在互联世界里,因为ICS/SCADA(工业控制系统/监控和数据采集系统)系统与互联网物理隔离就对网络攻击免疫的老一套认知已经不再适用。虽然很多企业已经承认传统物理隔离正在消失,有些企业依然坚信这是一种切实可行的安全措施。
理论上,物理隔离听起来是种挺好的策略。但实际操作中,事情往往没那么简单。即使在企业已经采取所有能用的方法隔离他们的ICS网络,与外面的世界断绝联系,我们依然可以看到网络威胁跨越了边界侵入进来。同时,即便有可能完全物理隔离ICS网络,内部人士依然会造成威胁。
无论企业是否实现了物理隔离,ICS网络都存在风险。原因何在,且听业界人士细细道来:
1. 文件交换的需要
甚至在物理隔离的操作技术(OT)环境中,文件也必须与外界进行交换。此类例子有软件补丁和来自系统集成方、承包商等第三方的文件等。对手可以利用这一点,诱骗雇员安装虚假软件更新和补丁,或者传输带恶意软件的文件到工业网络中。
本月早些时候,勒索软件作者就四处散布了名为“Allenbradleyupdate.zip”的恶意文件,伪装成洛克韦尔自动化公司的合法更新文件。该勒索软件若成功安装,便会锁定受害计算机,直到机主支付赎金才能登录系统访问计算机上的内容。控制系统拥有者和操作者被诱骗安装上恶意软件,损害到ICS网络的威胁是十分现实的。
2. 受感染的个人设备
很多雇员会将个人设备接入ICS网络,无论仅仅是为充个电,还是通过USB传输些文件。受感染的个人设备会将恶意软件引入网络,给ICS网络带来网络威胁。
2011年的一份研究中,美国国土安全部(DHS)员工有意在联邦机构和承包商停车场掉落数据盘和U盘。研究报告显示,60%的掉落设备(很容易包含有恶意代码)都被插入到了公司或机构的计算机上。
更近一些的例子,任天堂发布了火爆游戏“口袋妖怪(Pokemon Go)”的限量版App。攻击者便利用人们对该App的渴求,在第三方App商店里上架了假冒的口袋妖怪App,一旦安装便会夺取受害设备的控制权。ICS雇员可没对虚假App下载免疫,随后再将他们感染了恶意软件的个人设备连接到ICS网络,就会让恶意软件得以扩散并感染更多的资产。
3. 漏洞和人为过失
与所有网络类似,ICS环境也对软/硬件漏洞、设计缺陷等敏感。由于在设计时就没将安全考虑进去,ICS网络甚至比IT网络承受的风险更大。厂商和安全研究人员就经常性曝出操作技术中的新漏洞。然而,大多数ICS网络的系统并没有定期更新。
某些情况下,网络架构或配置上的缺陷,也会创造出可被黑客利用的漏洞。例如,为集成者建立的临时远程访问连接,如果不小心忘了关闭,会造成严重的安全风险。另外,需要远程接入ICS网络,而又没有安全接入机制可用的员工,有可能会诉诸“创造性的备选方案”来完成自己的工作。这些计划外的连接,都可能成为渗漏点,将工业网络暴露在外。
4. 内部人士威胁
由于ICS网络内缺乏身份验证或授权,可信内部人士(雇员、集成者、承包商)便对关键资产享有不受限制的访问权限。无论他们是无意犯错,还是心怀不满而故意破坏,造成的结果都与外部敌人带来的相当(甚至还更多更严重)。即使网络被完全物理隔离,对内部人士威胁都是不免疫的。对这种攻击方法的唯一防护措施,就是通过不间断的监控和更好的访问控制。
5. 联网技术和工业物联网(IIoT)
随着我们迈入现代制造业的下一个阶段,联网技术被越来越多地部署到了制造产业中。联网技术有时也被称作工业物联网,为现代生活提供了很多便利。智能传感器被用于自动改善性能、安全性、可靠性和节能度。这些技术让操作经理可以随时检查机器、流程、库存等等的状态,无论这些东西位于哪里。
这一点,对异地、转包制造工厂或供应商工厂而言特别有用。为利用这些联网技术,设施操作员必须开放他们的网络,也就消除了物理隔离,将网络暴露在了外部威胁眼前。
无论ICS网络物理隔离与否,它们都对安全威胁不设防。ICS安全最大的拦路虎,就是对控制层上所发生的活动——也就是对工控设备的访问和改变,缺乏可见性和控制权。要想在破坏造成之前检测并响应业务系统中的安全事件,专门为ICS环境而不是IT环境打造的新型监视工具是必须的。
作者:nana
来源:51CTO