J.M.Porup Charles

工業(yè)控制系統(tǒng)（ICS）安全專家告訴我們，打補(bǔ)丁在大多數(shù)情況下都是無用的。

Dragos的工業(yè)控制系統(tǒng)（ICS）安全專家Robert M. Lee曾是美國國家安全局的分析師，他在遞交給美國參議院的一份書面聽證報(bào)告中指出，給ICS的安全漏洞打補(bǔ)丁在大多數(shù)情況下都是無用的，有時(shí)候甚至是有害的?！把a(bǔ)丁、補(bǔ)丁、補(bǔ)丁”已成為IT安全領(lǐng)域的盲目信條，但在工業(yè)控制系統(tǒng)中用的很少，因?yàn)閭鹘y(tǒng)設(shè)備往往在設(shè)計(jì)上就是不安全的。

參議院委員會(huì)聽說過信息技術(shù)（IT）和運(yùn)營技術(shù)（OT）安全之間存在巨大差異，但很少有人知道IT安全領(lǐng)域的經(jīng)驗(yàn)對(duì)于工業(yè)安全來說幾乎無用。“運(yùn)營技術(shù)”是個(gè)新詞，它的出現(xiàn)使得工業(yè)網(wǎng)絡(luò)和系統(tǒng)有別于傳統(tǒng)的以業(yè)務(wù)為中心的信息技術(shù)。

Curricula公司的首席執(zhí)行官Nick Santora曾擔(dān)任過北美電網(wǎng)監(jiān)管機(jī)構(gòu)（NERC）的關(guān)鍵基礎(chǔ)設(shè)施保護(hù)（CIP）網(wǎng)絡(luò)安全專家，他認(rèn)為，“有兩種不同的思路。在IT安全領(lǐng)域，看重的是業(yè)務(wù)。而在OT領(lǐng)域，處理的是那些不能出問題的關(guān)鍵任務(wù)。比如說你不能因?yàn)榉?wù)器宕機(jī)了，就一時(shí)沖動(dòng)地去斷電。

Lee告訴參議院，要想保護(hù)好電網(wǎng)等關(guān)鍵的OT基礎(chǔ)設(shè)施，需要采取不同的方法。Lee說：“我們的任務(wù)是不同的，因?yàn)樗婕暗轿锢硖匦?，因此只關(guān)注惡意軟件的預(yù)防或者打補(bǔ)丁并不能真正擊敗那些人類犯罪分子。惡意軟件并不是威脅。鍵盤另一邊的犯罪分子才是威脅?！?/p>

很多想當(dāng)然的東西其實(shí)都是錯(cuò)的

Lee的報(bào)告顯示，來之不易的IT安全教訓(xùn)并不適用于OT領(lǐng)域，試圖以“企業(yè)IT方式”來管理OT安全是有害的。Dragos在提交給參議院的一份報(bào)告中總結(jié)說，在2017年發(fā)布的所有ICS相關(guān)補(bǔ)丁中，有64%沒有完全解決風(fēng)險(xiǎn)問題，因?yàn)榻M件在設(shè)計(jì)上就是不安全的。

Dragos的報(bào)告說，更糟糕的是，一些大供應(yīng)商在最近幾個(gè)月里遭遇了安全漏洞，業(yè)務(wù)出現(xiàn)中斷而導(dǎo)致公司損失慘重。在工業(yè)控制系統(tǒng)中，給一個(gè)制造小部件或者水泵打上補(bǔ)丁要比重新啟動(dòng)辦公桌面PC復(fù)雜得多，OT網(wǎng)絡(luò)不能承受停機(jī)事件。

補(bǔ)丁或者基本的網(wǎng)絡(luò)安全環(huán)境也難以抵御那些來自民族國家的犯罪分子，他們每天到處刺探美國和世界各地的關(guān)鍵基礎(chǔ)設(shè)施。保持OT監(jiān)控工作站能夠很好地運(yùn)行打過補(bǔ)丁的Windows 10，及時(shí)進(jìn)行更新，這將有助于防御大部分隨機(jī)的惡意軟件，但很難防御高級(jí)持續(xù)性威脅（APT）的入侵。

Lee指出：“工業(yè)威脅形勢在很大程度上是未知的。不論是私營企業(yè)還是政府部門針對(duì)核心業(yè)務(wù)網(wǎng)絡(luò)威脅所采用的方法，以及對(duì)這些威脅的理解都不適用于工業(yè)領(lǐng)域。”

但Lee也強(qiáng)調(diào)說，不能因?yàn)檫@樣就感到絕望了。良好的網(wǎng)絡(luò)安全環(huán)境仍然是防止隨機(jī)惡意軟件感染的基本要求。他說，“ICS每年至少有6000例特有的感染，每一種感染都會(huì)引起運(yùn)營問題，在極少數(shù)情況下，還會(huì)引發(fā)與安全有關(guān)的問題?！?/p>

保護(hù)IT網(wǎng)絡(luò)并將其與OT網(wǎng)絡(luò)分離是最好的做法。但是，如果一個(gè)OT網(wǎng)絡(luò)從一開始設(shè)計(jì)時(shí)就是不安全的，那么怎么保護(hù)這類網(wǎng)絡(luò)呢？

假設(shè)你正在運(yùn)行一個(gè)打好了所有補(bǔ)丁的Windows 10 HMI（人機(jī)界面，例如控制終端）。所有端口都關(guān)閉了。你也遵循了正確的準(zhǔn)則，確保Windows應(yīng)用程序是安全的。Veracity工業(yè)網(wǎng)絡(luò)公司應(yīng)用工程總監(jiān)Thomas VanNorman評(píng)論說，“問題在于協(xié)議不是這樣的。”協(xié)議把ModBus和PLC（可編程邏輯控制器，工業(yè)致動(dòng)器）連接起來。我可以使用一臺(tái)惡意計(jì)算機(jī)連接到該P(yáng)LC，修改這些寄存器，因?yàn)檫@是一種未經(jīng)認(rèn)證的協(xié)議。如果攻擊者能夠訪問到這個(gè)層面，那么一切都完了。”

保護(hù)工業(yè)控制系統(tǒng)

如果IT安全領(lǐng)域的很多經(jīng)驗(yàn)不適用于工業(yè)領(lǐng)域，那么，我們該怎樣保護(hù)關(guān)鍵基礎(chǔ)設(shè)施的安全呢？答案可以歸結(jié)為威脅建模。攻擊傳統(tǒng)的ICS基礎(chǔ)設(shè)施不但成本高而且非常耗時(shí)，只有民族國家的犯罪分子和有組織的犯罪活動(dòng)才會(huì)這么干。

在很多情況下，小型私人公用事業(yè)公司面對(duì)的是民族國家的攻擊者，這些攻擊者甚至把這些公司的網(wǎng)絡(luò)當(dāng)成了訓(xùn)練演習(xí)的場所。Lee告訴參議院，很多工業(yè)領(lǐng)域的小運(yùn)營商對(duì)自己的網(wǎng)絡(luò)知之甚少，這就是我們今天面對(duì)的現(xiàn)實(shí)。

Scythe的創(chuàng)始人兼首席執(zhí)行官同時(shí)也是Grimm公司的董事長Bryson Bort評(píng)論說：“我們的地緣政治對(duì)手肯定在這方面進(jìn)行了嘗試。這些事情需要時(shí)間，要有足夠的耐心而且是長期活動(dòng)，埋好‘炸藥，這樣當(dāng)民族國家要發(fā)起攻擊時(shí)，這些‘炸藥就會(huì)爆炸。”

Lee說，對(duì)于那些主動(dòng)入侵工業(yè)控制網(wǎng)絡(luò)以追求政治利益的犯罪分子，唯一的解決辦法是人們自己去抓住他們。在ICS領(lǐng)域，任何自動(dòng)的、反應(yīng)式的監(jiān)控都不能取代積極的人類防御，這些防御者會(huì)主動(dòng)去發(fā)現(xiàn)自己網(wǎng)絡(luò)上的那些人類惡意活動(dòng)。

他認(rèn)為，這個(gè)過程是從良好的威脅情報(bào)開始的：誰是積極破壞工業(yè)控制網(wǎng)絡(luò)的人類犯罪分子？他們的動(dòng)機(jī)是什么？他們的目標(biāo)是誰？他們是怎樣進(jìn)行交易的？

在Lee提交給參議院的書面聽證報(bào)告中，Dragos分析指出，目前主要有五個(gè)活躍的組織瞄準(zhǔn)了ICS網(wǎng)絡(luò)，包括宣稱對(duì)烏克蘭電網(wǎng)發(fā)起2015年和2016年攻擊的組織，以及首次想通過ICS惡意軟件要人命的Trisis。

有一點(diǎn)是清楚的：對(duì)工業(yè)控制系統(tǒng)的攻擊越來越嚴(yán)重。

越來越惡劣的ICS攻擊

一開始時(shí)是Stuxnet。美國和以色列聯(lián)手開發(fā)的惡意軟件摧毀了伊朗的離心機(jī)，但隨之而來的破壞使得這一破壞軟件站在了新聞的風(fēng)口浪尖上，這是世界上第一起民族國家對(duì)工業(yè)控制系統(tǒng)的攻擊。其他國家也紛紛效仿。

2015年對(duì)烏克蘭電網(wǎng)的攻擊是第一次確認(rèn)能夠破壞電網(wǎng)配電的攻擊。這導(dǎo)致22.5萬人斷電。2016年，同一犯罪組織又對(duì)烏克蘭電網(wǎng)發(fā)動(dòng)了更為復(fù)雜的攻擊，Dragos報(bào)告稱之為“有史以來第一個(gè)設(shè)計(jì)并部署用于攻擊電網(wǎng)的惡意軟件框架”。Dragos的報(bào)告總結(jié)道，這個(gè)被稱為“崩潰覆蓋（Crash Override）”的惡意軟件框架是僅次于Stuxnet的惡意軟件，專門“為破壞物理工業(yè)過程而設(shè)計(jì)和部署的”。報(bào)告指出，很容易調(diào)整崩潰覆蓋框架來攻擊美國和歐洲的電網(wǎng)。

2017年，隨著Trisis的發(fā)現(xiàn)，形勢變得更糟。Lee告訴CSO：“Trisis惡意軟件專門用于殺人，這遠(yuǎn)遠(yuǎn)超出了我們的預(yù)想?！盩risis惡意軟件以工業(yè)安全系統(tǒng)為目標(biāo)，而工業(yè)安全系統(tǒng)旨在發(fā)生工業(yè)事故時(shí)保護(hù)人類的生命。

2017年是ICS安全的分水嶺，人們開始意識(shí)到在此類攻擊面前并非束手無策。也就是說，Lee警告不要過分夸大電影情節(jié)里的那些威脅。他說，情況很糟糕，但總是可以解決的。

糟糕的媒體報(bào)道讓情形變得更糟

躲在暗處的一名黑客向核電廠發(fā)送了一封網(wǎng)絡(luò)釣魚電子郵件。然后切換鏡頭，威脅道：核爆炸！

專家說，這是不會(huì)發(fā)生的。不過，這可能是一部有趣的好萊塢電影。

把這些威脅的實(shí)情傳達(dá)給公眾對(duì)于平和地討論工業(yè)領(lǐng)域的漏洞是非常重要的。Bort呼吁媒體關(guān)注2013年發(fā)生在紐約北部Bowman大道大壩的泄露事件，該事件讓人們感到震驚，上了新聞?lì)^條——“伊朗黑客破壞紐約大壩引起了白宮的警覺”。

但有一個(gè)問題，Bort說：“那座大壩其實(shí)就是一堵土墻，它沒有機(jī)械部件。除了知情者之外，沒有人知道這一事實(shí)。每個(gè)人都關(guān)注好萊塢式的威脅?！?/p>

他說，攻擊者設(shè)法攻破了Bowman大道大壩的監(jiān)控系統(tǒng)，僅此而已。

無論是Lee還是Bort都強(qiáng)調(diào)說，民族國家的犯罪分子的確會(huì)威脅到關(guān)鍵的基礎(chǔ)設(shè)施，但讓我們保持正確的態(tài)度，做好工作，而不是無緣無故地把自己嚇?biāo)?。進(jìn)行這項(xiàng)工作意味著知道你的對(duì)手是誰，并在你自己的網(wǎng)絡(luò)里抓住他們。

獲得更好的威脅情報(bào)

前美國國家安全局分析師Lee告訴參議院委員會(huì)，私營企業(yè)能夠比情報(bào)界獲得更好的威脅情報(bào)，促使OT安全部門通過安全審查，以查看機(jī)密威脅情報(bào)——這并不是非常有用。

Lee在書面聽證報(bào)告中說：“對(duì)入侵分析的關(guān)注導(dǎo)致私營公司就能夠做出非常有競爭力的情報(bào)報(bào)告，而且在很多情況下，遠(yuǎn)遠(yuǎn)優(yōu)于類似的政府機(jī)密報(bào)告。簡單地說，收集與網(wǎng)絡(luò)威脅相關(guān)數(shù)據(jù)的最佳地點(diǎn)是在被攻擊公司的網(wǎng)絡(luò)中?！?/p>

Lee告訴委員會(huì)，與在美國國家安全局相比，處理同樣的問題，他認(rèn)為在私營企業(yè)能夠獲得更好的威脅情報(bào)。Lee在接受CSO采訪時(shí)說：“在美國國家安全局，我們的任務(wù)是研究民族國家怎樣進(jìn)入工業(yè)控制系統(tǒng)。很明顯，我們自己收集的情報(bào)僅僅限于這種威脅場景?！?/p>

盡管政府希望解決脆弱的關(guān)鍵基礎(chǔ)設(shè)施所造成的國家安全問題，但包括Lee在內(nèi)的技術(shù)專家表示，更多的政府干預(yù)可能會(huì)適得其反，例如鼓勵(lì)加強(qiáng)監(jiān)管等。

合規(guī)可能是有害的

一項(xiàng)一項(xiàng)地進(jìn)行檢查，以確保符合最低安全基準(zhǔn)，這樣做能夠防止隨機(jī)惡意軟件感染，但在有目的的民族國家攻擊面前毫無用處。更糟糕的是，太多的合規(guī)措施可能是有害的，因?yàn)檫@會(huì)產(chǎn)生虛假的安全感。因此，Lee和其他專家敦促應(yīng)推遲進(jìn)一步的監(jiān)管，讓業(yè)界去發(fā)展自己的最佳實(shí)踐。

一方面，很多ICS網(wǎng)絡(luò)現(xiàn)在甚至還沒有滿足最低標(biāo)準(zhǔn)要求。Lee在其書面聽證報(bào)告中說：“有一些工業(yè)網(wǎng)站，包括北美的，其內(nèi)部部門甚至從來沒有調(diào)查過網(wǎng)絡(luò)。我知道有一些小型電廠、水廠、天然氣公司、煉油廠、風(fēng)電場和制造業(yè)網(wǎng)絡(luò)，甚至都沒有最基本的安全措施——盡管它們對(duì)于現(xiàn)代文明至關(guān)重要?！?/p>

另一方面，OT系統(tǒng)面對(duì)的是來自民族國家的對(duì)手，防范這類威脅需要有積極的監(jiān)控和事件響應(yīng)計(jì)劃，這遠(yuǎn)遠(yuǎn)超出了任何合規(guī)措施的要求。

要想開發(fā)一個(gè)能夠在ICS網(wǎng)絡(luò)上搜尋民族國家攻擊者的強(qiáng)大的OT安全計(jì)劃，需要受過訓(xùn)練的網(wǎng)絡(luò)安全專業(yè)人員，并有相匹配的管理支持和預(yù)算。網(wǎng)絡(luò)安全技能嚴(yán)重短缺， OT管理層也不太了解這方面的知識(shí)，讓這一目標(biāo)顯得遙遙無期。

IT遇上OT

IT安全部門仍然難以理解OT系統(tǒng)面臨的獨(dú)特挑戰(zhàn)，但更為引人注意的是傳統(tǒng)工業(yè)運(yùn)營商對(duì)這種理念的反應(yīng)——工廠在運(yùn)行了40年之后，現(xiàn)在，地球另一端躲在暗處的神奇的黑客居然能讓工廠停機(jī)！

Santora談到了他在NERC的審查工作。他說：“我們飛到不同的公司，有些人會(huì)狠狠地詛咒我們，說‘我不相信任何這種安全的東西，純粹浪費(fèi)時(shí)間，這些東西不是真的，它不會(huì)發(fā)生在我們身上。”

他說，網(wǎng)絡(luò)安全非常新奇，而且不直觀的本質(zhì)讓老一代工業(yè)工人感到可怕?！斑@是一種難以預(yù)料的風(fēng)險(xiǎn)，有時(shí)候人們甚至害怕談?wù)撍??！?/p>

如果只能聘用安全專家的話，那么聘用網(wǎng)絡(luò)安全專家以更新的視角來充分發(fā)揮他們幾十年的經(jīng)驗(yàn)，這似乎是可行的。據(jù)估計(jì)，到2020年，全球安全專業(yè)人員缺口將高達(dá)200萬人。由于工業(yè)企業(yè)通常支付的薪水要低得多，因此，高端人才不太可能去OT公司尋求職業(yè)發(fā)展。

要想解決這一問題，可以把有才能的畢業(yè)生放在OT安全崗位上，通過獎(jiǎng)學(xué)金或者實(shí)習(xí)生制度幫助他們完成學(xué)業(yè)以換取他們安心工作?；蛘吒纱嘟o他們更高的薪水。無論哪種解決方案，聯(lián)邦政府都不太可能把小電廠列為國家安全問題，然后提供財(cái)政支持來保護(hù)這些資產(chǎn)。

Bort說，“如果我們說這是一個(gè)國家關(guān)鍵的基礎(chǔ)設(shè)施問題，那么你就不能指望某個(gè)小鎮(zhèn)來出錢解決這個(gè)問題?！睆亩唐趤砜?，從IT安全部門招聘可能是解決之道。

ICS村？

過去幾年里，Def Con和RSA的ICS村為安全人員提供了使用真實(shí)ICS設(shè)備的機(jī)會(huì)。ICS村的組織者VanNorman和Bort告訴CSO，打破OT安全神話，幫助IT專家更好地理解OT所面臨的挑戰(zhàn)是促使他們這樣做的原因。Bort說：“我們允許有人去實(shí)際接觸和破解不同的平臺(tái)，這樣他們就可以開始這方面的工作了?！?/p>

每個(gè)人都聽說過nmap關(guān)閉天然氣管道的故事，但是VanNorman說，OT系統(tǒng)并不像很多人想象的那么脆弱，也遠(yuǎn)沒有那么復(fù)雜?！叭绻阒皇侨ヅ雠鏊?，它不會(huì)破裂的?！?/p>

ICS村致力于彌補(bǔ)IT與OT之間的差距，曾成功地抓住了一名黑客。

CSO資深作家J.M. Porup自從2002年獲得IT第一份工作以來，便一直是一名安全極客。

原文網(wǎng)址

https：//www.csoonline.com/article/3260624/critical-infrastructure/insecure-by-design-what-you-need-to-know-about-defending-critical-infrastructure.html