Jaikumar Vijayan

最近發(fā)生了一件事，一名民族國家的威脅犯罪分子在測試新的惡意軟件時，很有可能無意中關(guān)閉了中東的一個關(guān)鍵基礎(chǔ)設(shè)施，這引發(fā)了人們對脆弱的工業(yè)控制系統(tǒng)（ICS，Industrial Control Systems）難以應(yīng)對網(wǎng)絡(luò)新威脅的普遍擔(dān)憂。很多安全專家認(rèn)為這一事件預(yù)示著將針對ICS發(fā)起新一輪破壞性的攻擊，并敦促關(guān)鍵基礎(chǔ)設(shè)施所有者緊急更新其運營技術(shù)（OT，Operational Technology）網(wǎng)絡(luò)的安全防護(hù)措施。

什么是ICS？

ICS是用于工業(yè)過程運營或者實現(xiàn)自動化的任何設(shè)小備、儀器儀表以及相關(guān)的軟件和網(wǎng)絡(luò)。工業(yè)控制系統(tǒng)通常用于制造業(yè)，但對于能源、通信和運輸?shù)汝P(guān)鍵基礎(chǔ)設(shè)施也非常重要。很多這類系統(tǒng)通過互聯(lián)網(wǎng)連接至傳感器和其他設(shè)備，這就是所謂的工業(yè)物聯(lián)網(wǎng)（IIoT，Industrial Internet of Things ），這也使得ICS很容易遭受攻擊。

ICS安全

ICS安全供應(yīng)商PAS Global公司的首席執(zhí)行官兼創(chuàng)始人Eddie Habibi指出：“非常重要的一點是，安全部門應(yīng)汲取經(jīng)驗教訓(xùn)以保證企業(yè)IT的安全，而且還要善于運用這些經(jīng)驗教訓(xùn)，適應(yīng)OT某些獨特的特性?！彼f：“這包括在設(shè)施設(shè)備中不僅采取基于周界的安全措施，還要在最重要的資產(chǎn)中加入安全控制功能——專有控制系統(tǒng)，這些系統(tǒng)對過程安全和可靠性負(fù)有首要責(zé)任?！?/p>

參考幾位專家的觀點，本文列出了工廠操作人員、過程控制工程師、制造IT專家以及安全人員在進(jìn)行ICS安全規(guī)劃時應(yīng)注意的一些關(guān)鍵問題。

1.我有管理和維持ICS安全的人員嗎？

ARC咨詢集團(tuán)分析師Sid Snitkin指出，企業(yè)規(guī)劃人員通常傾向于認(rèn)為工業(yè)網(wǎng)絡(luò)安全在很大程度上是技術(shù)問題，而往往更大的問題是缺乏高技能的人力資源。近年來，關(guān)鍵基礎(chǔ)設(shè)施運營商已經(jīng)越來越多地部署推薦的技術(shù)控制措施來保護(hù)他們的系統(tǒng)，但卻沒有足夠的操作運營人員。

Snitkin說：“很多企業(yè)根本沒有足夠的人手來維持他們投入的技術(shù)。他們部署了反惡意軟件，但沒有人去進(jìn)行更新。他們能發(fā)現(xiàn)漏洞，但沒有人去修復(fù)?！蓖ǔ?，管理網(wǎng)絡(luò)安全的人員也是最初讓系統(tǒng)投入運行的自動化工程師和生產(chǎn)工程師。

Snitkin說：“安全職能只是他們的副業(yè)?！彼麄儧]有時間，通常更注重怎樣保持系統(tǒng)運行，而不是讓系統(tǒng)停下來處理安全問題。Snitkin說，很多工廠經(jīng)理認(rèn)為他們通過實施一些技術(shù)控制措施來解決其安全問題，這是一種錯誤的安全觀點。

2.我知道在哪兒安裝了什么嗎？

要正確地進(jìn)行保護(hù)，首先應(yīng)弄清楚在該領(lǐng)域安裝了什么，以及它們連接到哪些系統(tǒng)。應(yīng)用控制解決方案公司總經(jīng)理Joe Weiss說，如果你對這些都不清楚，那就死定了。你需要了解已經(jīng)在哪里部署了技術(shù)控制措施，在哪里可以采用技術(shù)來進(jìn)行保護(hù)。Weiss說，對于不支持現(xiàn)代安全控制措施的系統(tǒng)，需要考慮進(jìn)行控制補償以降低風(fēng)險。

工業(yè)安全供應(yīng)商Mocana公司首席執(zhí)行官Bill Diotte說：“我們已經(jīng)看到由于缺乏基本的安全保護(hù)措施，黑客繞過了防火墻，跳過網(wǎng)關(guān)，并利用了ICS設(shè)備的漏洞?！盌iotte說：“對于工廠管理人員、運營商和制造商來說，最重要的是確保ICS設(shè)備本身是可信的，并具備必要的網(wǎng)絡(luò)安全功能?！?/p>

他說：“通常，PLC（可編程邏輯控制器）、傳感器和工業(yè)網(wǎng)關(guān)沒有數(shù)字證書等安全憑證，也沒有隱藏在硬件中的私有密鑰作為信任的基礎(chǔ)?！彼f，安全啟動、認(rèn)證、加密和信任鏈等基本的網(wǎng)絡(luò)保護(hù)功能并沒有在設(shè)備上實現(xiàn)，這影響了人員安全、正常運行時間和環(huán)境。

3.我是否部署了真正的網(wǎng)絡(luò)安全控制系統(tǒng)政策？

企業(yè)所犯的最大錯誤就是把IT安全與控制系統(tǒng)安全等同起來。Weiss說，這兩者完全不同。

IT安全通常側(cè)重于探測并處理網(wǎng)絡(luò)中的漏洞，而不考慮對過程系統(tǒng)的實際影響。Weiss說，對于工廠操作人員，最重要的是系統(tǒng)的完整性和可用性。對他們來說，重點不是某一具體的網(wǎng)絡(luò)威脅有多么復(fù)雜，而是在于它是否會導(dǎo)致過程出現(xiàn)問題。

Weiss說：“您真的有控制系統(tǒng)的網(wǎng)絡(luò)安全政策和程序嗎？這不是IT，不是業(yè)務(wù)連續(xù)性計劃，不是物理安全?！彼麊柕溃伎歼^怎樣保護(hù)自己的過程控制系統(tǒng)嗎，還是只是與IT保持同步而已。

為確保安全，你要求能夠信任連接到控制器、致動器和人機(jī)接口（HMI）系統(tǒng)的過程傳感器的輸出。Weiss說：“在9/11之前，擁有設(shè)備的人就擁有了一切。9/11之后，網(wǎng)絡(luò)被重新劃分為關(guān)鍵基礎(chǔ)設(shè)施，由運營商提供，并轉(zhuǎn)交給IT部門維護(hù)。”結(jié)果是ICS的安全過于以IT為中心。

4.我能信任我的設(shè)備的輸出嗎？

Diotte說，確定有控制措施以保證工業(yè)控制網(wǎng)絡(luò)上設(shè)備的可信性。否則，信任它們的數(shù)據(jù)是有風(fēng)險的。

企業(yè)的工業(yè)控制設(shè)備有安全啟動過程和防止未經(jīng)授權(quán)更改固件的機(jī)制嗎？你知道企業(yè)的無線軟件更新和安全補丁過程有多安全嗎？Diotte問道，企業(yè)的ICS設(shè)備能支持使用基于標(biāo)準(zhǔn)的PKI身份認(rèn)證和數(shù)字證書嗎？

Weiss補充說：“每個人都非常重視診斷。沒有人會問，我們是否可以信任我們的傳感器。如果你是醫(yī)生，除非你知道監(jiān)視器是可信的，否則就不能信任你的血壓讀數(shù)?！?/p>

5.IT安全措施保護(hù)了我的系統(tǒng)，還是帶來了更多的問題？

Weiss說，IT部門不應(yīng)該在沒有控制系統(tǒng)人員監(jiān)督的情況下直接使用控制系統(tǒng)。否則，會產(chǎn)生意想不到的問題。“在IT領(lǐng)域，如果有人用錯了五次密碼，就會把那個人鎖定起來?！彼f，當(dāng)有人真的需要急于進(jìn)入關(guān)鍵的電廠系統(tǒng)，那么采用同樣的方法來控制其訪問可能導(dǎo)致災(zāi)難性的后果。Weiss說：“這么做有可能把整個設(shè)施變成廢墟。作為黑客，我所要做的不過就是用錯五次密碼來鎖定你?！?/p>

Habibi說，看看企業(yè)的安全控制措施是否是針對OT環(huán)境設(shè)計的，這一點非常重要。他說：“由于安全性和可靠性的影響，代理、網(wǎng)絡(luò)Ping掃描以及企業(yè)IT網(wǎng)絡(luò)安全防護(hù)等其他常用方法在過程控制網(wǎng)絡(luò)中都是不可行的。根本不應(yīng)該采用這樣的解決方案。就是如此?！?/p>

6.我的系統(tǒng)有合適的文檔嗎？

Dragos公司的高級漏洞分析師Reid Wightman指出，無論是部署新的控制系統(tǒng)還是加強(qiáng)現(xiàn)有的，都應(yīng)該為控制組件必要的服務(wù)和可選服務(wù)提供所有文檔。他說，你需要知道文檔是否按照功能對服務(wù)進(jìn)行了分解——例如，控制系統(tǒng)協(xié)議與工程協(xié)議、文件傳輸和HMI配置協(xié)議等。

當(dāng)控制組件發(fā)生故障時，是否有解釋控制器輸出行為的文檔？Wightman說：“系統(tǒng)中采用了哪些專有網(wǎng)絡(luò)協(xié)議，為加強(qiáng)各自的服務(wù)而采取了什么措施？”你需要這類信息才能真正理解所面臨的風(fēng)險，知道為了隔離漏洞所采取的必要的緩解措施會對系統(tǒng)產(chǎn)生怎樣的影響。

7.我真正理解我的網(wǎng)絡(luò)訪問問題嗎？

Wightman說，控制系統(tǒng)聯(lián)網(wǎng)后，更容易進(jìn)行管理和監(jiān)控，但是你需要了解安全影響范圍，并采取適當(dāng)?shù)目刂拼胧﹣斫档惋L(fēng)險。

例如，你有什么保證措施，保證任何通過網(wǎng)絡(luò)訪問控制系統(tǒng)環(huán)境的人只能對數(shù)據(jù)進(jìn)行讀操作？過程系統(tǒng)供應(yīng)商是否需要對網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程訪問？對這種訪問你怎樣進(jìn)行控制？

類似地，還應(yīng)該知道工程師是否需要遠(yuǎn)程訪問控制組件，他們?yōu)槭裁葱枰@種訪問。Wightman說，確保你知道網(wǎng)絡(luò)現(xiàn)有的控制措施，或者網(wǎng)絡(luò)需要添加哪些控制措施，以達(dá)到可接受的風(fēng)險等級，保證遠(yuǎn)程訪問是安全的。

Mocana的Diotte指出，確定你知道不同等級和不同類型的設(shè)備所支持的通信協(xié)議。Diotte說，你應(yīng)該知道與控制系統(tǒng)進(jìn)行的所有通信是否具備很強(qiáng)的身份驗證和加密功能，找出最易受攻擊的通信協(xié)議，了解是否與SCADA和IIoT網(wǎng)絡(luò)安全的進(jìn)行通信。

8.是否具備事件響應(yīng)和事件管理能力？

即使出現(xiàn)網(wǎng)絡(luò)攻擊的可能性相對較低，但其影響可能是災(zāi)難性的。ARC咨詢公司的Snitkin認(rèn)為，應(yīng)該提出的一個基本問題是，企業(yè)是否具備響應(yīng)并緩解成功攻擊的能力。他說：“如果攻擊者下定決心要滲透到企業(yè)中并建立基地，那么你很難阻止他們?！币欢ㄒ贫ê糜媱潱渴鸷眠^程，以便遭受網(wǎng)絡(luò)攻擊后能夠快速安全的恢復(fù)。

Habibi說，評估ICS環(huán)境的網(wǎng)絡(luò)安全措施時，應(yīng)知道怎樣對企業(yè)進(jìn)行配置以發(fā)現(xiàn)未經(jīng)授權(quán)的更改。他說：“你是否有基于資產(chǎn)重要性的事件響應(yīng)協(xié)議，以便作出適當(dāng)、快速的反應(yīng)？你知道工業(yè)資產(chǎn)有哪些攻擊面嗎？”

Habibi指出，應(yīng)評估IT和專有控制系統(tǒng)資產(chǎn)的漏洞發(fā)現(xiàn)和緩解過程，知道目前有哪些補丁，哪些設(shè)施設(shè)備最易受到攻擊?！叭绻钤愀獾那闆r發(fā)生，你是否有經(jīng)過測試的業(yè)務(wù)連續(xù)性計劃，包括對高風(fēng)險系統(tǒng)的全新備份？”