現今ICS面臨的安全形勢十分嚴峻。根據 BAH的調查報告,ICS威脅不論是數量、型別還是風險程度都呈現出快速增長趨勢;從造成的後果來說,網路攻擊擾亂了ICS系統執行,有的甚至對ICS系統造成了物理損害。
由於大部分ICS系統是在網路威脅出現之前建立的,設計之初並沒有考慮內建外部安全防控措施,所以現階段保障ICS網路安全並不是一件容易的事。瞭解ICS網路面臨的主要威脅/三大威脅有助於分析和改善ICS網路的安全狀況。
一、外部威脅—APT、目標攻擊等
ICS網路的外部威脅可能與政治敵對勢力(如某個民族、國家、恐怖組織或者駭客行動主義者等)有關,也可能與工業間諜活動有關。它們的動機不同,攻擊的目的也不同。例如,出於政治動機的攻擊目標在於中斷ICS系統執行或者摧毀ICS系統;而工業間諜則更關注智慧財產權的盜用。
今天,大多數的工業部門,特別是涉及關鍵基礎設施的工業部門,更有可能成為政治動機的攻擊目標,系統執行中斷或系統損毀的風險很高。一旦風險發生,即使是那些不關心APT、不關心定向攻擊的非關鍵基礎設施的工業部門也會受到波及,也會出現連帶損失。因為出於政治動機的網路攻擊所利用的技術漏洞通常是所有工業部門都存在的,很可能在無意間影響到非目標組織及其ICS網路。以著名的攻擊伊朗核設施的震網病毒為例,按照西門子公司的說法,震網病毒至少入侵了14家企業,包括美國雪佛蘭公司和俄羅斯的民用核電站。
二、內部威脅—員工、承包商等
和IT網路內部威脅一樣,工業網路也存在同樣的風險。擁有ICS網絡合法訪問許可權的內部威脅包括員工、承包商、第三方整合商等。由於大部分ICS網路缺乏限制使用者活動的認證或加密機制,使用者可以毫無約束地訪問網路中的任何裝置。
眾所周知的澳洲馬盧奇汙水處理廠事件,就是因為一位參與該廠SCADA系統安裝工作的員工不滿沒有被續聘引起的。這名員工利用無線裝置(可能是盜來的)向系統傳送了非授權指令,導致80萬公升的汙水直接排入當地的公園、河流,甚至漫進酒店大堂,嚴重汙染了當地自然環境。
三、人為失誤—可能是ICS的最大威脅
人為失誤是無可避免的,但因此付出的代價可能極為昂貴。對很多組織來說,人為失誤造成的損失可能比內部威脅更為嚴重。有些情況下,人為失誤可以看作是ICS系統的最大威脅。
人為失誤包括設定錯誤、配置錯誤以及PLC程式設計錯誤等,人為失誤造成的漏洞很容易被外部對手利用。例如整合商建立的臨時連線通常在專案結束後還保留著的現象十分普遍,相當於給攻擊者留了一扇門。
總之,要在內部和外部威脅中保障ICS網路安全不是件容易的事。首先ICS系統本身不具備任何認證或授權機制;其次,多數系統也缺乏訪問控制策略、安全控制策略或者變更管理策略;另外,也沒有審計線索或活動日誌、變動日誌供取證調查之用。所以,一旦發生執行中斷事件,很難確切判斷到底是網路攻擊、內部惡意程式碼、人為失誤還是機械故障引起,制約了操作員及時處理事件的響應能力。
對工業網路來說,實時可見性是保障ICS安全的關鍵。要防禦外部威脅、內部惡意程式碼以及人為失誤,工業組織應能監控系統所有活動—不論是未知來源還是內部授信者、不論是授權還是非授權。監控系統所有活動,監控無論網路或裝置上企圖更改工業控制器的活動,是檢測源於ICS威脅的非授權活動最有效的方式。
現今ICS面臨的安全形勢十分嚴峻。根據 BAH的調查報告,ICS威脅不論是數量、型別還是風險程度都呈現出快速增長趨勢;從造成的後果來說,網路攻擊擾亂了ICS系統執行,有的甚至對ICS系統造成了物理損害。
由於大部分ICS系統是在網路威脅出現之前建立的,設計之初並沒有考慮內建外部安全防控措施,所以現階段保障ICS網路安全並不是一件容易的事。瞭解ICS網路面臨的主要威脅/三大威脅有助於分析和改善ICS網路的安全狀況。
一、外部威脅—APT、目標攻擊等
ICS網路的外部威脅可能與政治敵對勢力(如某個民族、國家、恐怖組織或者駭客行動主義者等)有關,也可能與工業間諜活動有關。它們的動機不同,攻擊的目的也不同。例如,出於政治動機的攻擊目標在於中斷ICS系統執行或者摧毀ICS系統;而工業間諜則更關注智慧財產權的盜用。
今天,大多數的工業部門,特別是涉及關鍵基礎設施的工業部門,更有可能成為政治動機的攻擊目標,系統執行中斷或系統損毀的風險很高。一旦風險發生,即使是那些不關心APT、不關心定向攻擊的非關鍵基礎設施的工業部門也會受到波及,也會出現連帶損失。因為出於政治動機的網路攻擊所利用的技術漏洞通常是所有工業部門都存在的,很可能在無意間影響到非目標組織及其ICS網路。以著名的攻擊伊朗核設施的震網病毒為例,按照西門子公司的說法,震網病毒至少入侵了14家企業,包括美國雪佛蘭公司和俄羅斯的民用核電站。
二、內部威脅—員工、承包商等
和IT網路內部威脅一樣,工業網路也存在同樣的風險。擁有ICS網絡合法訪問許可權的內部威脅包括員工、承包商、第三方整合商等。由於大部分ICS網路缺乏限制使用者活動的認證或加密機制,使用者可以毫無約束地訪問網路中的任何裝置。
眾所周知的澳洲馬盧奇汙水處理廠事件,就是因為一位參與該廠SCADA系統安裝工作的員工不滿沒有被續聘引起的。這名員工利用無線裝置(可能是盜來的)向系統傳送了非授權指令,導致80萬公升的汙水直接排入當地的公園、河流,甚至漫進酒店大堂,嚴重汙染了當地自然環境。
三、人為失誤—可能是ICS的最大威脅
人為失誤是無可避免的,但因此付出的代價可能極為昂貴。對很多組織來說,人為失誤造成的損失可能比內部威脅更為嚴重。有些情況下,人為失誤可以看作是ICS系統的最大威脅。
人為失誤包括設定錯誤、配置錯誤以及PLC程式設計錯誤等,人為失誤造成的漏洞很容易被外部對手利用。例如整合商建立的臨時連線通常在專案結束後還保留著的現象十分普遍,相當於給攻擊者留了一扇門。
總之,要在內部和外部威脅中保障ICS網路安全不是件容易的事。首先ICS系統本身不具備任何認證或授權機制;其次,多數系統也缺乏訪問控制策略、安全控制策略或者變更管理策略;另外,也沒有審計線索或活動日誌、變動日誌供取證調查之用。所以,一旦發生執行中斷事件,很難確切判斷到底是網路攻擊、內部惡意程式碼、人為失誤還是機械故障引起,制約了操作員及時處理事件的響應能力。
對工業網路來說,實時可見性是保障ICS安全的關鍵。要防禦外部威脅、內部惡意程式碼以及人為失誤,工業組織應能監控系統所有活動—不論是未知來源還是內部授信者、不論是授權還是非授權。監控系統所有活動,監控無論網路或裝置上企圖更改工業控制器的活動,是檢測源於ICS威脅的非授權活動最有效的方式。