转载

五个关于工控系统安全的神观点

尽管对于工控系统的网络安全观念日益提升,但是依旧有许多IT安全模式坚守着其过时的观念:物理隔离系统和通过隐匿来实现安全已经足够了。然而,事实并非如此。

这里我们列举了商业工控系统中常见的五个神观点,大致可以解释为什么传统空气隔绝和以网络安全为基础的方法不足以保护工业系统。

神观点之一:我们的工业自动系统没有与互联网相连,因此它们很安全

工业控制系统(ICS)平均有11个与互联网的直接连接。如果你认为自己是一个例外,还是再次核实一下吧。

在一个针对主流能源公司的内部调查中发现,大多数公司管理层认为控制系统是不与业务网络连接,而一份统计结果显示89%的系统实际上是联网的。更重要的是,业务网络安全只是针对通用业务流程,并不对关键流程系统进行保护。公司网络和互联网之间存在多层连接类型,其中包括内部网络、直接网络连接、无线和拨号调制解调器等。

这种不完整的安全防护会让你门户大开。以“Slammer”蠕虫为例,它影响了重要的基础设施,例如应急服务器、空中交通管制系统以及ATM机等,实现了在三分钟内以每秒5500万的全速扫描——这一切当然要多亏了互联网。讽刺的是,唯一让它减速的原因是渗透时缺乏网络带宽,其中包括:

·美国俄亥俄州戴维斯-贝斯核电站的计算机和系统显示由一个承包商T1线路感染了病毒,导致其安全监控离线长达五个小时。 ·北美店里可信委员会发现,Slammer通过一个连接到远程电脑上的VPN感染了电气公司的系统。而这些计算机是怎样被感染的呢?是通过公司网络,蠕虫病毒大肆传播,阻塞了SCADA(数据采集和监控系统)的流量。 ·攻击者通过感染员工笔记本电脑,入侵了美国哈里斯堡水处理厂系统,远程访问了SCADA的人机界面,同时还安装了恶意软件和间谍软件。

神观点之二:我们已经装了防火墙,因此我们不会受到外部威胁

不可否认,防火墙提供了一定程度的保护,但是它们不是刀枪不入的。一项研究调查了来自金融、能源、电信、媒体以及汽车公司的37种防火墙,结果显示:

·接近80%允许“任意”服务对防火墙和控制区的入站规则和无担保访问; ·接近70%允许外围网络设备访问和管理防火墙。

神观点之三:黑客不知道什么是 SCADE/DCS/PLC (数据采集与监控系统/集散控制系统/可编程逻辑控制器)

这些日子以来,SCADA和程序控制系统频繁成为黑客“黑帽大会”的热门议题。当然因为有不错的理由:每个卖给有组织犯罪团伙的0day漏洞利用可高达8万美元,网络犯罪最终变得非常有利可图。

如果你不认为黑客对你的工控系统感兴趣,或是他们有能力攻击你的系统。那么,你或许应该重新思考一下这个问题,原因如下:

·目标蠕虫和其他漏洞利用已经根据特定的应用程序或者目标进行剪裁。 ·现有的SCADA规格可以很轻松地在线购买或者访问。这些都是很好的黑客读物,帮助他们更好的理解这些东西。 ·Shodan搜索引擎让定位全球范围内不安全的工业设备和系统变得轻而易举。罪犯对此再清楚也不过了,许多情况下这些设备仍在运行当中,还使用着如“admin”和“1234”这样的通用密码和登录信息。 ·Basecamp项目、Nessu插件以及Metasploit模块都有助于进行渗透测试——但同时也可以用来犯罪。

神观点之四:我们的设施不会成为目标

这是个非常危险的想法。即使我们将事实一一例举,可能你也无法理解这二者间为什么没有关联。

首先,你的组织并不需要成为攻击的目标,就可以当受害者——80%的控制系统事故属于意外,但仍有害。举个例子,Slammer旨在攻击全球范围中尽可能多的全球系统。它并不专门针对能源公司或者紧急服务进行攻击,但是会对许多公司产生巨大的影响。

其次,许多系统已经暴露于攻击之下,这一切都要多亏它们运用的不安全操作系统。卡巴斯基曾做过的调查显示,越来越多运行了SCADA软件的电脑遭遇相同的恶意软件时影响业务系统(IT),其中包括但不仅限于众所周知的木马、病毒、蠕虫、PUP以及其他一些针对Windows操作系统的漏洞利用。

卡巴斯基研究显示了许多工业用电脑感染了影响商业系统的相同恶意程序:

五个关于工控系统安全的神观点

神观点之五:外部安全系统可以保护我们免受伤害

这是我们还存有技术的部分,但重要的是清楚一点:现有的大多数安全系统都存在技术缺陷。

这里列举了一些当前系统存在的主要问题:

·IEC 61508认证(SIL)评估结果为不安全。 ·现代SIS是基于微型处理器的,通过一台Windows个人电脑便能配置可编程系统。 ·以太网通信使用了不安全的通信协议(Modbus TCP、OPC.),已经是集成控制和安全系统司空见惯的“漏洞”。 ·许多SIS通信接口模块运行内置的操作系统和以太网存在很多已知漏洞。 ·LOGIIC SIS 项目(ICSJWG):SIS-ICS集成增加了风险,默认配置并不安全。

那么,我们能做什么呢?

为了在以流程为中心、高利用性的工业控制环境中成功抵御攻击,安全系统应该满足特定的需求。

尽管空气隔绝和基于安全考量的方式是重要的第一道安全防线,而针对周边、非常脆弱的系统以及沦为目标设备的保护,也必须加以实施。

随着包括有针对性攻击和APT攻击在内的网络犯罪活动越来越多,当这些攻击活动在频率和复杂程度都上升之际,安全系统应该受到持续检测和反复评估。而无论你对于工控系统抱有怎样的信仰,一旦你坚守信念,就该得到相同的对待。

*参考来源: ITProPortal ,FB小编明明知道编译,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

正文到此结束
Loading...