八問(wèn)工業(yè)控制系統(tǒng)安全

Jaikumar Vijayan

最近發(fā)生了一件事，一名民族國(guó)家的威脅犯罪分子在測(cè)試新的惡意軟件時(shí)，很有可能無(wú)意中關(guān)閉了中東的一個(gè)關(guān)鍵基礎(chǔ)設(shè)施，這引發(fā)了人們對(duì)脆弱的工業(yè)控制系統(tǒng)（ICS，Industrial Control Systems）難以應(yīng)對(duì)網(wǎng)絡(luò)新威脅的普遍擔(dān)憂。很多安全專家認(rèn)為這一事件預(yù)示著將針對(duì)ICS發(fā)起新一輪破壞性的攻擊，并敦促關(guān)鍵基礎(chǔ)設(shè)施所有者緊急更新其運(yùn)營(yíng)技術(shù)（OT，Operational Technology）網(wǎng)絡(luò)的安全防護(hù)措施。

什么是ICS？

ICS是用于工業(yè)過(guò)程運(yùn)營(yíng)或者實(shí)現(xiàn)自動(dòng)化的任何設(shè)小備、儀器儀表以及相關(guān)的軟件和網(wǎng)絡(luò)。工業(yè)控制系統(tǒng)通常用于制造業(yè)，但對(duì)于能源、通信和運(yùn)輸?shù)汝P(guān)鍵基礎(chǔ)設(shè)施也非常重要。很多這類系統(tǒng)通過(guò)互聯(lián)網(wǎng)連接至傳感器和其他設(shè)備，這就是所謂的工業(yè)物聯(lián)網(wǎng)（IIoT，Industrial Internet of Things ），這也使得ICS很容易遭受攻擊。

ICS安全

ICS安全供應(yīng)商PAS Global公司的首席執(zhí)行官兼創(chuàng)始人Eddie Habibi指出：“非常重要的一點(diǎn)是，安全部門應(yīng)汲取經(jīng)驗(yàn)教訓(xùn)以保證企業(yè)IT的安全，而且還要善于運(yùn)用這些經(jīng)驗(yàn)教訓(xùn)，適應(yīng)OT某些獨(dú)特的特性?！彼f(shuō)：“這包括在設(shè)施設(shè)備中不僅采取基于周界的安全措施，還要在最重要的資產(chǎn)中加入安全控制功能——專有控制系統(tǒng)，這些系統(tǒng)對(duì)過(guò)程安全和可靠性負(fù)有首要責(zé)任。”

參考幾位專家的觀點(diǎn)，本文列出了工廠操作人員、過(guò)程控制工程師、制造IT專家以及安全人員在進(jìn)行ICS安全規(guī)劃時(shí)應(yīng)注意的一些關(guān)鍵問(wèn)題。

1.我有管理和維持ICS安全的人員嗎？

ARC咨詢集團(tuán)分析師Sid Snitkin指出，企業(yè)規(guī)劃人員通常傾向于認(rèn)為工業(yè)網(wǎng)絡(luò)安全在很大程度上是技術(shù)問(wèn)題，而往往更大的問(wèn)題是缺乏高技能的人力資源。近年來(lái)，關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營(yíng)商已經(jīng)越來(lái)越多地部署推薦的技術(shù)控制措施來(lái)保護(hù)他們的系統(tǒng)，但卻沒(méi)有足夠的操作運(yùn)營(yíng)人員。

Snitkin說(shuō)：“很多企業(yè)根本沒(méi)有足夠的人手來(lái)維持他們投入的技術(shù)。他們部署了反惡意軟件，但沒(méi)有人去進(jìn)行更新。他們能發(fā)現(xiàn)漏洞，但沒(méi)有人去修復(fù)?！蓖ǔ?，管理網(wǎng)絡(luò)安全的人員也是最初讓系統(tǒng)投入運(yùn)行的自動(dòng)化工程師和生產(chǎn)工程師。

Snitkin說(shuō)：“安全職能只是他們的副業(yè)?！彼麄儧](méi)有時(shí)間，通常更注重怎樣保持系統(tǒng)運(yùn)行，而不是讓系統(tǒng)停下來(lái)處理安全問(wèn)題。Snitkin說(shuō)，很多工廠經(jīng)理認(rèn)為他們通過(guò)實(shí)施一些技術(shù)控制措施來(lái)解決其安全問(wèn)題，這是一種錯(cuò)誤的安全觀點(diǎn)。

2.我知道在哪兒安裝了什么嗎？

要正確地進(jìn)行保護(hù)，首先應(yīng)弄清楚在該領(lǐng)域安裝了什么，以及它們連接到哪些系統(tǒng)。應(yīng)用控制解決方案公司總經(jīng)理Joe Weiss說(shuō)，如果你對(duì)這些都不清楚，那就死定了。你需要了解已經(jīng)在哪里部署了技術(shù)控制措施，在哪里可以采用技術(shù)來(lái)進(jìn)行保護(hù)。Weiss說(shuō)，對(duì)于不支持現(xiàn)代安全控制措施的系統(tǒng)，需要考慮進(jìn)行控制補(bǔ)償以降低風(fēng)險(xiǎn)。

工業(yè)安全供應(yīng)商Mocana公司首席執(zhí)行官Bill Diotte說(shuō)：“我們已經(jīng)看到由于缺乏基本的安全保護(hù)措施，黑客繞過(guò)了防火墻，跳過(guò)網(wǎng)關(guān)，并利用了ICS設(shè)備的漏洞。”Diotte說(shuō)：“對(duì)于工廠管理人員、運(yùn)營(yíng)商和制造商來(lái)說(shuō)，最重要的是確保ICS設(shè)備本身是可信的，并具備必要的網(wǎng)絡(luò)安全功能?！?/p>

他說(shuō)：“通常，PLC（可編程邏輯控制器）、傳感器和工業(yè)網(wǎng)關(guān)沒(méi)有數(shù)字證書(shū)等安全憑證，也沒(méi)有隱藏在硬件中的私有密鑰作為信任的基礎(chǔ)?！彼f(shuō)，安全啟動(dòng)、認(rèn)證、加密和信任鏈等基本的網(wǎng)絡(luò)保護(hù)功能并沒(méi)有在設(shè)備上實(shí)現(xiàn)，這影響了人員安全、正常運(yùn)行時(shí)間和環(huán)境。

3.我是否部署了真正的網(wǎng)絡(luò)安全控制系統(tǒng)政策？

企業(yè)所犯的最大錯(cuò)誤就是把IT安全與控制系統(tǒng)安全等同起來(lái)。Weiss說(shuō)，這兩者完全不同。

IT安全通常側(cè)重于探測(cè)并處理網(wǎng)絡(luò)中的漏洞，而不考慮對(duì)過(guò)程系統(tǒng)的實(shí)際影響。Weiss說(shuō)，對(duì)于工廠操作人員，最重要的是系統(tǒng)的完整性和可用性。對(duì)他們來(lái)說(shuō)，重點(diǎn)不是某一具體的網(wǎng)絡(luò)威脅有多么復(fù)雜，而是在于它是否會(huì)導(dǎo)致過(guò)程出現(xiàn)問(wèn)題。

Weiss說(shuō)：“您真的有控制系統(tǒng)的網(wǎng)絡(luò)安全政策和程序嗎？這不是IT，不是業(yè)務(wù)連續(xù)性計(jì)劃，不是物理安全?！彼麊?wèn)道，您思考過(guò)怎樣保護(hù)自己的過(guò)程控制系統(tǒng)嗎，還是只是與IT保持同步而已。

為確保安全，你要求能夠信任連接到控制器、致動(dòng)器和人機(jī)接口（HMI）系統(tǒng)的過(guò)程傳感器的輸出。Weiss說(shuō)：“在9/11之前，擁有設(shè)備的人就擁有了一切。9/11之后，網(wǎng)絡(luò)被重新劃分為關(guān)鍵基礎(chǔ)設(shè)施，由運(yùn)營(yíng)商提供，并轉(zhuǎn)交給IT部門維護(hù)?！苯Y(jié)果是ICS的安全過(guò)于以IT為中心。

4.我能信任我的設(shè)備的輸出嗎？

Diotte說(shuō)，確定有控制措施以保證工業(yè)控制網(wǎng)絡(luò)上設(shè)備的可信性。否則，信任它們的數(shù)據(jù)是有風(fēng)險(xiǎn)的。

企業(yè)的工業(yè)控制設(shè)備有安全啟動(dòng)過(guò)程和防止未經(jīng)授權(quán)更改固件的機(jī)制嗎？你知道企業(yè)的無(wú)線軟件更新和安全補(bǔ)丁過(guò)程有多安全嗎？Diotte問(wèn)道，企業(yè)的ICS設(shè)備能支持使用基于標(biāo)準(zhǔn)的PKI身份認(rèn)證和數(shù)字證書(shū)嗎？

Weiss補(bǔ)充說(shuō)：“每個(gè)人都非常重視診斷。沒(méi)有人會(huì)問(wèn)，我們是否可以信任我們的傳感器。如果你是醫(yī)生，除非你知道監(jiān)視器是可信的，否則就不能信任你的血壓讀數(shù)?！?/p>

5.IT安全措施保護(hù)了我的系統(tǒng)，還是帶來(lái)了更多的問(wèn)題？

Weiss說(shuō)，IT部門不應(yīng)該在沒(méi)有控制系統(tǒng)人員監(jiān)督的情況下直接使用控制系統(tǒng)。否則，會(huì)產(chǎn)生意想不到的問(wèn)題?！霸贗T領(lǐng)域，如果有人用錯(cuò)了五次密碼，就會(huì)把那個(gè)人鎖定起來(lái)?！彼f(shuō)，當(dāng)有人真的需要急于進(jìn)入關(guān)鍵的電廠系統(tǒng)，那么采用同樣的方法來(lái)控制其訪問(wèn)可能導(dǎo)致災(zāi)難性的后果。Weiss說(shuō)：“這么做有可能把整個(gè)設(shè)施變成廢墟。作為黑客，我所要做的不過(guò)就是用錯(cuò)五次密碼來(lái)鎖定你?！?/p>

Habibi說(shuō)，看看企業(yè)的安全控制措施是否是針對(duì)OT環(huán)境設(shè)計(jì)的，這一點(diǎn)非常重要。他說(shuō)：“由于安全性和可靠性的影響，代理、網(wǎng)絡(luò)Ping掃描以及企業(yè)IT網(wǎng)絡(luò)安全防護(hù)等其他常用方法在過(guò)程控制網(wǎng)絡(luò)中都是不可行的。根本不應(yīng)該采用這樣的解決方案。就是如此?！?/p>

6.我的系統(tǒng)有合適的文檔嗎？

Dragos公司的高級(jí)漏洞分析師Reid Wightman指出，無(wú)論是部署新的控制系統(tǒng)還是加強(qiáng)現(xiàn)有的，都應(yīng)該為控制組件必要的服務(wù)和可選服務(wù)提供所有文檔。他說(shuō)，你需要知道文檔是否按照功能對(duì)服務(wù)進(jìn)行了分解——例如，控制系統(tǒng)協(xié)議與工程協(xié)議、文件傳輸和HMI配置協(xié)議等。

當(dāng)控制組件發(fā)生故障時(shí)，是否有解釋控制器輸出行為的文檔？Wightman說(shuō)：“系統(tǒng)中采用了哪些專有網(wǎng)絡(luò)協(xié)議，為加強(qiáng)各自的服務(wù)而采取了什么措施？”你需要這類信息才能真正理解所面臨的風(fēng)險(xiǎn)，知道為了隔離漏洞所采取的必要的緩解措施會(huì)對(duì)系統(tǒng)產(chǎn)生怎樣的影響。

7.我真正理解我的網(wǎng)絡(luò)訪問(wèn)問(wèn)題嗎？

Wightman說(shuō)，控制系統(tǒng)聯(lián)網(wǎng)后，更容易進(jìn)行管理和監(jiān)控，但是你需要了解安全影響范圍，并采取適當(dāng)?shù)目刂拼胧﹣?lái)降低風(fēng)險(xiǎn)。

例如，你有什么保證措施，保證任何通過(guò)網(wǎng)絡(luò)訪問(wèn)控制系統(tǒng)環(huán)境的人只能對(duì)數(shù)據(jù)進(jìn)行讀操作？過(guò)程系統(tǒng)供應(yīng)商是否需要對(duì)網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程訪問(wèn)？對(duì)這種訪問(wèn)你怎樣進(jìn)行控制？

類似地，還應(yīng)該知道工程師是否需要遠(yuǎn)程訪問(wèn)控制組件，他們?yōu)槭裁葱枰@種訪問(wèn)。Wightman說(shuō)，確保你知道網(wǎng)絡(luò)現(xiàn)有的控制措施，或者網(wǎng)絡(luò)需要添加哪些控制措施，以達(dá)到可接受的風(fēng)險(xiǎn)等級(jí)，保證遠(yuǎn)程訪問(wèn)是安全的。

Mocana的Diotte指出，確定你知道不同等級(jí)和不同類型的設(shè)備所支持的通信協(xié)議。Diotte說(shuō)，你應(yīng)該知道與控制系統(tǒng)進(jìn)行的所有通信是否具備很強(qiáng)的身份驗(yàn)證和加密功能，找出最易受攻擊的通信協(xié)議，了解是否與SCADA和IIoT網(wǎng)絡(luò)安全的進(jìn)行通信。

8.是否具備事件響應(yīng)和事件管理能力？

即使出現(xiàn)網(wǎng)絡(luò)攻擊的可能性相對(duì)較低，但其影響可能是災(zāi)難性的。ARC咨詢公司的Snitkin認(rèn)為，應(yīng)該提出的一個(gè)基本問(wèn)題是，企業(yè)是否具備響應(yīng)并緩解成功攻擊的能力。他說(shuō)：“如果攻擊者下定決心要滲透到企業(yè)中并建立基地，那么你很難阻止他們。”一定要制定好計(jì)劃，部署好過(guò)程，以便遭受網(wǎng)絡(luò)攻擊后能夠快速安全的恢復(fù)。

Habibi說(shuō)，評(píng)估ICS環(huán)境的網(wǎng)絡(luò)安全措施時(shí)，應(yīng)知道怎樣對(duì)企業(yè)進(jìn)行配置以發(fā)現(xiàn)未經(jīng)授權(quán)的更改。他說(shuō)：“你是否有基于資產(chǎn)重要性的事件響應(yīng)協(xié)議，以便作出適當(dāng)、快速的反應(yīng)？你知道工業(yè)資產(chǎn)有哪些攻擊面嗎？”

Habibi指出，應(yīng)評(píng)估IT和專有控制系統(tǒng)資產(chǎn)的漏洞發(fā)現(xiàn)和緩解過(guò)程，知道目前有哪些補(bǔ)丁，哪些設(shè)施設(shè)備最易受到攻擊?！叭绻钤愀獾那闆r發(fā)生，你是否有經(jīng)過(guò)測(cè)試的業(yè)務(wù)連續(xù)性計(jì)劃，包括對(duì)高風(fēng)險(xiǎn)系統(tǒng)的全新備份？”