八問工業控制系統安全

Jaikumar Vijayan

最近發生了一件事，一名民族國家的威脅犯罪分子在測試新的惡意軟件時，很有可能無意中關閉了中東的一個關鍵基礎設施，這引發了人們對脆弱的工業控制系統（ICS，Industrial Control Systems）難以應對網絡新威脅的普遍擔憂。很多安全專家認為這一事件預示著將針對ICS發起新一輪破壞性的攻擊，并敦促關鍵基礎設施所有者緊急更新其運營技術（OT，Operational Technology）網絡的安全防護措施。

什么是ICS？

ICS是用于工業過程運營或者實現自動化的任何設小備、儀器儀表以及相關的軟件和網絡。工業控制系統通常用于制造業，但對于能源、通信和運輸等關鍵基礎設施也非常重要。很多這類系統通過互聯網連接至傳感器和其他設備，這就是所謂的工業物聯網（IIoT，Industrial Internet of Things ），這也使得ICS很容易遭受攻擊。

ICS安全

ICS安全供應商PAS Global公司的首席執行官兼創始人Eddie Habibi指出：“非常重要的一點是，安全部門應汲取經驗教訓以保證企業IT的安全，而且還要善于運用這些經驗教訓，適應OT某些獨特的特性。”他說：“這包括在設施設備中不僅采取基于周界的安全措施，還要在最重要的資產中加入安全控制功能——專有控制系統，這些系統對過程安全和可靠性負有首要責任。”

參考幾位專家的觀點，本文列出了工廠操作人員、過程控制工程師、制造IT專家以及安全人員在進行ICS安全規劃時應注意的一些關鍵問題。

1.我有管理和維持ICS安全的人員嗎？

ARC咨詢集團分析師Sid Snitkin指出，企業規劃人員通常傾向于認為工業網絡安全在很大程度上是技術問題，而往往更大的問題是缺乏高技能的人力資源。近年來，關鍵基礎設施運營商已經越來越多地部署推薦的技術控制措施來保護他們的系統，但卻沒有足夠的操作運營人員。

Snitkin說：“很多企業根本沒有足夠的人手來維持他們投入的技術。他們部署了反惡意軟件，但沒有人去進行更新。他們能發現漏洞，但沒有人去修復。”通常，管理網絡安全的人員也是最初讓系統投入運行的自動化工程師和生產工程師。

Snitkin說：“安全職能只是他們的副業。”他們沒有時間，通常更注重怎樣保持系統運行，而不是讓系統停下來處理安全問題。Snitkin說，很多工廠經理認為他們通過實施一些技術控制措施來解決其安全問題，這是一種錯誤的安全觀點。

2.我知道在哪兒安裝了什么嗎？

要正確地進行保護，首先應弄清楚在該領域安裝了什么，以及它們連接到哪些系統。應用控制解決方案公司總經理Joe Weiss說，如果你對這些都不清楚，那就死定了。你需要了解已經在哪里部署了技術控制措施，在哪里可以采用技術來進行保護。Weiss說，對于不支持現代安全控制措施的系統，需要考慮進行控制補償以降低風險。

工業安全供應商Mocana公司首席執行官Bill Diotte說：“我們已經看到由于缺乏基本的安全保護措施，黑客繞過了防火墻，跳過網關，并利用了ICS設備的漏洞。”Diotte說：“對于工廠管理人員、運營商和制造商來說，最重要的是確保ICS設備本身是可信的，并具備必要的網絡安全功能。”

他說：“通常，PLC（可編程邏輯控制器）、傳感器和工業網關沒有數字證書等安全憑證，也沒有隱藏在硬件中的私有密鑰作為信任的基礎。”他說，安全啟動、認證、加密和信任鏈等基本的網絡保護功能并沒有在設備上實現，這影響了人員安全、正常運行時間和環境。

3.我是否部署了真正的網絡安全控制系統政策？

企業所犯的最大錯誤就是把IT安全與控制系統安全等同起來。Weiss說，這兩者完全不同。

IT安全通常側重于探測并處理網絡中的漏洞，而不考慮對過程系統的實際影響。Weiss說，對于工廠操作人員，最重要的是系統的完整性和可用性。對他們來說，重點不是某一具體的網絡威脅有多么復雜，而是在于它是否會導致過程出現問題。

Weiss說：“您真的有控制系統的網絡安全政策和程序嗎？這不是IT，不是業務連續性計劃，不是物理安全。”他問道，您思考過怎樣保護自己的過程控制系統嗎，還是只是與IT保持同步而已。

為確保安全，你要求能夠信任連接到控制器、致動器和人機接口（HMI）系統的過程傳感器的輸出。Weiss說：“在9/11之前，擁有設備的人就擁有了一切。9/11之后，網絡被重新劃分為關鍵基礎設施，由運營商提供，并轉交給IT部門維護。”結果是ICS的安全過于以IT為中心。

4.我能信任我的設備的輸出嗎？

Diotte說，確定有控制措施以保證工業控制網絡上設備的可信性。否則，信任它們的數據是有風險的。

企業的工業控制設備有安全啟動過程和防止未經授權更改固件的機制嗎？你知道企業的無線軟件更新和安全補丁過程有多安全嗎？Diotte問道，企業的ICS設備能支持使用基于標準的PKI身份認證和數字證書嗎？

Weiss補充說：“每個人都非常重視診斷。沒有人會問，我們是否可以信任我們的傳感器。如果你是醫生，除非你知道監視器是可信的，否則就不能信任你的血壓讀數。”

5.IT安全措施保護了我的系統，還是帶來了更多的問題？

Weiss說，IT部門不應該在沒有控制系統人員監督的情況下直接使用控制系統。否則，會產生意想不到的問題。“在IT領域，如果有人用錯了五次密碼，就會把那個人鎖定起來。”他說，當有人真的需要急于進入關鍵的電廠系統，那么采用同樣的方法來控制其訪問可能導致災難性的后果。Weiss說：“這么做有可能把整個設施變成廢墟。作為黑客，我所要做的不過就是用錯五次密碼來鎖定你。”

Habibi說，看看企業的安全控制措施是否是針對OT環境設計的，這一點非常重要。他說：“由于安全性和可靠性的影響，代理、網絡Ping掃描以及企業IT網絡安全防護等其他常用方法在過程控制網絡中都是不可行的。根本不應該采用這樣的解決方案。就是如此。”

6.我的系統有合適的文檔嗎？

Dragos公司的高級漏洞分析師Reid Wightman指出，無論是部署新的控制系統還是加強現有的，都應該為控制組件必要的服務和可選服務提供所有文檔。他說，你需要知道文檔是否按照功能對服務進行了分解——例如，控制系統協議與工程協議、文件傳輸和HMI配置協議等。

當控制組件發生故障時，是否有解釋控制器輸出行為的文檔？Wightman說：“系統中采用了哪些專有網絡協議，為加強各自的服務而采取了什么措施？”你需要這類信息才能真正理解所面臨的風險，知道為了隔離漏洞所采取的必要的緩解措施會對系統產生怎樣的影響。

7.我真正理解我的網絡訪問問題嗎？

Wightman說，控制系統聯網后，更容易進行管理和監控，但是你需要了解安全影響范圍，并采取適當的控制措施來降低風險。

例如，你有什么保證措施，保證任何通過網絡訪問控制系統環境的人只能對數據進行讀操作？過程系統供應商是否需要對網絡進行遠程訪問？對這種訪問你怎樣進行控制？

類似地，還應該知道工程師是否需要遠程訪問控制組件，他們為什么需要這種訪問。Wightman說，確保你知道網絡現有的控制措施，或者網絡需要添加哪些控制措施，以達到可接受的風險等級，保證遠程訪問是安全的。

Mocana的Diotte指出，確定你知道不同等級和不同類型的設備所支持的通信協議。Diotte說，你應該知道與控制系統進行的所有通信是否具備很強的身份驗證和加密功能，找出最易受攻擊的通信協議，了解是否與SCADA和IIoT網絡安全的進行通信。

8.是否具備事件響應和事件管理能力？

即使出現網絡攻擊的可能性相對較低，但其影響可能是災難性的。ARC咨詢公司的Snitkin認為，應該提出的一個基本問題是，企業是否具備響應并緩解成功攻擊的能力。他說：“如果攻擊者下定決心要滲透到企業中并建立基地，那么你很難阻止他們。”一定要制定好計劃，部署好過程，以便遭受網絡攻擊后能夠快速安全的恢復。

Habibi說，評估ICS環境的網絡安全措施時，應知道怎樣對企業進行配置以發現未經授權的更改。他說：“你是否有基于資產重要性的事件響應協議，以便作出適當、快速的反應？你知道工業資產有哪些攻擊面嗎？”

Habibi指出，應評估IT和專有控制系統資產的漏洞發現和緩解過程，知道目前有哪些補丁，哪些設施設備最易受到攻擊。“如果最糟糕的情況發生，你是否有經過測試的業務連續性計劃，包括對高風險系統的全新備份？”