
