|
工控安全:一場決不能輸?shù)舻木W(wǎng)絡(luò)戰(zhàn)爭可以說,網(wǎng)絡(luò)安全是所有行業(yè)的共同問題。但是,工業(yè)控制系統(tǒng)(ICS)網(wǎng)絡(luò)安全狀況如何?我們?yōu)槭裁磻?yīng)該對其多加關(guān)注呢? ICS監(jiān)視和控制著制造、運(yùn)輸、能源、油氣和化工行業(yè)最為關(guān)鍵的工業(yè)和物理基礎(chǔ)設(shè)施過程。如果這些工控設(shè)備被黑,常規(guī)服務(wù)可能會中斷,專有數(shù)據(jù)可能會遺失,重大損害可能會發(fā)生。 底線是:我們所有人,消費(fèi)者、公司、政府、組織機(jī)構(gòu),都應(yīng)該關(guān)心ICS安全態(tài)勢。 基于ICS的企業(yè),安全態(tài)勢如何? 很多原因讓我們難以準(zhǔn)確把握關(guān)鍵ICS基礎(chǔ)設(shè)施的安全態(tài)勢。公開披露并不是硬性要求。事實(shí)上,美國基于ICS的企業(yè)并不需要遵守《2015美國數(shù)據(jù)泄露披露法案》,不用知會消費(fèi)者個人信息泄露情況。 用以驅(qū)動更好安全的強(qiáng)制性合規(guī)也只是最小限度的。不過,例外也是確實(shí)存在的,比如北美能源產(chǎn)業(yè)的北美電力可靠性委員會(NERC)。 以下是ICS環(huán)境的新興標(biāo)準(zhǔn),可以提供一些安全指南: ·ANSI/ISA-62443-3-2——ICS環(huán)境專用安全標(biāo)準(zhǔn),聚焦網(wǎng)絡(luò)分段和環(huán)境隔離; ·NIST SP800-82r2,ICS安全指南——用于ICS/SCADA系統(tǒng),2015年2月發(fā)布。 多份研究揭示了ICS安全情況的糟糕程度。美國國土安全部工業(yè)控制系統(tǒng)網(wǎng)絡(luò)應(yīng)急響應(yīng)小組(ICS-CERT)提供周期性的事件報告更新,我們就從這里開始。ICS-CERT的《2015事件響應(yīng)統(tǒng)計(jì)》顯示,美國2015年共報告了295起涉及關(guān)鍵基礎(chǔ)設(shè)施的事件,而2014年ICS-CERT調(diào)查的事件數(shù)量僅有245起。大多數(shù)安全事件影響到了制造業(yè)和能源業(yè)。 毫不令人意外地,魚叉式網(wǎng)絡(luò)釣魚戰(zhàn)術(shù)是被提到最多的常見攻擊手法。某廠商的調(diào)查研究也得出了相同的結(jié)論。網(wǎng)絡(luò)釣魚是人本身的問題,所以,每個人都需要懂點(diǎn)兒網(wǎng)絡(luò)安全。 這份研究有助于對ICS安全狀況有所了解,但烏克蘭遭網(wǎng)絡(luò)攻擊致大面積斷電事件才是對ICS環(huán)境的一記警鐘。 運(yùn)營技術(shù)?信息技術(shù)?綜合起來才是好技術(shù) 很多公司中,ICS環(huán)境的日常功能是由運(yùn)營技術(shù)部(OT)管理的,但網(wǎng)絡(luò)安全卻是由信息技術(shù)(IT)負(fù)責(zé)。為應(yīng)對未來的威脅,我們需要將這兩種不同類型的技術(shù)融合起來。 由于越來越多的ICS設(shè)備使用網(wǎng)絡(luò)連接以提高自動化程度和運(yùn)行效率,IT與OT的融合便顯得十分關(guān)鍵。為解決聯(lián)網(wǎng)帶來的威脅,一些公司采用物理隔離ICS系統(tǒng)的方式,但即便如此,大多數(shù)ICS設(shè)備也不是完全斷開或從網(wǎng)絡(luò)中分離的。比如說,測試連接,或接入互聯(lián)網(wǎng)的WiFi是有可能存在的。 另一個考慮是,很多ICS設(shè)備運(yùn)行的是遺留操作系統(tǒng),沒有升級,也就更容易留有漏洞。總的來說,OT通常不會升級,因?yàn)樯壙赡軙袛喾⻊?wù),影響正常運(yùn)行時間,而IT部門的很大一部分工作,卻是升級系統(tǒng)以改善功能、性能和最小化風(fēng)險。這一根本性差異需要彌合。 很多人都在談?wù)摫Wo(hù)我們關(guān)鍵的基礎(chǔ)設(shè)施。在這里,我們可以引用國際數(shù)據(jù)咨詢公司(IDC)信息安全研究經(jīng)理羅伯特·韋斯特維爾特的話: 一系列因素在極大地重塑OT安全。越來越多的聯(lián)網(wǎng)工業(yè)自動化設(shè)備,OT和IT基礎(chǔ)設(shè)施的聚合,以及安全技術(shù)人才的短缺,意味著安全風(fēng)險的準(zhǔn)確評估和緩解正變得越來越具有挑戰(zhàn)性。 有分析師預(yù)測,到2020年,IT安全將是ICS環(huán)境中25%的物理安全事件發(fā)生的原因。有些人或許會問為什么。答案很簡單:很多ICS設(shè)備連入互聯(lián)網(wǎng)和IT網(wǎng)絡(luò),但大多數(shù)公司并沒有能保護(hù)ICS設(shè)備的安全專業(yè)人士。這讓IT安全成為了事件的焦點(diǎn)。 該做什么? 以上討論真夠前景黯淡的。那么,我們該做些什么呢? 基本的安全工作應(yīng)該包括監(jiān)視關(guān)鍵ICS資產(chǎn),方法是: ·在可能的地方部署反惡意軟件和事件檢測 ·部署應(yīng)用白名單,防止非授權(quán)應(yīng)用運(yùn)行 ·部署安全配置,防止非授權(quán)修改 ·在可能的地方部署漏洞管理,最少化已知漏洞 ·在所有ICS設(shè)備上屏蔽USB,避免物理攻擊 ·用防火墻/IPS將業(yè)務(wù)網(wǎng)和ICS網(wǎng)絡(luò)分段 還有些業(yè)界資源也是可以利用的。比如說,美國國土安全部、國家網(wǎng)絡(luò)安全和通信集成中心(NCCIC)、國家安全局(NSA),就聯(lián)合發(fā)布了題為《七步有效保護(hù)工業(yè)控制系統(tǒng)》的文章,旨在提供可操作的步驟供企業(yè)用以防護(hù)他們的關(guān)鍵基礎(chǔ)設(shè)施。 ICS-CERT提供一系列的支持,比如培訓(xùn)、現(xiàn)場評估,定期發(fā)布的指南和評估工具等。尤其是它的網(wǎng)絡(luò)安全評估工具(CSET),是一款能指導(dǎo)資產(chǎn)所有者和運(yùn)營者,根據(jù)公認(rèn)的政府和行業(yè)標(biāo)準(zhǔn)與建議,逐步分析自身ICS和IT網(wǎng)絡(luò)安全的獨(dú)立軟件工具。CSET提供一種有體系的、遵守規(guī)則的、可重復(fù)的方法來評估一個組織的安全態(tài)勢。 此外,工業(yè)自動化配置合規(guī)管理器(CCM)這種工具也對ICS環(huán)境安全的保護(hù)提供支持,它能讓用戶簡單地添加有效安全監(jiān)視與評估。CCM的運(yùn)行不需要接觸ICS或SCADA設(shè)備,沒有運(yùn)營可用性風(fēng)險,也無需復(fù)雜的部署。 戰(zhàn)爭總是意味著人類安全風(fēng)險,而工控安全是一場我們決不能輸?shù)木W(wǎng)絡(luò)戰(zhàn)。 |