您所在的位置: 首頁 >
新聞資訊 >
行業(yè)資訊 >
保護(hù)工業(yè)和制造環(huán)境中的IT和OT安全
【編者按】技術(shù)已成為許多行業(yè)的主要規(guī)則改變者,制造業(yè)是通過技術(shù)創(chuàng)新實(shí)現(xiàn)轉(zhuǎn)型的最重要部門之一。這些技術(shù)通常也被稱為工業(yè)物聯(lián)網(wǎng)(IIoT)、工業(yè)4.0、集成運(yùn)營或工業(yè)互聯(lián)網(wǎng),重點(diǎn)是將工業(yè)控制系統(tǒng)(ICS)連接到數(shù)據(jù)和分析,以實(shí)現(xiàn)IT和OT運(yùn)營的融合。如今ICS和OT環(huán)境的安全需求正在發(fā)生變化,因?yàn)檫@些環(huán)境正迅速連接到企業(yè)網(wǎng)絡(luò),并暴露于黑客和互聯(lián)網(wǎng)傳播的惡意軟件。保護(hù)和監(jiān)控OT環(huán)境的最佳方法是什么?在此探討了制造業(yè)和工業(yè)環(huán)境中的網(wǎng)絡(luò)安全挑戰(zhàn),并提出了解決這些挑戰(zhàn)的方法。
從本質(zhì)上說,任何地方都存在脆弱的OT系統(tǒng),包括運(yùn)輸、石油和天然氣、制造業(yè)、能源和公用事業(yè)。OT設(shè)備和系統(tǒng)之間連接的增加有助于保持關(guān)鍵工業(yè)流程的最新狀態(tài)并平穩(wěn)運(yùn)行,但也有暴露所有OT相關(guān)設(shè)備和設(shè)施的風(fēng)險(xiǎn)。這些系統(tǒng)在制造業(yè)和關(guān)鍵基礎(chǔ)設(shè)施之間的互聯(lián)程度越高,網(wǎng)絡(luò)攻擊造成重大破壞和破壞的可能性就越大。
OT設(shè)備本質(zhì)上是用于管理、監(jiān)控和維護(hù)工業(yè)運(yùn)營的電子工具,包括設(shè)備和其他資產(chǎn)以及流程。這項(xiàng)技術(shù)與主流IT信息技術(shù)并行發(fā)展,盡管完全獨(dú)立,但是直接影響工業(yè)部門的需求。
OT在工業(yè)中用作傳感器、執(zhí)行器、機(jī)器人和可編程邏輯控制器,最初是由工業(yè)設(shè)備供應(yīng)商為性能和安全而開發(fā)的,主要被視為沒有太多智能的“車間”設(shè)備。當(dāng)時(shí),這些設(shè)備不可能被黑,因?yàn)樗鼈儧]有聯(lián)網(wǎng)。在這個(gè)完全獨(dú)立的領(lǐng)域中,不需要任何安全策略或系統(tǒng)管理。
現(xiàn)如今,OT發(fā)生了根本的變化。越來越多的制造商看到了將OT設(shè)備聯(lián)網(wǎng)的好處,這使他們能夠更好地控制流程、更復(fù)雜地進(jìn)行分析和優(yōu)化、并在出現(xiàn)問題時(shí)更快地發(fā)出警報(bào)。
一、正在消失的氣隙
多年來,工業(yè)控制系統(tǒng)(通常被稱為“運(yùn)營技術(shù)”或Operational Technology,OT)在網(wǎng)絡(luò)攻擊中相對(duì)安全。在工業(yè)工廠和制造環(huán)境中使用的控制和遙感系統(tǒng)通常被放置在孤立的或“氣隙”通信網(wǎng)絡(luò)上,而系統(tǒng)本身是基于高度專業(yè)化的操作系統(tǒng),這些系統(tǒng)很難被攻擊,因?yàn)樗鼈儗?duì)大多數(shù)攻擊者來說相對(duì)模糊和未知。
這一切都在改變。控制系統(tǒng)架構(gòu)正在連接到傳統(tǒng)的企業(yè)IT網(wǎng)絡(luò),如以太網(wǎng)、Wi-Fi等,設(shè)備制造商正在Windows、Linux、Android和VxWorks等常見操作系統(tǒng)之上構(gòu)建OT設(shè)備和控制系統(tǒng)。這些變化增加了控制系統(tǒng)可能被用于危害公司IT網(wǎng)絡(luò)設(shè)備的攻擊風(fēng)險(xiǎn)。根據(jù)Armis進(jìn)行的一項(xiàng)研究,66%的制造商在過去兩年中經(jīng)歷過與物聯(lián)網(wǎng)設(shè)備相關(guān)的安全事件。
盡管許多傳統(tǒng)控制系統(tǒng)仍然保持有效的氣隙,但制造業(yè)和工業(yè)工廠的趨勢(shì)是將OT設(shè)備直接連接到企業(yè)網(wǎng)絡(luò)。因此,普渡企業(yè)參考架構(gòu)(Purdue Enterprise Reference Architecture,PERA)多年來一直表明應(yīng)用程序、控制、數(shù)據(jù)流和強(qiáng)制邊界的標(biāo)準(zhǔn)層次結(jié)構(gòu),現(xiàn)在正變得扁平化,級(jí)別之間的界限正在消失。
為了確定這些變化的程度,SANS研究所在2018年進(jìn)行了一項(xiàng)調(diào)查。結(jié)果表明,普渡模型的所有級(jí)別的設(shè)備現(xiàn)在經(jīng)常使用各種通信技術(shù)連接到企業(yè)網(wǎng)絡(luò)。平均而言,制造區(qū)內(nèi)(普渡架構(gòu)0、1、2和3級(jí))有37%的設(shè)備連接到企業(yè)網(wǎng)絡(luò),而32%的IIoT設(shè)備直接連接到互聯(lián)網(wǎng)上。
這些架構(gòu)上的變化發(fā)生在許多不同類型的控制系統(tǒng)上,包括:
● 可編程邏輯控制器(PLC);
● 監(jiān)控和數(shù)據(jù)采集(SCADA);
● 分布式控制系統(tǒng)(DCS);
● 制造執(zhí)行系統(tǒng)(MES);
● 遠(yuǎn)程信息處理;
● 機(jī)器人。
二、OT設(shè)備不可代理
工業(yè)和制造環(huán)境中的OT設(shè)備通常沒有內(nèi)置的安全性,也不能在其上安裝安全代理。它們是“不可代理的”。這些設(shè)備是由制造商設(shè)計(jì)的,當(dāng)初設(shè)計(jì)的操作是假設(shè)這些設(shè)備不會(huì)安裝在傳遞任何類型威脅的網(wǎng)絡(luò)上。然而,IT和OT網(wǎng)絡(luò)的融合意味著情況不再如此。這些設(shè)備現(xiàn)在面臨來自互聯(lián)網(wǎng)或大型企業(yè)網(wǎng)絡(luò)的多種威脅。
OT設(shè)備無法容納安全代理的這一事實(shí)剝奪了安全人員對(duì)該設(shè)備的可見性,使他們無法了解該設(shè)備存在哪些風(fēng)險(xiǎn),以及其行為是否超出規(guī)范。
三、安全風(fēng)險(xiǎn)挑戰(zhàn)
1、OT系統(tǒng)的漏洞風(fēng)險(xiǎn)正在增加
由于氣隙的消失,不僅網(wǎng)絡(luò)攻擊者越來越容易接近OT設(shè)備,它們也越來越容易受到攻擊。與去年同期相比,OT設(shè)備中的漏洞數(shù)量以及對(duì)運(yùn)營基礎(chǔ)設(shè)施的破壞繼續(xù)增加。
2020年7月,NSA及CISA警告稱,惡意行為者表明,他們?cè)敢饫^續(xù)利用互聯(lián)網(wǎng)訪問OT資產(chǎn),并對(duì)關(guān)鍵基礎(chǔ)設(shè)施進(jìn)行惡意網(wǎng)絡(luò)活動(dòng)。這些機(jī)構(gòu)建議各組織立即采取行動(dòng),以減少OT設(shè)備和控制系統(tǒng)的風(fēng)險(xiǎn)。
ICS-CERT的咨詢頁面顯示,大量供應(yīng)商已披露存在漏洞。以下是具有代表性的供應(yīng)商列表:
OT設(shè)備不僅越來越容易受到攻擊,而且通常無法容納可能監(jiān)視和保護(hù)設(shè)備免受攻擊的安全代理。這種設(shè)計(jì)選擇使設(shè)備制造商能夠最大限度地提高經(jīng)濟(jì)性和能效,這在過去被認(rèn)為比安全性更重要。
針對(duì)工業(yè)控制系統(tǒng)(ICS)和OT環(huán)境的多起攻擊事件說明了這些威脅造成的破壞程度:
● WannaCry和NotPetya惡意軟件對(duì)默克(Merck)等制造企業(yè)產(chǎn)生了重大影響,由于生產(chǎn)停產(chǎn),造成了數(shù)億美元的季度損失,此外,由于發(fā)貨失誤,還導(dǎo)致客戶滿意度下降。
● 五家雷諾-尼桑工廠停產(chǎn)或減產(chǎn),造成重大損失。
● 在全球網(wǎng)絡(luò)遭受WannaCry攻擊后,全球最大的航運(yùn)集團(tuán)之一馬士基失去了與OT網(wǎng)絡(luò)的聯(lián)系,導(dǎo)致整個(gè)港口關(guān)閉。
● Norsk Hydro是世界上最大的鋁生產(chǎn)商之一,該公司在遭到LockerGoga攻擊后關(guān)閉了冶煉廠的數(shù)字系統(tǒng)。Norsk Hydro公司因這起事故損失了4000萬美元,鋁價(jià)也被推至三個(gè)月來的最高點(diǎn)。PLC、ICS工程師筆記本電腦和SCADA系統(tǒng)通常運(yùn)行Windows操作系統(tǒng),已受到LockerGoga攻擊的影響。
● 攻擊者利用社會(huì)工程攻擊德國一家鋼鐵廠,以進(jìn)入IT網(wǎng)絡(luò),從而對(duì)OT網(wǎng)絡(luò)進(jìn)行有針對(duì)性的攻擊,導(dǎo)致工廠關(guān)閉。
● Triton惡意軟件在攻擊工廠的工業(yè)控制系統(tǒng)(ICS)時(shí),破壞了中東地區(qū)的一個(gè)關(guān)鍵基礎(chǔ)設(shè)施。攻擊的目標(biāo)是施耐德電氣生產(chǎn)的一個(gè)安全儀表系統(tǒng)(SIS),作為回應(yīng),該系統(tǒng)關(guān)閉了操作。
Armis所觀察到的影響包括:
● 影響產(chǎn)品質(zhì)量的過程自動(dòng)化變更;
● 生產(chǎn)線停工;
● 感染W(wǎng)annaCry病毒的人機(jī)接口(HMI)設(shè)備;
● 暴露于互聯(lián)網(wǎng)的易受攻擊的工業(yè)控制設(shè)備;
● 打破網(wǎng)絡(luò)分割的反向通道的第三方設(shè)備。名為PLC-Blaster的蠕蟲病毒只存在于PLC中,通過掃描IP網(wǎng)絡(luò)識(shí)別并傳播到其他易受攻擊的PLC。目前,這種惡意軟件尚未對(duì)工業(yè)控制系統(tǒng)產(chǎn)生重大影響,但它的存在表明了網(wǎng)絡(luò)攻擊者對(duì)工業(yè)控制系統(tǒng)的意圖和能力。
這些攻擊也證明了OT日益緊密的本質(zhì)。在德勤(Deloitte)與制造商生產(chǎn)力和創(chuàng)新聯(lián)盟(Manufacturers Alliance for Productivity and Innovation)的一項(xiàng)聯(lián)合研究表明,目前只有50%的制造環(huán)境保持其OT網(wǎng)絡(luò)和IT網(wǎng)絡(luò)之間的隔離。76%的人使用Wi-Fi來實(shí)現(xiàn)連接系統(tǒng)之間的通信。在德勤的調(diào)查中,39%的受訪者表示,在過去12個(gè)月里,他們的OT網(wǎng)絡(luò)遭到了破壞。
根據(jù)德勤關(guān)于制造業(yè)網(wǎng)絡(luò)風(fēng)險(xiǎn)的報(bào)告顯示,攻擊可能導(dǎo)致“失去有價(jià)值的創(chuàng)意和市場(chǎng)優(yōu)勢(shì),從而導(dǎo)致財(cái)務(wù)和聲譽(yù)受損,特別是在敏感客戶數(shù)據(jù)受損的情況下?!?/span>
2、工業(yè)設(shè)備風(fēng)險(xiǎn)意識(shí)增強(qiáng)
盡管風(fēng)險(xiǎn)增加了,但人們對(duì)挑戰(zhàn)的認(rèn)識(shí)也在增加。SANS于2017年6月開展了一項(xiàng)題為“確保工業(yè)控制系統(tǒng)安全2017”的調(diào)查,深入了解了組織如何解決OT安全問題。報(bào)告指出:“ICS安全從業(yè)者和更廣泛的安全社區(qū)越來越認(rèn)識(shí)到,即使是專用的ICS組件,如用于指揮和控制的智能嵌入式設(shè)備和可編程設(shè)備,也可能攜帶可被犯罪分子利用的漏洞,正如對(duì)勒索軟件一樣,勒索軟件已經(jīng)開始侵入所有數(shù)字系統(tǒng)的各個(gè)角落。”
Armis委托Forrester Consulting進(jìn)行的一項(xiàng)市場(chǎng)研究發(fā)現(xiàn),78%的制造企業(yè)認(rèn)為非托管和物聯(lián)網(wǎng)設(shè)備比公司管理的計(jì)算機(jī)更容易受到網(wǎng)絡(luò)攻擊。
3、OT環(huán)境的網(wǎng)絡(luò)安全目標(biāo)
任何為降低OT環(huán)境中的風(fēng)險(xiǎn)而設(shè)計(jì)的網(wǎng)絡(luò)安全計(jì)劃都應(yīng)具有與為IT設(shè)備設(shè)計(jì)的網(wǎng)絡(luò)安全計(jì)劃相同的結(jié)果,如NIST網(wǎng)絡(luò)安全框架(CSF)及互聯(lián)網(wǎng)安全關(guān)鍵安全控制中心(CSC)。CSF列出了22種結(jié)果類別,CSC列出了20種結(jié)果類別,這兩個(gè)框架大致相似。
NIST的一份名為《管理物聯(lián)網(wǎng)(IoT)網(wǎng)絡(luò)安全和隱私風(fēng)險(xiǎn)的考慮》的報(bào)告(NISTIR 8228)特別重要,因?yàn)樗耆劢褂贠T設(shè)備安全。強(qiáng)調(diào)了降低OT設(shè)備風(fēng)險(xiǎn)的四個(gè)至關(guān)重要的領(lǐng)域:
● 資產(chǎn)管理。在整個(gè)OT設(shè)備生命周期中維護(hù)所有設(shè)備及其相關(guān)特性的當(dāng)前、準(zhǔn)確庫存,以便將該信息用于網(wǎng)絡(luò)安全和隱私風(fēng)險(xiǎn)管理目的。
● 漏洞管理。識(shí)別并消除OT設(shè)備軟件和固件中的已知漏洞,以降低被利用和破壞的可能性和容易程度。
● 訪問管理。防止人員、進(jìn)程和其他計(jì)算設(shè)備對(duì)OT設(shè)備的未經(jīng)授權(quán)和不當(dāng)?shù)奈锢砗瓦壿嬙L問、使用和管理。
● 設(shè)備安全事故檢測(cè)。監(jiān)控和分析OT設(shè)備的活動(dòng),以發(fā)現(xiàn)涉及設(shè)備安全的事故跡象。4、OT安全的技術(shù)挑戰(zhàn)
盡管NIST和其他組織對(duì)網(wǎng)絡(luò)安全目標(biāo)和成果提供了權(quán)威指導(dǎo),但在制造和工業(yè)企業(yè)的安全人員很難找到能夠提供這些結(jié)果的安全工具。這有幾個(gè)原因:
● 不能安裝代理。不能在大多數(shù)OT設(shè)備上安裝代理,這使得通常用于幫助識(shí)別、保護(hù)和監(jiān)控企業(yè)網(wǎng)絡(luò)設(shè)備的整個(gè)安全工具類失效。
●無法使用網(wǎng)絡(luò)掃描程序。與傳統(tǒng)IT設(shè)備不同,許多OT設(shè)備不允許網(wǎng)絡(luò)掃描或探測(cè),這可能導(dǎo)致OT設(shè)備崩潰或中斷。因此,獲取硬件、軟件和漏洞的清單遠(yuǎn)比在IT環(huán)境中更具挑戰(zhàn)性。
● 傳統(tǒng)的網(wǎng)絡(luò)安全產(chǎn)品不足。網(wǎng)絡(luò)IPS系統(tǒng)的傳統(tǒng)布局是在網(wǎng)絡(luò)的外圍和核心,這使得在網(wǎng)絡(luò)邊緣保護(hù)OT系統(tǒng)變得困難。此外,網(wǎng)絡(luò)設(shè)備可能會(huì)被老練的黑客破壞,所以完全依賴網(wǎng)絡(luò)控制,如防火墻和網(wǎng)絡(luò)分割在OT環(huán)境和IT環(huán)境中都是不明智的。
● 打補(bǔ)丁非常困難。與傳統(tǒng)計(jì)算機(jī)(如Windows)不同,OT設(shè)備很難通過集中式補(bǔ)丁管理系統(tǒng)進(jìn)行快速自動(dòng)補(bǔ)丁。典型的生產(chǎn)設(shè)備包括來自數(shù)十個(gè)不同供應(yīng)商的設(shè)備,而且大多數(shù)設(shè)備無法通過任何類型的集中補(bǔ)丁管理工具進(jìn)行修補(bǔ)。此外,OT設(shè)備通常需要離線進(jìn)行修補(bǔ),但很少有企業(yè)會(huì)容忍這種停機(jī)操作。因此,很少打補(bǔ)丁,而且OT設(shè)備往往會(huì)隨著時(shí)間的推移增加漏洞,從而增加風(fēng)險(xiǎn)。
●無線連接避開了安全控制。OT安全產(chǎn)品的制造商越來越多地將無線連接構(gòu)建到他們的設(shè)備中。這些協(xié)議包括藍(lán)牙、近場(chǎng)通信(NFC)、Zigbee等,對(duì)于監(jiān)控有線以太網(wǎng)流量的傳統(tǒng)安全控制來說是不可見的。
● 復(fù)雜性正在增加。創(chuàng)新和進(jìn)步正在推動(dòng)制造車間越來越多的自動(dòng)化、技術(shù)和連接性,IT和OT之間的界限越來越模糊。
● 連通性是一種風(fēng)險(xiǎn)。隨著復(fù)雜性和連接性的增加,風(fēng)險(xiǎn)也隨之增加。安全管理人員審計(jì)和執(zhí)行維護(hù)OT環(huán)境隔離的策略的能力非常有限。跳轉(zhuǎn)箱、傳統(tǒng)VPN、傳統(tǒng)設(shè)備、供應(yīng)商訪問和非法訪問都是維護(hù)OT環(huán)境安全的日常挑戰(zhàn)。
四、結(jié)語
總而言之,OT環(huán)境所需的安全結(jié)果已經(jīng)得到了很好的理解,但是無法使用傳統(tǒng)的安全工具實(shí)現(xiàn)。無論是專門的OT安全工具還是傳統(tǒng)的IT安全工具,都不是為今天的混合OT/IT環(huán)境而設(shè)計(jì)的。
工業(yè)和制造企業(yè)需要一種專門針對(duì)OT和IT環(huán)境中的所有設(shè)備的安全策略,能夠更好地保護(hù)以下重點(diǎn)領(lǐng)域的工具和流程:
● 無代理。由于大多數(shù)OT設(shè)備和企業(yè)IoT設(shè)備,如打印機(jī)、IP攝像頭、HVAC系統(tǒng)等無法容納代理,因此安全系統(tǒng)應(yīng)能夠在不依賴代理的情況下運(yùn)行。
● 被動(dòng)的。安全系統(tǒng)應(yīng)該能僅使用被動(dòng)技術(shù)運(yùn)行。這是因?yàn)橐蕾囉诰W(wǎng)絡(luò)掃描或探測(cè)的安全系統(tǒng)可能會(huì)中斷或崩潰OT設(shè)備。
● 全面的安全控制。安全系統(tǒng)應(yīng)滿足安全框架,如NIST CSF或CIS CSC所規(guī)定的大多數(shù)重要網(wǎng)絡(luò)安全目標(biāo),尤其是NISTIR 8228強(qiáng)調(diào)的四個(gè)目標(biāo)。在IT世界中,這通常需要使用幾種不同的安全工具。對(duì)于OT環(huán)境,希望使用盡可能少的工具獲得所需安全控制的全面覆蓋。
● 全面的設(shè)備覆蓋。該范圍應(yīng)包括企業(yè)中從生產(chǎn)車間到執(zhí)行套件的所有非托管或工業(yè)物聯(lián)網(wǎng)設(shè)備,因?yàn)樵诨ミB環(huán)境中,除非將OT與之一起保護(hù),否則無法保護(hù)OT。該安全平臺(tái)應(yīng)該適用于所有類型和品牌的工業(yè)控制系統(tǒng),以及企業(yè)常用的其他類型設(shè)備,如暖通空調(diào)系統(tǒng)、IP安全攝像頭、火災(zāi)報(bào)警系統(tǒng)、交換機(jī)、防火墻、無線接入點(diǎn)、打印機(jī)等。
● 全面的通訊覆蓋。安全系統(tǒng)應(yīng)該能夠直接監(jiān)控網(wǎng)絡(luò)攻擊可能使用的所有通信路徑。在大多數(shù)環(huán)境中,這將包括以太網(wǎng)、Wi-Fi、藍(lán)牙、BLE、以及可能的其他無線協(xié)議,如Zigbee。無線覆蓋非常重要,因?yàn)楣粽呖梢岳肂lueBorne、KRACK和Broadpwn等漏洞,在沒有任何用戶交互的情況下通過空中攻擊OT設(shè)備。
在認(rèn)識(shí)到OT的脆弱性后,黑客們也已經(jīng)開始改變攻擊方式。此外,新的惡意軟件,如EKANS,以直接針對(duì)OT并利用其特定漏洞。盡管ICS惡意軟件在野外仍然相對(duì)罕見,但隨著最近幾次針對(duì)ICS的高調(diào)攻擊,如Triton/Trisis和Industroyer的成功,ICS惡意軟件肯定會(huì)在不久的將來增加。
隨著越來越多的OT設(shè)備與物聯(lián)網(wǎng)兼容,以及OT和IT安全協(xié)議的不斷融合,制造商應(yīng)該制定計(jì)劃,以發(fā)現(xiàn)和評(píng)估其所有連接的設(shè)備,包括在整個(gè)供應(yīng)鏈中使用的設(shè)備。最重要的是,必須對(duì)這些設(shè)備進(jìn)行評(píng)估,并對(duì)其進(jìn)行保護(hù),以防安全漏洞的威脅不斷增加。
與IT環(huán)境不同,工業(yè)組織應(yīng)該專注于保護(hù)工業(yè)資產(chǎn),這些資產(chǎn)會(huì)在成功攻擊的情況下造成重大損害。而保護(hù)OT設(shè)備免受越來越多的網(wǎng)絡(luò)攻擊和漏洞,也面臨著許多挑戰(zhàn),很明顯,工業(yè)和制造組織不能使用傳統(tǒng)方法來保護(hù)以非傳統(tǒng)方式使用的OT設(shè)備。隨著這些基本設(shè)備繼續(xù)集成到企業(yè)網(wǎng)絡(luò)中,必須使用新的方法來防止它們被利用,以防止使有價(jià)值的流程面臨中斷的風(fēng)險(xiǎn)。
只有當(dāng)OT環(huán)境相當(dāng)安全時(shí),制造企業(yè)才能從集成和連接的制造平臺(tái)獲得更多數(shù)據(jù)。
參考資料:
1.Securing IT and OT in Industrial and Manufacturing Environments,2021,ARMIS
2.https://ordr.net/article/iot-in-manufacturing/
3.National Cyber System Awareness Alert, July, 2020, CISA
4.ICS-CERT Advisories
作者 | 天地和興工業(yè)網(wǎng)絡(luò)安全研究院
原文來源:網(wǎng)絡(luò)安全應(yīng)急技術(shù)國家工程實(shí)驗(yàn)室