跨越工控安全缺失的十年

觉得过去10年的IT网络安全世界很糟糕?那是你还没认识到更令人绝望的深层因素。被盗知识产权损失达数十亿,OPM之类的大规模情报泄露频发,亿万身份失窃——网络空间失败案例多如繁星。尽管如此,从安全控制角度出发,依然有着明显的重大进展。无数创新——人力财力的巨大投入、产业/次产业的诞生和发展、对新兴威胁的响应能力(尽管不能预见),描绘出了损失背后蕴藏的大量积极因素。重点在于,为什么我们当前拥有一个约2000个安全解决方案的市场。而其市场价值就是另一个讨论话题了。

关键基础设施/工业控制系统(ICS)这一安全细分领域,虽然围绕噩梦般的网络攻击场景和后果有近20年的讨论,过去10年却可被标记为“信息安全缺失的10年”。

可以说,在网络安全准备度上,我们现在也没比10年前好多少。随着威胁态势明显日渐活跃和危险,这种形势简直让人夜不能寐。威胁场景讨论正演变为现实,然而我们却尚未准备好应对即将到来的威胁。

令人振奋的是,过去2年中,尤其是刚刚过去的这几个月,我们见证了ICS安全意识和优先级的快速上升。业内新初创公司的涌现,对老牌安全公司的新关注,CISO与董事间讨论层次的上升,吹散了安全领域的一丝阴霾。而令人沮丧的是,上述所有,都是网络空间里不断增多满溢的针对性攻击的结果。

一、我们错在哪儿了?

1. 没能弥合IT与ICS(工程)人员之间的距离

这两种团队背景不同,任务不同,看待世界的角度也完全不同。ICS做出的每一个决策都以安全和正常运行时间为核心考虑,他们对有所影响的安全控制的引入零容忍。即便是补丁修复这么基础的概念,在他们看来也是有问题的,因为会给生产带来停机时间。

这些团队在相互协作上已有大幅进步,但ICS专用解决方案的缺乏,那种不破坏正常运行和安全,并对两种团队都有明显价值的解决方案的缺乏,造成了大多数情况下的闭关自守政策。“我管着车间,我得保持生产运行。我要保证不出故障,不引发我们团队或公众的安全顾虑。你不能在我网络里部署那个,绝对不行。”

2. 沦为规定指令/标准必须被实现的受害者

关注ICS安全很好;发展NERC CIP之类规定,强制该领域安全控制也很好。但是,虽然IEC 62443这样的标准很好地描绘了“可以”被应用的控制措施,实际运营这些网络的人就知道,规范不是那么容易实施的。理论上实现规范是正确的事,但只要考虑到业务需求,这些建议中很多都不现实。而且,基本上所有标准/合规类体系中,原本应该是地板的东西,往往最终会成为天花板。

3. 试图将IT安全“方钉”强行塞进ICS网络的“圆孔”中

IT安全工具部署为脆弱的ICS网络设计的。主动扫描、主动查询和其他“标准IT工具”都会让PLC崩溃,会中断正常运行,会导致严重问题。现实世界里我们所知的一个例子,就是近期某广泛应用的网络扫描工具,导致了停电。

4. 因为“攻击只是理论上而非即将发生”就推迟安全投入

逻辑上,过去10年的网络安全预算都投入到了损失正在发生的领域。不知道谁在你的网络内部?完整数据包捕获和取证工具。处理百万终端解决方案?SIEM和编配工具。深受鱼叉式网络钓鱼之苦?高级终端解决方案等等。这很合乎逻辑,而且你也不能真埋怨人们这么投资。然而,这种救火队员式的网络威胁处理方式,导致了严重资金不足的ICS安全项目。这种短视行为很快就会让我们自食恶果。我们已经讨论了20年的理论上的攻击,正在一一显现,比如震网、2015和2016年末的乌克兰大断电,WannaCry和Petya/NotPetya勒索软件大蔓延。

5. 相信“物理隔离”网络从来就不现实/会影响业务和效率需求

“我们会设计网络,让它不能从外部访问/不与IT网络互通。”一度听起来不错,但业务需求彻底破除了“物理隔离”ICS网络的概念。维护要求,与供应链的连接,远程分析,从上到下的KPI管理,驱动预测分析的渴望——所有这些需求都让“物理隔离”像恐龙一样走向了衰亡。如今,物理隔离与独角兽有一个共同点——他们都不存在。

6. 难以实现,难以消费,难以维护前代ICS专用解决方案

过去的时光中出现过一些ICS专用网络安全解决方案,虽有前景却未获得主流关注。实现上的困难(比如在每块PLC前安个防火墙),消费上的困难(大规模安装工程,大量前端配置时间),以及难控制/不现实的维护需求,让这些前景都烟消云散了。它们仅仅是没能理解ICS消费者的特殊需求。

二、跨越ICS信息安全那缺失的10年

我们失去了10年时间,而现在威胁已在敲门。我们显然没有时间像IT安全过去10年做的那样从分层/深度防御策略做起。那缓慢的进化过程不会有用——我们需要革命。

于是,老实说,现在,我们可以采取什么行动,来实现ICS安全跨越式发展呢?

首先,我们得停止“研究”该问题。最近发布的总统行政命令号召审查关键基础设施网络安全准备度,于是我们研究、分析、审查了全球无数建议。现在我们需要来自政府、董事会、CIO/CISO、ICS拥有者/运营者、安全厂商和ICS设备制造商,对我们所面临问题的关注与投入。

我们需要一个能带来最大收益和最快安全准备度成长的基准体系结构。一个简单而快速(比如几个月而不是几年)的实现框架——重点放在风险评估、实时监视、高风险漏洞管理、威胁情报、高级终端防护和快速响应上。

与两三年前不同,今天的技术可被ICS和安全团队接受。作为利益相关者,我们需停止讨论,着手行动。威胁很现实,且即将到来。

原文发布时间为:2017-11-08

本文作者:佚名

时间: 2024-08-29 05:42:54

跨越工控安全缺失的十年的相关文章

工控信息安全:“十三五”末有望国产可替代

近期,乌克兰西部地区的电力系统被具有高度破坏性的恶意软件攻击并导致大规模停电.据当地新闻机构TSN报道称,匿名黑客获取了机械系统已更新的远程管理控制权限,可能是通过负责工业过程自动化可编程逻辑控制器(PLC)实施的.这一事件,进一步提高了业界对工业控制系统信息安全重要性的认识. "和2010年伊朗核设施被震网病毒攻击一样,乌克兰停电事件再一次给我们敲响了警钟,事件表明仅有物理安全隔离是远远不够的,工控系统还要具备安全机制."1月15日,工业控制系统信息安全技术国家工程实验室理事会第二次

烽火18台系列之十五: 工控资产普查与漏洞安全检测

2010年,首个武器级的病毒发现,也是第一个在真实世界中专门针对能源基础设施的病毒,其通过攻击伊朗的铀浓缩设备,令德黑兰的核计划拖后了两年,这个病毒被命名为"震网"(Stuxnet). 2015年,一个名为"黑暗力量"(BlackEnergy)的恶意软件,在诱骗乌克兰电力公司员工运行之后,控制了电力公司的主控电脑,将其与变电站断连,让乌克兰首都基辅的部分地区和乌克兰西部的140万名居民在圣诞节前感受了恐怖的黑暗力量. 当前黑客行为愈发产业化.组织化,网络安全攻防对抗

get最IN工控安全技术,看匡恩网络权威报告

2017年伊始,匡恩网络发布了<2016年工业控制网络安全态势报告>(以下简称 "报告"),匡恩网络已连续三年撰写并发布报告.报告全面介绍了国内外工控系统网络安全发展现状以及当前所面临的主要问题,并在这些问题基础上提出了针对性的对策与建议.以下我们将从技术维度重点解读报告. 见微知著,深挖工控网络安全 报告开篇以全球视野角度分析了当前工业控制系统相关安全问题.文中指出,随着全球物联网技术的迅猛发展,工业控制系统安全逐步向工业物联网安全演化,各类工控安全漏洞数量不断增长造成重

2017上半年工控系统安全威胁概况

近日,卡巴斯基实验室通过对各种各样的信息系统,比如商业.政府组织.银行.电信运营商.工业企业和个人的信息系统进行分析,发布了<2017上半年 工业自动化 系统威胁报告>.报告显示,全球受影响的工控系统于2016下半年呈现逐步增长趋势,但是2017上半年与其相比动态变化较为明显.虽然2017年1月份的攻击占比有较大幅度下降,但在2.3月又呈上升趋势,直到4月才开始出现下降的情形. 2016年7月至2017年6月期间全球ICS系统受损占比 勒索软件WannaCry攻击事件损失居首 勒索病毒是自熊猫

于无声处 启明星辰吹响工控安全号角

本文讲的是 :  于无声处 启明星辰吹响工控安全号角  ,  [IT168 专稿]近日,一部以上世纪80年代为时代背景,以我国军工涉密安全为题材的谍战电视剧<于无声处>正在荧屏热播,讲述了一位国安干警,潜伏进我国涉密军工厂与敌人斗智斗勇的故事.故事中有这样一个情节,围绕制造特殊材料工控设备的运维数据保护展开较量,找出窃取工控设备运维数据的幕后黑手. 与上世纪人与人之间国家安全较量不同,随着互联网技术飞跃发展,如今的国家安全战略很大程度上已经跃升到了更广阔的网络空间,信息技术的高速发展在给生产力

面向非技术管理者的工控系统(ICS/SCADA)安全指南

本文讲的是 面向非技术管理者的工控系统(ICS/SCADA)安全指南,高级持续性威胁正成为关键基础设施及能源领域日渐艰巨的挑战,它是一种复杂的网络攻击,通常是资金充裕.有国家背景的专业黑客小组所发动. 针对工业控制系统(ICS)和数据采集与监视控制系统(SCADA)的高级持续性攻击数量日渐增多,下属美国国土安全部(DHS)的工业控制系统网络紧急响应小组(Industrial Control)将ICS/SCADA和控制系统网络列为黑客或病毒最容易攻击的两种目标目标.漏洞来源主要有两种:内部人员.面

基于OPC协议的工控网络系统防护浅析

一.协议概述 提到OPC协议,大家想到最多的就是OPC Classic 3.0,实际上现在OPC协议有两个大类,一种是基于微软COM/DCOM技术的"Classic",另一种是基于Web service的OPC UA.前者在DCOM协议之上,诞生较早,已广泛应用在各种工业控制系统现场,成为工业自动化领域的事实标准.后者与前者比出生较晚,但在设计时考虑了安全因素,有了加密机制,不过目前应用范围较小.本文主要讨论的是前者在工控系统中的防护. 微软的DCOM协议是在网络安全问题被广泛认识之前

BlackHat上的工控蠕虫病毒 绿盟科技工控研究员用SCL语言编写实现 录像让你亲眼看看

本文将展示的是一种新型的PLC蠕虫病毒,该病毒可以不借助上位PC机,仅通过PLC之间进行互相传播.该病毒的实现思路,适用于多个厂家的PLC设备,并且可以在一定规则范围内相互进行传播.本文采用西门子PLC举例进行说明. 随着"互联网+制造"的工业4.0概念的提出,独立.隔离的传统工控领域迎来了新的大数据互联时代.与此同时,工控安全的问题,也随着互联,被更广泛的暴露在了Internet中.近几年来,越来越多的工控设备被暴露在了互联网上. 在Black Hat2011,Dillon Bere

工控安全政策系列导读:信息安全技术 工业控制系统安全控制应用指南

2016年8月29日,国家质量监督检验检疫总局.国家标准化管理委员会正式发布<GB/T 32919 信息安全技术 工业控制系统安全控制应用指南>.(http://www.bz.bzko.com/bzxx/48889.html) 该标准由全国信息安全标准化委员会(SAC/TC260)提出,全国信息安全标准化技术委员会归口管理.适用于工业控制系统拥有者.使用者.设计实现者以及信息安全管理部门,为工业控制系统信息安全设计.实现.整改工作提供指导,也为工业控制系统信息安全运行.风险评估和安全检查工作提