信息來源:今日頭條
災難性事故可能是由不安全的工業(yè)控制系統(tǒng)所造成的后果??梢酝ㄟ^4個步驟來提升整個系統(tǒng)的網絡安全。
盡管一直以來�,網絡安全是任何行業(yè)都會關注的主要問題�����,但人們普遍認為攻擊只會導致丟失專有數(shù)據(jù)�����、成為間諜活動的受害者以及面臨停工的威脅�����。但是�,2017 年的Triton(也稱為Trisis 或HatMan)攻擊�����,顯示出了嚴重攻擊的另一方面:可能導致潛在的災難性事故�。下面讓我們一起了解一下常見的攻擊類型、預防措施以及改進方法�����。
傳統(tǒng)上,工業(yè)控制系統(tǒng)(ICS)的設計都是獨立運行在獨立的控制網絡上的�����,很少有人能預見到網絡安全所帶來的威脅�。但是,隨著工業(yè)領域其它技術的發(fā)展——包括智能傳感器�����、無線網關�����、遠程管理系統(tǒng)�、虛擬化、云計算�、智能手機和各種商業(yè)智能需求,這些工業(yè)系統(tǒng)不受外界干擾的可能性會越來越小�。
工業(yè)控制系統(tǒng)受外部攻擊的第一個實例是2010 年的Stuxnet,該腳本的設計旨在破壞運行離心機的工業(yè)控制器的腳本�。隨后是2013 年的Havex 攻擊,攻擊目標是電網和電力公司�����;通過它收集大量的數(shù)據(jù)用于間諜和破壞活動。
2015 年出現(xiàn)了兩個威脅:BlackEnergy破壞了工作站上的數(shù)據(jù)和文件�,在烏克蘭造成了嚴重的電力中斷,IronGate 在公共資源上被發(fā)現(xiàn)�����,并具有與Stuxnet 相同的功能�����。在2016 年�����,Industroyer 還在烏克蘭造成了嚴重破壞�,其中惡意軟件擦除了數(shù)據(jù)并在網絡上進行了分布式拒絕服務(DDoS)攻擊�����,從而導致烏克蘭電網的關閉�����。
Triton 攻擊發(fā)現(xiàn)于2017 年。它的發(fā)現(xiàn)�,可能避免了一場嚴重災難的發(fā)生。該惡意軟件可以感染Triconex 安全控制器�����,使黑客可以更改安全參數(shù)�。惡意攻擊可能會導致工業(yè)設備的安全設定值失效,甚至可能會導致與化工廠爆炸同樣嚴重的災難事件�。
了解攻擊源
為了應對網絡安全威脅,第一步是了解攻擊者可能來自何處�,因為攻擊者通常會使用偵察作為衡量和了解特定時期內目標弱點的第一步。從長遠來看�,企業(yè)可能會使用攻擊向量分析來識別攻擊者可能使用的不同方法,或者可能傾向使用的系統(tǒng)�。所有這些,都需要基于企業(yè)資產業(yè)務影響分析中出現(xiàn)的風險�����。用戶可以使用一些現(xiàn)成的評估工具�,并使用它們將關鍵資產與非關鍵資產區(qū)分開并合理化,然后對其進行缺口評估(gap assessment)�。
攻擊者的常見切入點包括:
1、來自外部網絡�����、因特網和遠程連接,通過企業(yè)資源計劃(ERP)軟件�、網關、數(shù)據(jù)和文檔存儲庫以及在線歷史數(shù)據(jù)庫所進行的入站攻擊�����;
2�����、防火墻和網關配置不正確�����;
3�����、用戶通過被盜或偽造的憑證�����,訪問業(yè)務工作站和控制計算機�����;
4�����、針對生產系統(tǒng)的物理攻擊�����,在大多數(shù)情況下�,這些攻擊是針對人機界面(HMI)、工程師和操作員工作站以及實際過程安全控制器�;
5、針對控制網絡并使用工業(yè)通信協(xié)議的橫向網絡攻擊�,以發(fā)現(xiàn)網絡上的其它設備并傳播惡意代碼;
6�����、社會工程攻擊�����,其重點是使用個人身份信息來誘騙內部人員給予訪問權限、無意中打開網關和運行腳本�����。
網絡安全預防措施
每種類型的攻擊都有其自己的預防措施�。通常可以分為以下8 種類型�����。
01.隔離和細分
利用工具和合格的人員對控制網絡進行徹底的缺口評估�����,通??梢园l(fā)現(xiàn)許多不受監(jiān)控的訪問點,而這些訪問點在遵循標準做法來保護控制網絡時經常會被忽略�。這些威脅可能源于:
(1)對工程/ 操作員工作站的訪問不受限制;
(2)過時的惡意軟件檢測�;
(3)尚未得到保護或審計的第三方應用程序和連接器;
(4)從控制網絡導出數(shù)據(jù)時缺乏非軍事區(qū)(DMZ)或數(shù)據(jù)隔離�����;
(5)連接到公共區(qū)域的關鍵資產�。
02.管理用戶訪問控制
該任務包括采取措施限制未經授權的訪問以及跟蹤和停止與未經授權的訪問有關的任何活動�。這包括:
(1)加強對未經授權人員訪問的難度�;
(2)制定管理政策并嚴格按照計劃進行更新�;
(3)在整個企業(yè)中啟用多因素身份驗證;
(4)白名單�、添加預先批準的地址、位置和基于端口的警報�����,以識別人員訪問系統(tǒng)�;
(5)更改所有密碼和密碼的默認值,并定期更新用戶密碼�����。
03.打補丁頻率
必須定期將所有控制和安全設備更新到最新的固件版本�����。雖然例行的非侵入式修補程序是所有關鍵控制器都應采用的方法�����,但至少應在每個年度維護周期內進行修補�����。
04.運行驗證檢查
通過程序、邏輯和可執(zhí)行驗證檢查�����,確保對邏輯�、代碼和腳本的更改都是授權人員有意進行的更改。模擬的驗證環(huán)境除了可以幫助運行人員在不冒實際物理系統(tǒng)風險的情況下在設備上進行培訓之外�,還可以幫助監(jiān)控邏輯和參數(shù)的任何不必要的更改?����?梢允褂霉ぞ邅碜詣訖z測邏輯級別的任何更改�,并且可以在受控環(huán)境中執(zhí)行任何此類更改,并保留備份副本�����,以備在控制器或系統(tǒng)受到威脅時可以恢復�。
05.增加物理安全性
考慮到最近的網絡安全威脅,現(xiàn)在一些控制系統(tǒng)供應商在其控制器上配置了物理鎖�,可以防止在未先通過物理安全層的情況下在控制器上執(zhí)行任何其它代碼。
06.網絡安全培訓
網絡安全威脅的關鍵部分來自攻擊者�,而這些攻擊者往往依賴工廠人員的錯誤�����。如果沒有所有利益相關者就位并意識到他們的責任,就無法充分實施網絡安全措施�����。這包括培訓人員如何識別攻擊�、如何保護其個人身份信息以及如何保護自己免受攻擊。應當為各級管理人員�����、執(zhí)行人員�、運營技術(OT)系統(tǒng)管理員和用戶提供此培訓。
07.創(chuàng)建事件響應計劃
在偶然的情況下�,一個奇怪的錯誤或疏忽就會給潛在的攻擊者敞開大門,網絡安全實施工作需要包括一個可行的計劃�����,供人員在安全受到破壞或發(fā)現(xiàn)威脅時使用�。這些計劃一旦制定,就需要通過定期的培訓來實踐�����,并提供給所有負責人員,以確保在安全事件發(fā)生時迅速采取行動�。
08.持續(xù)更新的資產登記
為降低風險,請保留所有列出的運營技術資產清單的最新記錄�����,包括交換機�����、路由器�����、防火墻�����、各種網頁服務�����、監(jiān)控和數(shù)據(jù)采集(SCADA)軟件�����、歷史庫服務器、控制器或任何因特網協(xié)議(IP)可尋址設備�����,所有這些都可能使攻擊者找到利用不受管理系統(tǒng)的空間�?����?梢酝ㄟ^網絡監(jiān)視以獲取最新版本的資產清單�����,同時可以通過各種工具監(jiān)視修補程序和任何漏洞�����。
