對手越來越聰明高效,也越來越精于滲透工業網絡。博思艾倫咨詢公司近期一項調查研究的數據強化了這一事實。該公司調查了全球314家運營有工業控制系統(ICS)的公司,發現其中34%都在一年內遭遇了2次以上的數據泄露。2015年,ICS運營者向美國相關機構報告的安全事件數量比之前任何一年都多。
今天的ICS運營者所面對的威脅態勢,其危險程度前所未有。針對性威脅的規模、類型和嚴重性都在快速增加。很多產業的運營者都發現,網絡攻擊對他們的系統造成了損害,有些案例中,甚至造成了物理破壞。
保護工業網絡安全不是件輕松的事。主要是因為大多數工業網絡都是在網絡威脅出現前就搭建的,并沒有內置的外部安全控制措施。理解這些網絡如今面對的首要威脅,是改善它們安全態勢的第一步。
一、工業網絡外部威脅——APT、針對性攻擊及其他
針對ICS網絡的外部網絡攻擊,可能是由政治利益方(民族國家、恐怖組織或激進黑客)支持的,但也可能部分出于工業間諜活動。基于對手的動機,此類攻擊的目的多種多樣。比如說,若出于政治動機,攻擊的目標更有可能是造成運行中斷和物理破壞,而工業間諜攻擊的目標,更多考慮的是竊取知識產權。今天,大多數產業,尤其是涉及關鍵基礎設施的那些,更容易被出于政治動機的攻擊盯上,它們的目的,就是引起運行中斷和物理破壞。
即使那些因為不身處關鍵基礎設施行業,而不擔心APT或針對性攻擊的企業,也容易受到連帶傷害。這是因為,意圖引起運營系統中斷的政治動機ICS網絡攻擊,所使用的漏洞利用工具,針對的是所有工業行業都會用到的技術。此類攻擊無可避免地會影響到非目標企業及其ICS網絡。
就拿針對伊朗的震網蠕蟲來說吧。西門子聲稱,震網感染了至少14家工廠,受感染企業包括美國能源公司雪佛龍和俄羅斯民用核能發電廠。
二、內部威脅——別有用心的雇員和承包商
關于IT網絡的內部威脅,已有很多評述,但工業網絡在風險上與IT網絡是相當的。手握ICS網絡合法訪問權的,有雇員、承包商和第三方集成商。由于大多數ICS網絡沒有任何身份驗證或加密措施來限制用戶活動,任何內部人士都能在網絡中任意設備上自由來去。包括監視與數據采集系統(SCADA)和負責整個工業過程生命周期的關鍵控制器。
這方面一個著名案例,就是澳大利亞馬盧奇污水處理廠員工反水案。該員工曾就職于為昆士蘭州馬盧奇郡安裝了SCADA系統的公司。后來他申請該郡市政服務機構的職位未果,便心懷怨恨,用(可能是偷來的)設備發布未授權指令,導致80萬升未經處理的污水溢出到當地公園、河流,乃至一家凱悅酒店地板上。所造成的環境破壞相當廣泛。
三、人為失誤——或許是ICS最大的威脅
人為失誤無可避免,但卻能導致高昂的代價。對很多企業而言,與人為失誤相關聯的風險,或許比內部威脅更嚴重。某些情況下,人為失誤被認為是對ICS系統最大的威脅。
人為失誤包括不正確的設置、配置和可編程邏輯控制器(PLC)編程錯誤,能導致工作流中的危險改變。可被外部對手利用的漏洞,也會由人為失誤導致。常見人為失誤的例子,可參考為集成商而設的臨時連接在項目結束后還門戶大開的情況。
有些人為失誤,是員工用“創新性方法”搞定工作時發生的。比如員工需要遠程連接ICS網絡,卻沒有安全信道可用的情況下,他們會建立一個自己的未授權遠程連接。這種未經批準的連接,可能成為滲漏點,并將工業網絡暴露給外部攻擊。
安全挑戰
由于很多ICS網絡沒有任何身份驗證或授權規程,保護ICS網絡免受外部和內部威脅侵擾便成為了一項重大挑戰。而且,大部分ICS網絡還缺乏實施訪問策略、安全策略或修改管理策略的控制措施,也沒有審計跟蹤或捕捉修改及活動以支持鑒證調查的日志。
因此,當運營中斷發生,很難確定是由網絡攻擊、惡意內部人士、人為失誤,還是機械故障導致的。這種可見性和控制措施的缺失,限制了運營員工及時響應事件的能力,導致運營中斷和恢復工作的整體支出增多。
護衛ICS網絡
對工業網絡的實時可見性,是ICS安全的關鍵。為防止外部威脅、惡意內部人士和人為失誤的破壞,工業企業必須監視所有活動——無論是未知源頭執行的,還是可信內部人士執行的,無論授權與否。
監視控制層活動,也就是對工業控制器所做的工程改變——無論是通過網絡進行的,還是直接在設備上進行的。這是檢測由ICS威脅引發的未授權活動最有效的方法。新型專業化ICS網絡監視和控制技術,可以提供深度實時可見性,可供識別惡意或可疑活動,采取預防措施以控制或預防破壞。
京公網安備 11010502049343號