Jaikumar Vijayan

最近發(fā)生了一件事，一名民族國家的威脅犯罪分子在測試新的惡意軟件時，很有可能無意中關(guān)閉了中東的一個關(guān)鍵基礎(chǔ)設施，這引發(fā)了人們對脆弱的工業(yè)控制系統(tǒng)（ICS，Industrial Control Systems）難以應對網(wǎng)絡新威脅的普遍擔憂。很多安全專家認為這一事件預示著將針對ICS發(fā)起新一輪破壞性的攻擊，并敦促關(guān)鍵基礎(chǔ)設施所有者緊急更新其運營技術(shù)（OT，Operational Technology）網(wǎng)絡的安全防護措施。

什么是ICS？

ICS是用于工業(yè)過程運營或者實現(xiàn)自動化的任何設小備、儀器儀表以及相關(guān)的軟件和網(wǎng)絡。工業(yè)控制系統(tǒng)通常用于制造業(yè)，但對于能源、通信和運輸?shù)汝P(guān)鍵基礎(chǔ)設施也非常重要。很多這類系統(tǒng)通過互聯(lián)網(wǎng)連接至傳感器和其他設備，這就是所謂的工業(yè)物聯(lián)網(wǎng)（IIoT，Industrial Internet of Things ），這也使得ICS很容易遭受攻擊。

ICS安全

ICS安全供應商PAS Global公司的首席執(zhí)行官兼創(chuàng)始人Eddie Habibi指出：“非常重要的一點是，安全部門應汲取經(jīng)驗教訓以保證企業(yè)IT的安全，而且還要善于運用這些經(jīng)驗教訓，適應OT某些獨特的特性。”他說：“這包括在設施設備中不僅采取基于周界的安全措施，還要在最重要的資產(chǎn)中加入安全控制功能——專有控制系統(tǒng)，這些系統(tǒng)對過程安全和可靠性負有首要責任?！?/p>

參考幾位專家的觀點，本文列出了工廠操作人員、過程控制工程師、制造IT專家以及安全人員在進行ICS安全規(guī)劃時應注意的一些關(guān)鍵問題。

1.我有管理和維持ICS安全的人員嗎？

ARC咨詢集團分析師Sid Snitkin指出，企業(yè)規(guī)劃人員通常傾向于認為工業(yè)網(wǎng)絡安全在很大程度上是技術(shù)問題，而往往更大的問題是缺乏高技能的人力資源。近年來，關(guān)鍵基礎(chǔ)設施運營商已經(jīng)越來越多地部署推薦的技術(shù)控制措施來保護他們的系統(tǒng)，但卻沒有足夠的操作運營人員。

Snitkin說：“很多企業(yè)根本沒有足夠的人手來維持他們投入的技術(shù)。他們部署了反惡意軟件，但沒有人去進行更新。他們能發(fā)現(xiàn)漏洞，但沒有人去修復。”通常，管理網(wǎng)絡安全的人員也是最初讓系統(tǒng)投入運行的自動化工程師和生產(chǎn)工程師。

Snitkin說：“安全職能只是他們的副業(yè)。”他們沒有時間，通常更注重怎樣保持系統(tǒng)運行，而不是讓系統(tǒng)停下來處理安全問題。Snitkin說，很多工廠經(jīng)理認為他們通過實施一些技術(shù)控制措施來解決其安全問題，這是一種錯誤的安全觀點。

2.我知道在哪兒安裝了什么嗎？

要正確地進行保護，首先應弄清楚在該領(lǐng)域安裝了什么，以及它們連接到哪些系統(tǒng)。應用控制解決方案公司總經(jīng)理Joe Weiss說，如果你對這些都不清楚，那就死定了。你需要了解已經(jīng)在哪里部署了技術(shù)控制措施，在哪里可以采用技術(shù)來進行保護。Weiss說，對于不支持現(xiàn)代安全控制措施的系統(tǒng)，需要考慮進行控制補償以降低風險。

工業(yè)安全供應商Mocana公司首席執(zhí)行官Bill Diotte說：“我們已經(jīng)看到由于缺乏基本的安全保護措施，黑客繞過了防火墻，跳過網(wǎng)關(guān)，并利用了ICS設備的漏洞?！盌iotte說：“對于工廠管理人員、運營商和制造商來說，最重要的是確保ICS設備本身是可信的，并具備必要的網(wǎng)絡安全功能。”

他說：“通常，PLC（可編程邏輯控制器）、傳感器和工業(yè)網(wǎng)關(guān)沒有數(shù)字證書等安全憑證，也沒有隱藏在硬件中的私有密鑰作為信任的基礎(chǔ)?！彼f，安全啟動、認證、加密和信任鏈等基本的網(wǎng)絡保護功能并沒有在設備上實現(xiàn)，這影響了人員安全、正常運行時間和環(huán)境。

3.我是否部署了真正的網(wǎng)絡安全控制系統(tǒng)政策？

企業(yè)所犯的最大錯誤就是把IT安全與控制系統(tǒng)安全等同起來。Weiss說，這兩者完全不同。

IT安全通常側(cè)重于探測并處理網(wǎng)絡中的漏洞，而不考慮對過程系統(tǒng)的實際影響。Weiss說，對于工廠操作人員，最重要的是系統(tǒng)的完整性和可用性。對他們來說，重點不是某一具體的網(wǎng)絡威脅有多么復雜，而是在于它是否會導致過程出現(xiàn)問題。

Weiss說：“您真的有控制系統(tǒng)的網(wǎng)絡安全政策和程序嗎？這不是IT，不是業(yè)務連續(xù)性計劃，不是物理安全?！彼麊柕?，您思考過怎樣保護自己的過程控制系統(tǒng)嗎，還是只是與IT保持同步而已。

為確保安全，你要求能夠信任連接到控制器、致動器和人機接口（HMI）系統(tǒng)的過程傳感器的輸出。Weiss說：“在9/11之前，擁有設備的人就擁有了一切。9/11之后，網(wǎng)絡被重新劃分為關(guān)鍵基礎(chǔ)設施，由運營商提供，并轉(zhuǎn)交給IT部門維護?！苯Y(jié)果是ICS的安全過于以IT為中心。

4.我能信任我的設備的輸出嗎？

Diotte說，確定有控制措施以保證工業(yè)控制網(wǎng)絡上設備的可信性。否則，信任它們的數(shù)據(jù)是有風險的。

企業(yè)的工業(yè)控制設備有安全啟動過程和防止未經(jīng)授權(quán)更改固件的機制嗎？你知道企業(yè)的無線軟件更新和安全補丁過程有多安全嗎？Diotte問道，企業(yè)的ICS設備能支持使用基于標準的PKI身份認證和數(shù)字證書嗎？

Weiss補充說：“每個人都非常重視診斷。沒有人會問，我們是否可以信任我們的傳感器。如果你是醫(yī)生，除非你知道監(jiān)視器是可信的，否則就不能信任你的血壓讀數(shù)。”

5.IT安全措施保護了我的系統(tǒng)，還是帶來了更多的問題？

Weiss說，IT部門不應該在沒有控制系統(tǒng)人員監(jiān)督的情況下直接使用控制系統(tǒng)。否則，會產(chǎn)生意想不到的問題?！霸贗T領(lǐng)域，如果有人用錯了五次密碼，就會把那個人鎖定起來?！彼f，當有人真的需要急于進入關(guān)鍵的電廠系統(tǒng)，那么采用同樣的方法來控制其訪問可能導致災難性的后果。Weiss說：“這么做有可能把整個設施變成廢墟。作為黑客，我所要做的不過就是用錯五次密碼來鎖定你。”

Habibi說，看看企業(yè)的安全控制措施是否是針對OT環(huán)境設計的，這一點非常重要。他說：“由于安全性和可靠性的影響，代理、網(wǎng)絡Ping掃描以及企業(yè)IT網(wǎng)絡安全防護等其他常用方法在過程控制網(wǎng)絡中都是不可行的。根本不應該采用這樣的解決方案。就是如此?！?/p>

6.我的系統(tǒng)有合適的文檔嗎？

Dragos公司的高級漏洞分析師Reid Wightman指出，無論是部署新的控制系統(tǒng)還是加強現(xiàn)有的，都應該為控制組件必要的服務和可選服務提供所有文檔。他說，你需要知道文檔是否按照功能對服務進行了分解——例如，控制系統(tǒng)協(xié)議與工程協(xié)議、文件傳輸和HMI配置協(xié)議等。

當控制組件發(fā)生故障時，是否有解釋控制器輸出行為的文檔？Wightman說：“系統(tǒng)中采用了哪些專有網(wǎng)絡協(xié)議，為加強各自的服務而采取了什么措施？”你需要這類信息才能真正理解所面臨的風險，知道為了隔離漏洞所采取的必要的緩解措施會對系統(tǒng)產(chǎn)生怎樣的影響。

7.我真正理解我的網(wǎng)絡訪問問題嗎？

Wightman說，控制系統(tǒng)聯(lián)網(wǎng)后，更容易進行管理和監(jiān)控，但是你需要了解安全影響范圍，并采取適當?shù)目刂拼胧﹣斫档惋L險。

例如，你有什么保證措施，保證任何通過網(wǎng)絡訪問控制系統(tǒng)環(huán)境的人只能對數(shù)據(jù)進行讀操作？過程系統(tǒng)供應商是否需要對網(wǎng)絡進行遠程訪問？對這種訪問你怎樣進行控制？

類似地，還應該知道工程師是否需要遠程訪問控制組件，他們?yōu)槭裁葱枰@種訪問。Wightman說，確保你知道網(wǎng)絡現(xiàn)有的控制措施，或者網(wǎng)絡需要添加哪些控制措施，以達到可接受的風險等級，保證遠程訪問是安全的。

Mocana的Diotte指出，確定你知道不同等級和不同類型的設備所支持的通信協(xié)議。Diotte說，你應該知道與控制系統(tǒng)進行的所有通信是否具備很強的身份驗證和加密功能，找出最易受攻擊的通信協(xié)議，了解是否與SCADA和IIoT網(wǎng)絡安全的進行通信。

8.是否具備事件響應和事件管理能力？

即使出現(xiàn)網(wǎng)絡攻擊的可能性相對較低，但其影響可能是災難性的。ARC咨詢公司的Snitkin認為，應該提出的一個基本問題是，企業(yè)是否具備響應并緩解成功攻擊的能力。他說：“如果攻擊者下定決心要滲透到企業(yè)中并建立基地，那么你很難阻止他們?！币欢ㄒ贫ê糜媱?，部署好過程，以便遭受網(wǎng)絡攻擊后能夠快速安全的恢復。

Habibi說，評估ICS環(huán)境的網(wǎng)絡安全措施時，應知道怎樣對企業(yè)進行配置以發(fā)現(xiàn)未經(jīng)授權(quán)的更改。他說：“你是否有基于資產(chǎn)重要性的事件響應協(xié)議，以便作出適當、快速的反應？你知道工業(yè)資產(chǎn)有哪些攻擊面嗎？”

Habibi指出，應評估IT和專有控制系統(tǒng)資產(chǎn)的漏洞發(fā)現(xiàn)和緩解過程，知道目前有哪些補丁，哪些設施設備最易受到攻擊。“如果最糟糕的情況發(fā)生，你是否有經(jīng)過測試的業(yè)務連續(xù)性計劃，包括對高風險系統(tǒng)的全新備份？”