工控安全要避開傳統IT安全思路的幾個“暗坑”
很多人都在講工控系統安全與互聯網安全或者辦公網的安全又(yòu)很大的不同。 具體有哪些不同呢? 其實NIST的SP800-82的工控系統安全指南裏面講了10大類。 作爲目前我們看到的比較系統的工控系統安全的标準或者指南來說。 NIST的這個文件概括的還是(shì)比較全面的。 不過, 在實踐中,有些重要的不同點NIST并沒有提到或者沒有強調 而有些NIST的指南則未免有些紙(zhǐ)上談兵。 這裏舉幾個例子。
安全實施與設備管理在不同部門導緻的責任問題
在互聯網或者企業網裏, 所保護的對象比如服務器,存儲,網絡設備等的管理一般屬于IT部門。 而實施網絡安全方案的也是(shì)IT部門。 而在工控系統的安全裏, 一般來說安全也是(shì)由IT部門主導, 而設備則是(shì)由另外的部門來管理。 比如在電網有所謂的OT部門。 在化工企業可能是(shì)設備處等等。 總之, 工控系統設備不歸IT部門管。 有很多時候, IT部門的人員(yuán)甚至都進不了工控機房。
這樣帶來了工控系統安全産品開發和銷售中的一個很大的挑戰。
首先是(shì)責任劃分問題, 也就是(shì)說出了事誰負責的問題。 IT系統安全很簡單, 出了事就是(shì)IT部門的事。 而在工控系統安全中,就存在責任劃分問題。 “要是(shì)裝了你的安全方案後出了問題算誰的?”設備部門的第一個問題往往就是(shì)這個。 如果沒有一個很好的技術和管理結合的解決方案,工控安全的方案就很難在企業真正大規模推廣開。
其次, 在工控系統安全方案中, 客戶對于生産系統的可持續性(continuity)的要求要大大高于IT安全的方案。 對一些大型工控系統,停一次機的損失就得幾千萬人民币或者幾百萬美元, 客戶的生産部門對于由于安全方案需要的停機就特别反感, 尤其是(shì)在沒有現(xiàn)實的威脅的情況下, 很難說服客戶去(qù)做大規模的停機升級。 那麽, 很多針對IT系統安全的方案比如升級或者補丁等就不一定合适。 且不說很多工控系統出于系統穩定性的考慮, 根本不允許進行補丁升級。 這樣就要求我們不得不在網絡層根據流量模式進行相(xiàng)應的防禦。
工控系統的“縱深防禦“存在很大困難, 邊界安全非常重要
“縱深防禦”是(shì)互聯網和企業安全的一個很重要的策略。 在NIST的指南裏也提到要采用“縱深防禦“的策略。 不過, 從實踐上來看, 在現(xiàn)階段工控系統架構和設計不能做出重大改變的情況下,”縱深防禦“很難實施,而邊界安全其實更加重要。
首先是(shì)工控系統的主機防禦有很大困難, 很多主機系統非常老舊(jiù),漏洞非常多。 我們甚至在客戶的工控系統中看到過Windows98的系統。 而由于存在升級的困難(事實上, 很多主機系統運行了超過10年, 都找不到相(xiàng)應的升級補丁)。
其次, 工控系統從設計上不是(shì)一個通用計算系統, 設計的資源餘量很少, 除了幹工控系統本身的事之外, 從主機到網絡都很少有冗餘的資源進行其他工作。 不要說病毒, 就是(shì)一個掃描程序都可能導緻工控系統的資源枯竭而導緻問題。
在此情況下, 工控系統内部其實是(shì)一個資源緊張, 漏洞百出的系統。 而且是(shì)短時間内無法改變的狀況。 在此種情況下進行工控系統安全的防禦, 隻能從邊界安全上做文章。
而邊界安全來說, 傳統企業安全的防火(huǒ)牆等方案并不能解決問題。 因爲很多客戶提出的所謂“安全隔離(lí)”, 其實并不能真正的隔離(lí)工控系統與外界的通信。 有很多工控系統的運行需要與辦公網進行數據交流。 比如很多生産調度是(shì)要在辦公網進行的。 有些辦公系統應用需要從工控系統中或者實時數據庫中取數據(比如商業分析, 生産優化等)。 目前普遍采用的OPC協議(yì)采用的動态端口分配的方式, 使得傳統防火(huǒ)牆很難簡單的通過規則制定來進行防護。 事實上, 我們看到不少客戶買了由互聯網防火(huǒ)牆改成的所謂“工控網防火(huǒ)牆“後, 發現(xiàn)無法适應生産的要求而棄之不用的情況。 我們的實踐發現(xiàn), 目前階段工控系統邊界安全的比較有效的方案是(shì)通過針對網絡流量的分析, 利用人工智能的方式建立行爲模式的白名單, 以及持續進行非主動的流量監測。
工控系統的數據安全需要格外重視
工控系統的數據風險有兩個方面的威脅:
一個是(shì)網絡攻擊的威脅, 我們通過對一些客戶網絡中的攻擊分析發現(xiàn), 目前對工控系統的攻擊主要還是(shì)在系統信息收集以及工控數據篡改(事實上“震網“在最後實施攻擊的那一步就是(shì)篡改了儀表數據進行的);
另外一個是(shì)對于客戶工控系統的經營和管理數據的竊取, 這裏面包括可能有價值的工藝流程等情報。
而在實踐中, 數據也是(shì)工控系統與外界通信的最主要原因。 大量的不同應用要去(qù)工控系統上取數據, 這也帶來了工控系統一個主要的攻擊面。 因此, 對于工控系統來說, 需要比企業網或者互聯網要有更多的對數據安全的重視。
在進行數據安全的方案中, 一個需要注意的問題就是(shì)信息安全不能影響到工控系統的正常經營。 由于工控系統的資源冗餘度很低, 數據安全的解決方案要考慮到資源占用的問題, 同時也要考慮到滿足數據應用的大量需求, 這個矛盾需要認真解決。 僅僅按照企業網的數據安全的方案是(shì)不符合實際情況的。關于工控安全與傳統IT安全思路的重大差異,讀者還可以參考:工控安全,該做的和不該做的。
我們首先說說哪些不該做:
不要用傳統的漏洞掃描工具去(qù)掃描工控網設備:
很多工控網設備很脆弱, 而且并不是(shì)爲了能夠經受頻(pín)繁掃描而設計的。 有一次我們問一個設備供應商爲什麽簡單的端口掃描就會導緻它的設備崩潰。 他回答說:“我們才用的是(shì)工控系統的TCP/IP堆棧。”
傳統的漏洞管理工具會漏掉很多工控網的漏洞, 而更加糟糕的是(shì), 有些工控網的漏洞, 比如說硬編碼, 後門密碼等, 會被認爲是(shì)産品功能而不是(shì)漏洞。
不要指望能夠及時得到漏洞通知(zhī)
很多企業漏洞管理工具已經非常成熟, 它們會定期地并且及時地通知(zhī)企業相(xiàng)關的漏洞。 而在工控網領域情況有很大不同, 漏洞的通知(zhī)以及相(xiàng)關的風險信息通常并不能做到定期和及時。
不要以爲外包給第三方就完事大吉了
工控網的運維外包很常見(jiàn), 比如在一座大廈的自動化系統可能就是(shì)外包給第三方的。企業應該意識到, 工控網的運維外包同時也把工控網的安全交給了第三方。 企業應該對第三方充分了解, 了解他們如何訪問設備, 企業應該要求他們對企業工控系統的安全采取措施。 如果企業的重要系統是(shì)租用場地(如IDC), 那麽企業也需要了解場地的安全管理規章。
不要指望工控網設備商有集中式的補丁管理系統:
給工控網打補丁是(shì)個很困難的事。 工控網常常擔負着企業最重要的生産流程。 而停掉這些流程往往會産生巨大的成本以及運營風險。 因此, 集中式的自動化的補丁管理系統是(shì)不存在的。 幾乎所有的工控網補丁都必須手動下載并安裝。 而且很多情況下, 隻能由供應商認證的技術人員(yuán)進行安裝。
那麽, 在工控網安全方面, 哪些是(shì)應該做的呢?
辨明系統中的工控設備:
如果你想要開始積極管理工控網的安全風險, 那麽辨明網絡中的工控網設備非常重要。 理解并且登記在企業網絡環境中的工控網系統是(shì)工控網安全的基礎。
了解訪問工控設備的途徑:
在了解登記的網絡中的工控網設備後, 你需要了解這些設備是(shì)如何被訪問的。 它們能夠從Internet上訪問嗎(ma)? 它們有沒有在防火(huǒ)牆的保護下? 非工控網操作人員(yuán)有沒有可能訪問這些設備等等。
監控對工控設備的訪問:
工控網可能承擔了企業的一些最重要的運營, 而由于工控網補丁升級的困難以及很多設備自身的安全防護薄弱, 企業應該嚴格監控對工控網的訪問。 在大多數情況下, 對工控網設備的訪問應該是(shì)一些常規的的流量。
了解哪些用戶/工程師能夠操作工控網設備:
對工控網的安全防護, 不僅僅是(shì)在設備端, 人的因素同樣重要, 了解對工控設備的操作人員(yuán)及工程師是(shì)非常重要的一步。 像要求每個操作人員(yuán)隻能操作自己的工位上的工控設備這樣簡單的管理方式, 在實際中往往都很難做到。
(聲明:文章來源于網絡,不代表本站觀點及立場,版權歸原作者及原出處所有,若有侵權或異議(yì)請聯系更正或删除。)
