高級持續(xù)性威脅正成為關(guān)鍵基礎(chǔ)設(shè)施及能源領(lǐng)域日漸艱巨的挑戰(zhàn)，它是一種復(fù)雜的網(wǎng)絡(luò)攻擊，通常是資金充裕、有國家背景的專業(yè)黑客小組所發(fā)動。

針對工業(yè)控制系統(tǒng)(ICS)和數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)(SCADA)的高級持續(xù)性攻擊數(shù)量日漸增多，下屬美國國土安全部(DHS)的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)緊急響應(yīng)小組(Industrial Control)將ICS/SCADA和控制系統(tǒng)網(wǎng)絡(luò)列為黑客或病毒最容易攻擊的兩種目標(biāo)目標(biāo)。漏洞來源主要有兩種：內(nèi)部人員、面向外網(wǎng)的ICS/SCADA硬件;它們分別占漏洞總數(shù)的13%和87%。

要防御ICS/SCADA，企業(yè)顯然需要得到支持。如果缺乏合適的防御策略，連續(xù)不斷的APT攻擊將會使能源行業(yè)的高價格設(shè)備失效、紊亂乃至直接報廢。從經(jīng)濟(jì)上沖擊能源企業(yè)會直接導(dǎo)致國家電力、天然氣、石油資源的損失。能源行業(yè)和國家都應(yīng)立即開始規(guī)劃、資助并全面保護(hù)ICS和SCADA，這對于公私雙方而言都是最佳策略。

國土安全部：關(guān)鍵基礎(chǔ)設(shè)施間的關(guān)系

　　只考慮運作中的關(guān)系，不考慮購買機(jī)器和設(shè)備的過程。

保護(hù)ICS/SCADA的商業(yè)爭論

資助支持ICS升級替換的關(guān)鍵益處如下：

1. 維持美國的經(jīng)濟(jì)和生活方式

2. 保護(hù)美國關(guān)鍵基礎(chǔ)設(shè)施

3. 保證公司利潤和股東權(quán)益

4. 減少公司負(fù)債

5. 美國政府將更難攫取更多權(quán)力或出臺更多監(jiān)管政策，這可能在未來削減能源領(lǐng)域的相關(guān)成本

控制內(nèi)部人員

人機(jī)交互接口(Human Machine Interface，HMI)是流行的攻擊界面。釣魚、魚叉釣魚和其它社會工程技術(shù)正繼續(xù)為黑客提供訪問ICS/SCADA系統(tǒng)的手段。即使是采取了優(yōu)秀的員工培訓(xùn)計劃，被感染的供應(yīng)商或相關(guān)網(wǎng)絡(luò)也仍舊可能為攻擊者敞開大門。針對性的內(nèi)部人員入侵可能更難預(yù)測、識別或?qū)ζ洳扇?yīng)對措施。由于擔(dān)心訴訟、出于尷尬、擔(dān)心損失在公司內(nèi)的名譽(yù)，內(nèi)部員工不太可能向同事們披露遭遇的網(wǎng)絡(luò)安全問題。

培訓(xùn)是減少乃至消除內(nèi)部人員攻擊的有效工具。所有能源企業(yè)都應(yīng)當(dāng)強(qiáng)制部署動態(tài)流程，它能夠通知、指示、認(rèn)證并同意書面的合規(guī)性。培訓(xùn)系統(tǒng)設(shè)計(Instructional System Design)應(yīng)當(dāng)提前測試員工，根據(jù)員工級別量身定制培訓(xùn)知識。培訓(xùn)過程不應(yīng)當(dāng)完全基于計算機(jī)或依賴互聯(lián)網(wǎng)，另外則應(yīng)當(dāng)包括展示、研討會、案例研究/實踐。

訓(xùn)練結(jié)束后應(yīng)當(dāng)進(jìn)行事后測試。測試的通過率較高意味著員工已經(jīng)吸收了課程知識，更重要的是，證明了員工確實接收到并理解了信息。成功通過了測試的員工不能在之后聲稱“我當(dāng)時不知道”，或者對同事的安全錯誤表示熟視無睹。

ICS/SCADA系統(tǒng)最初的設(shè)計理念是無需網(wǎng)絡(luò)也可單獨操作。然而一旦連接到網(wǎng)絡(luò)，黑客就可以遠(yuǎn)程發(fā)起數(shù)據(jù)請求。除非采取預(yù)防措施，這樣的人機(jī)通訊方式仍將對攻擊者可見。為防止攻擊者獲得網(wǎng)絡(luò)指揮、控制和通信權(quán)限，人機(jī)交互過程中應(yīng)當(dāng)始終運行安全連接，例如網(wǎng)銀使用的協(xié)議。如果通過移動端訪問ICS/SCADA，必須啟用VPN。

其它優(yōu)秀措施包括：使用最小特權(quán)賬戶、對關(guān)鍵流程采取雙人控制、限制便攜式媒介、在超級用戶想要訪問系統(tǒng)并作出修改時為其分配個人用戶和口令，而不是使用常見的admin作為登陸名。

很重要的一點在于，不要忽略與公司相聯(lián)系的組織，比如供應(yīng)商。缺乏對第三方公司的權(quán)限控制可能導(dǎo)致非法人員得到管理員權(quán)限。如果這些權(quán)限被濫用或劫持，黑客就可以通過互聯(lián)系統(tǒng)得到控制權(quán)限，訪問到其主要目標(biāo)。比如2014年塔吉特入侵事件中，黑客就是以一家采暖通風(fēng)與空調(diào)(Heating, Ventilation and Air Conditioning，HVAC)供應(yīng)商作為跳板的。如果能源公司不采取行動，第三方供應(yīng)商可能并沒有相應(yīng)的資源或動機(jī)來部署防御。

獎勵部署完善安全措施的供應(yīng)商，對無法符合能源行業(yè)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的供應(yīng)商進(jìn)行限制，這可能會鼓勵外部合作伙伴加強(qiáng)網(wǎng)絡(luò)安全防御。

安全挑戰(zhàn)

人員因素最容易導(dǎo)致非法訪問、惡意軟件感染、有意破壞ICS/SCADA網(wǎng)絡(luò)及設(shè)備

ICS/SCADA接收來自遠(yuǎn)程終端單元(Remote Terminal Units，RTU)的信息，該單元會通過數(shù)字網(wǎng)絡(luò)或無線電進(jìn)行通訊

網(wǎng)絡(luò)可能會被惡意軟件或拒絕服務(wù)攻擊所侵害。無線電是攻擊源使用的新型攻擊界面

能源領(lǐng)域基礎(chǔ)設(shè)施中的大多數(shù)人物都需要人員參與完成

事故會發(fā)生。關(guān)鍵基礎(chǔ)設(shè)施仍處于危險中

ICS/SCADA系統(tǒng)往往是定制的，它們使用傳統(tǒng)的操作系統(tǒng)的數(shù)據(jù)鏈接。數(shù)字網(wǎng)絡(luò)的增長以及ICS/SCADA設(shè)備不可避免所需要的網(wǎng)絡(luò)連接從未涉及用于網(wǎng)絡(luò)操作繼續(xù)

獨立系統(tǒng)能夠增加安全性，然而具有成本和功能方面的缺點

SCADA/RTU接口

RTU和ICS/SCADA應(yīng)用之間的冗余安全連接能夠成為可靠、安全企業(yè)的基石。電力線路自動化、預(yù)警系統(tǒng)、生產(chǎn)/傳輸系統(tǒng)全部需要通信媒介，信息j傳輸方式包括低速的撥號電話線、中速的無線電信號、高速的寬帶有線/無線網(wǎng)信息提供商。

大多數(shù)RTU系統(tǒng)不符合數(shù)據(jù)加密標(biāo)準(zhǔn)(Data Encryption Standard，DES)和高級加密標(biāo)準(zhǔn)(Advanced Encryption Standard，AES)要求。升級并部署符合行業(yè)加密標(biāo)準(zhǔn)的新RTU系統(tǒng)會產(chǎn)生成本。當(dāng)整個公司突然宕機(jī)時，甚至?xí)a(chǎn)生更大的成本，也許是因為他們一直對ICS/SCADA奉行的模糊即安全策略失效了。這完全在意料之中，因為沒有人會從ICS/SCADA設(shè)備本身入手。

不論是存儲還是傳輸過程中，數(shù)據(jù)都必須被加密。以加密格式泄露的數(shù)據(jù)對攻擊者而言通常是無用的。

通過在多個訪問級別上部署多重密碼，可以增強(qiáng)RTU接口的安全性。多重密碼可以將應(yīng)用權(quán)限和ICS/SCADA硬件權(quán)限分割開來，避免最小特權(quán)用戶訪問。所有硬件都應(yīng)當(dāng)使用硬件防火墻掩蓋真實IP地址。

企業(yè)應(yīng)當(dāng)部署基于不可否認(rèn)性的系統(tǒng)，對每一種活動都分配一個數(shù)字記錄。RTU必須自動記錄所有和訪問相關(guān)的活動，以實現(xiàn)其基本功能。經(jīng)常刪除、禁用并重命名默認(rèn)賬戶，并要求使用強(qiáng)密碼。應(yīng)當(dāng)考慮使用非對稱密碼的加密策略以及相關(guān)的維護(hù)軟件，比如LastPass。

老式/獨立設(shè)計

ICS/SCADA系統(tǒng)的運行壽命長達(dá)十年，其中一些設(shè)備已經(jīng)有30歲高齡了。 對這些設(shè)備而言，不光是很難找到備用部件，甚至都很難找到熟悉其組件和操作系統(tǒng)的工程師。la系統(tǒng)往往與傳統(tǒng)通訊設(shè)備相綁定，它們所導(dǎo)致的問題是一致的。然而企業(yè)正繼續(xù)盲目地依靠“模糊即安全”原則。

就算它曾經(jīng)有效過，現(xiàn)在也已經(jīng)被諸如SHODAN這樣的物聯(lián)網(wǎng)搜索引擎打敗了。SHODAN并不像其它搜索引擎一樣索引網(wǎng)頁內(nèi)容，相反它索引HTTP、SSH、FTP和SNMP服務(wù)的數(shù)據(jù)，這些協(xié)議構(gòu)成了互聯(lián)網(wǎng)的大半江山。這意味著什么?攻擊者可以通過僅僅使用類似谷歌搜索引擎的服務(wù)發(fā)現(xiàn)特定的設(shè)備和制造商。模糊安全已死。

很多制造商早已拋棄了對老式ICS/SCADA硬件的流水線和支持，而老式硬件仍在忠心耿耿地工作著。由于不需要替換它們的功能，出于安全原因的替換需求經(jīng)常被忽視。開發(fā)商不愿意承擔(dān)更換高齡機(jī)電設(shè)備的相關(guān)研究和開發(fā)費用，企業(yè)管理者也不愿意花錢更換仍舊可用的系統(tǒng)。但這是泡沫經(jīng)濟(jì)，老式系統(tǒng)無法應(yīng)對現(xiàn)代攻擊和APT。

美國安全公司Mandiant在2013年二月發(fā)布了一份報告，文中披露，有中國軍方背景的黑客小組攻擊了一家公司，該公司能夠遠(yuǎn)程訪問北美超過60%的石油和天然氣管道。如果這次攻擊的目標(biāo)是癱瘓設(shè)施，則可能會對美國和加拿大的能源供應(yīng)及環(huán)境產(chǎn)生深遠(yuǎn)的影響。

背景

領(lǐng)域描述

天然氣領(lǐng)域包括天然氣的生產(chǎn)、加工、運輸、配送和儲存;液化天然氣設(shè)施;天然氣控制系統(tǒng)

全美有超過47萬家天然氣生產(chǎn)和冷凝井，有超過3萬千米收集管道。天然氣洲際管道長達(dá)51萬公里

天然氣輸送管道超過193萬公里，這些管道將天然氣輸送給家家戶戶

美國消耗的大多數(shù)天然氣都產(chǎn)自國內(nèi)

關(guān)鍵問題

天然氣基礎(chǔ)設(shè)施是自動化的，它們由天然氣企業(yè)和區(qū)域性供電公司掌控，這些公司依賴鮮先進(jìn)的能源管理系統(tǒng)

很多工業(yè)控制系統(tǒng)是連接到外網(wǎng)的，很容易遭到來自內(nèi)部的網(wǎng)絡(luò)威脅攻擊

關(guān)鍵功能

天然氣領(lǐng)域生產(chǎn)、加工、儲存、運輸并向消費者配送天然氣

呼吁行動

老式系統(tǒng)很難與互聯(lián)網(wǎng)整合，其通訊方式也不安全，無法防御現(xiàn)代攻擊。能源行業(yè)必須理解這一點，并接受更新?lián)Q代的成本。新部署的系統(tǒng)將支持隱身、防火墻、加密和其它自衛(wèi)措施。

能源領(lǐng)域的合作伙伴在一天內(nèi)檢測到數(shù)百萬次嗅探或攻擊并不是什么驚人之事。曾有一家電器生產(chǎn)商在24小時內(nèi)上報過1780萬起事件。這就是網(wǎng)絡(luò)安全的現(xiàn)實，攻擊者只需要走運一次就行，而作為防御者的你必須做到次次完美。

哪怕能源行業(yè)使用的系統(tǒng)短暫宕機(jī)都會對美國公民的生活造成毀滅性的打擊。這一領(lǐng)域的管理者承擔(dān)著社會、道德和法律責(zé)任，有義務(wù)在可行范圍內(nèi)保護(hù)網(wǎng)絡(luò)和物理安全的所有方面。

“我們能買得起設(shè)備嗎?”將不再是一個問題。這個問題必須變成“當(dāng)我的產(chǎn)業(yè)對網(wǎng)絡(luò)攻擊無能為力時，誰會受到公眾的指責(zé)?我們會在報紙上找到誰的名字?誰將失去一切?”答案是你和你的公司。

本文作者約翰·布賴克(John Bryk)上校曾在美國空軍服役30年，他退役前在中歐擔(dān)任軍事外交官。他持有北達(dá)科他州立大學(xué)工商管理碩士學(xué)位，希望將這些知識和他即將拿到的網(wǎng)絡(luò)安全碩士相結(jié)合，保護(hù)關(guān)鍵基礎(chǔ)設(shè)施。