您所在的位置: 首頁 >
安全研究 >
安全通告 >
不斷增加的工控系統(tǒng)安全漏洞
不斷增加的工控系統(tǒng)安全漏洞,如何應(yīng)對(duì)?
圖片來源:Verve Industrial
作者 | John Livingston
隨著對(duì)運(yùn)營技術(shù)(OT)環(huán)境威脅的增加,制造企業(yè)需要積極管理其端點(diǎn)系統(tǒng)以盡可能減少網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。
對(duì)運(yùn)營技術(shù)(OT)環(huán)境威脅的增加,促使美國國家安全局(NSA)和網(wǎng)絡(luò)與基礎(chǔ)設(shè)施安全局(CISA)發(fā)出警告:一些網(wǎng)絡(luò)黑客傾向于利用互聯(lián)網(wǎng)可訪問的OT資產(chǎn),對(duì)關(guān)鍵基礎(chǔ)設(shè)施進(jìn)行惡意網(wǎng)絡(luò)活動(dòng)。
盡管已經(jīng)有一系列類似的警報(bào),而且圍繞著各種攻擊的命名爭論不休,但建議仍然保持不變:通過核心安全基礎(chǔ)來管理OT系統(tǒng)。這些建議都是圍繞CISA的ICS最佳實(shí)踐展開,發(fā)揮的重要作用基本相同,主要包括以下內(nèi)容:
■ 維護(hù)ICS資產(chǎn)所有硬件和軟件的庫存;
■ 使用基于風(fēng)險(xiǎn)的評(píng)估方法來更新軟件,以確定哪些資產(chǎn)應(yīng)參與補(bǔ)丁管理計(jì)劃;
■ 在HMI和工作站上實(shí)施允許/白名單;
■ 使用外圍控制將ICS/監(jiān)控和數(shù)據(jù)采集(SCADA)系統(tǒng)與公司網(wǎng)絡(luò)和互聯(lián)網(wǎng)網(wǎng)絡(luò)隔離;
■ 禁用設(shè)備上未使用的端口和服務(wù);
■ 為遠(yuǎn)程訪問實(shí)施多因素身份驗(yàn)證;
■ 定期更改所有密碼并監(jiān)控密碼狀態(tài);
■ 維護(hù)已知的良好備份;
■ 維護(hù)已知的良好備份;
■ 使用強(qiáng)大的防病毒和其它終端檢測(cè)功能保護(hù)系統(tǒng);
■ 實(shí)施日志收集和保存;
■ 利用OT監(jiān)控解決方案提醒惡意行為。
這些都和我們所討論的“OT系統(tǒng)管理”相關(guān)。該術(shù)語包含了OT安全的基本要素——從資產(chǎn)庫存到漏洞、補(bǔ)丁和配置等的端點(diǎn)管理,再到受管理的網(wǎng)絡(luò)分段以及受控訪問,最后是監(jiān)控和恢復(fù)。
雖然這些警報(bào)對(duì)提高安全意識(shí)絕對(duì)有價(jià)值,但如果不仔細(xì)閱讀并理解所提出的建議,它們可能會(huì)造成混亂。我們經(jīng)常會(huì)收到有關(guān)最新的警報(bào)電話,因?yàn)槟承┢髽I(yè)正在追查最近在 其ICS 系統(tǒng)中發(fā)現(xiàn)的特定威脅或惡意軟件。
然而,關(guān)鍵是組織應(yīng)將發(fā)布的這些信息仔細(xì)閱讀,包括最后緩解措施或具體操作的章節(jié)。這一部分才是真正重要的。
如果每個(gè)OT系統(tǒng)都超過了這些基本要求那將極好的,但事實(shí)是,大多數(shù)企業(yè)仍在致力于實(shí)施這些核心要素。例如,許多制造企業(yè)不積極管理其OT終端。在很多時(shí)候,他們沒有這些端點(diǎn)的準(zhǔn)確清單。如果有庫存,則通常缺乏對(duì)這些設(shè)備的主動(dòng)管理:補(bǔ)丁、強(qiáng)化配置、更新密碼和更新固件等。
有時(shí)某些原始設(shè)備制造商(OEM)會(huì)在某些基礎(chǔ)上為特定的OEM應(yīng)用集的應(yīng)用操作系統(tǒng)(OS)和應(yīng)用程序提供補(bǔ)丁。但是在打過補(bǔ)丁之后,如果查看Verve端點(diǎn)管理平臺(tái)的輸出,會(huì)發(fā)現(xiàn)這些補(bǔ)丁程序留下了許多關(guān)鍵漏洞,要么是因?yàn)檫@些補(bǔ)丁不包括該設(shè)備上的其它應(yīng)用程序軟件,要么是補(bǔ)丁解決了OS的關(guān)鍵漏洞,但未經(jīng)批準(zhǔn)。
我們發(fā)現(xiàn)在2019年至2020年間,ICS-CERT咨詢中和OT系統(tǒng)漏洞有關(guān)的咨詢?cè)黾恿?7%。在2021年的ICS咨詢報(bào)告中,ICS漏洞的數(shù)量又增加了59%,但大多數(shù)企業(yè)仍然缺乏一個(gè)全面的、與供應(yīng)商無關(guān)的補(bǔ)丁管理程序。
OT系統(tǒng)管理包括開發(fā)和制定針對(duì)ICS的補(bǔ)丁管理工作。補(bǔ)丁程序管理面臨的主要挑戰(zhàn)包括:
■ 跟蹤與特定設(shè)備相關(guān)的補(bǔ)丁;
■ 了解補(bǔ)丁程序是否獲得供應(yīng)商的批準(zhǔn),以及供應(yīng)商不再支持的生命周期末期軟件或系統(tǒng);
■ 在持續(xù)運(yùn)營的過程環(huán)境中打補(bǔ)丁,需要重新啟動(dòng)所帶來的挑戰(zhàn);
■ 如果未進(jìn)行適當(dāng)測(cè)試,有些補(bǔ)丁可能會(huì)中斷運(yùn)營,給運(yùn)營帶來風(fēng)險(xiǎn);
■ 需要更新固件的設(shè)備可能會(huì)對(duì)系統(tǒng)的其它部分產(chǎn)生連鎖影響,需要從整體考慮系統(tǒng)升級(jí)等;
■ 缺乏管理過程的人員/資源。
毫不奇怪,企業(yè)在軟件補(bǔ)丁方面總是落后一步,并花費(fèi)寶貴的時(shí)間手動(dòng)跟蹤和管理補(bǔ)丁程序。補(bǔ)丁只是整個(gè)OT系統(tǒng)管理工作的一部分。
OT系統(tǒng)管理需要實(shí)現(xiàn)安全的 “操作化”,對(duì)于ICS運(yùn)營人員來說,實(shí)現(xiàn)安全的“操作化”會(huì)幫助其了解如何執(zhí)行??刂乒こ處熀蜕a(chǎn)人員每天都在改善工廠的運(yùn)營。他們有指標(biāo)、目標(biāo)、具體的質(zhì)量改進(jìn)計(jì)劃、六個(gè)西格瑪或其它精益原則、平衡計(jì)分卡等。
如果不將網(wǎng)絡(luò)安全視為僅適用于擁有先進(jìn)網(wǎng)絡(luò)專業(yè)知識(shí)的人,并付諸實(shí)施運(yùn)營化,將其轉(zhuǎn)化為一系列每天都能改進(jìn)的基本任務(wù),那么就可以開始應(yīng)用精益和其它原則來提高績效。
但如果讓標(biāo)題和新的威脅名稱分散對(duì)警報(bào)基本事項(xiàng)的注意力,我們可能會(huì)失去整個(gè)任務(wù)的線索。這些警報(bào)不應(yīng)被視為“新消息”,而是提醒人們注意執(zhí)行基本的OT安全實(shí)踐。如果這樣做,我們將同時(shí)解決新舊安全風(fēng)險(xiǎn)。
關(guān)鍵概念:
■ 近年來針對(duì) OT 環(huán)境的安全威脅增加。
■ 建議通過核心安全基礎(chǔ)來管理 OT 系統(tǒng),包括使用強(qiáng)大的防病毒和其它終端檢測(cè)功能保護(hù)系統(tǒng)。
思考一下:
如何減少 OT 系統(tǒng)的安全漏洞 ?
▲本文來自于控制工程中文版雜志(CONTROL ENGINEERING China)2023年1-2月刊《技術(shù)文章》欄目:如何應(yīng)對(duì)不斷增加的OT系統(tǒng)漏洞?
來源:控制工程中文版