如何减少对工业控制系统网络的威胁?
发布时间:2018-07-17 来源:控制工程网
工业控制系统(ICS)网络基础结构面临的威胁持续增加,复杂程度也比以往任何时候都大。这些攻击的数量及复杂性的增加,使得ICS成为网络犯罪者容易得手的目标。主要原因就是它的基础设施老化,缺乏安全规划和设计,以及长期以来对ICS网络的保护不够重视。对企业的基础设施和运营方面进行详细分析,可以深入了解风险水平,并找出保护关键资产的潜在对策。应该采取这种整体方法来确保考虑所有方面,以充分了解对生产系统造成的实际风险水平。 这包括网络和物理安全,以及系统生命周期的状态。 为了帮助识别确切的风险水平,应对每个因素进行彻底评估,以了解设计、运营和维护差异,并保持生产系统的正常运行。
工业控制系统的演化
过去,工业控制系统提供商使用与外部连接物理隔离的专有硬件和软件。而现在,工业控制系统使用商用现货(COTS)组件、标准操作系统和通用的通信协议。从专有系统向开放技术的转变,允许使用第三方硬件和软件组件,这有助于推动ICS整体生命周期成本的下降。
此外,采用标准的通用组件和通信协议,有助于和IT或业务系统的连接。将生产系统中的数据共享到业务系统中,只需要极少的努力就可以收集和分析数据,从而为企业带来宝贵的洞察力。
这些功能提高了生命周期并使连接性更好,但也将ICS应用程序的漏洞暴露出来,因为这些程序设计的第一要务并不是安全性。ICS提供商通常会发布推荐的安全实践,这些实践定义了允许连接到外部系统的特定方法,但最终部署和维护ICS网络安全的责任完全在最终用户身上。保护这些网络,以确保生产可用性和保护不受安全方面的困扰,应该是管理层制定和支持的综合业务目标。
管理IT和ICS基础架构
无论是IT还是ICS基础设施,都使用常见的网络部件,但在维护、运行和安全管理方面,它们之间非常不同。IT业务网络和ICS网络安全目标是不同的概念,但它们基于相同的保密性、完整性和可用性原则。
对IT来讲,企业主要关注的是知识产权的泄露,保密具有最高优先级。接下来,数据的完整性非常重要,其次采是网络的可用性。
由于生产系统数据的关键性,ICS网络具有不同的优先级。对人机界面的依赖性,使系统可用性要求成为工业部门的最高优先事项。
数据的完整性和信息的准确性对工业系统来说也非常重要。保密通常不是工业网络的主要关注事项。在系统优先级上的这些差异,使IT与ICS在网络运行和安全管理方面大相径庭。
虽然这两种系统的基础结构都使用通用部件,但IT和ICS网络的运营差别很大。通常,IT网络操作由用户触发,基本是不规则的,或者是按需启动。业务网络上生成的通信量可能是零星、不可预知的。因此需要删除或添加网络组件 (如服务器、网络设备和计算机) 以支持业务需求。业务系统通信协议围绕此类操作构建,通常不包括任何类型的确定性机制,这主要是因为数据的零散性。
另一方面,ICS网络需要非常高的可用性来支持连续和不间断的生产系统需求。 这些系统设计旨在以确定的速率提供数据,以实现可预测性和可重复性。 ICS通信协议支持捕获时间临界事件的确定性活动。这些系统旨在提供高可用性和对时间敏感的关键数据。IT和工业控制系统网络操作之间的差异,导致它们实现安全的方法也有很大的不同。
标准IT的 "修复" 可能会损害ICS
IT通常会部署广泛的安全对策,以防止网络攻击。然而,由于需要确定的高可用数据,大多数常见的IT安全方法可能会对ICS网络产生不利影响。标准IT安全实践的一个实例,包括为操作系统升级打补丁、应用程序升级和服务器系统升级。在IT界,这被认为是常见的做法。但是,在ICS网络上,这些操作可能会对系统和相关组件产生非常负面的影响。
由于相关软件、系统组件和数据交付的关键特性,其它常见的IT实践,如域的更改、病毒扫描程序更新、反恶意软件更新、路由器配置更改和端口阻止策略,可能会对ICS网络造成不利影响。对ICS网络或相关组件的任何此类更改的实施,都必须仔细考虑,并应首先在测试系统上进行,以在真正部署到生产系统上之前对其性能进行分析。
此外,必须特别注意安全,以确保ICS网络操作不致受阻。确定正确的方法并应用最具成本效益的风险缓解解决方案,对于支持IT和ICS基础架构的业务至关重要。ICS网络的可用性需求,使它们对生产系统中的任何细微变化都更加敏感。
准确评估风险级别
由于缺乏对所有潜在漏洞的认知和理解,往往无法确定ICS网络的实际风险水平。就像IT系统一样,使ICS网络就绪所需的努力必须是管理层认可的全面努力,以确保生产系统的可用性。考虑到现代黑客的复杂性,如果仅仅在ICS系统和IT网络之间放置防火墙,并不能提供足够的保护来消除风险。
"风险" 被定义为获得或失去某种价值的潜力。要充分了解生产系统的实际风险水平,必须评估暴露漏洞的所有方面,比如生产损失、环境损害、设备损坏和人身安全。这可能包括来自内部、外部、恶意和无意事件所导致的网络、物理和本地接口漏洞造成的所有威胁。必须定义工业控制系统生命周期的所有方面,以确保考虑到所有潜在的风险。
ICS基础结构中的很多漏洞都可能引入风险,如使用旧式平台、系统体系结构设计、与外部网络的连接、无线访问点和远程接口点。通常,工业控制系统部署所需的时间,比标准IT系统所需的时间要长得多,这可以归因于成本,为避免生产中断而迁移到较新系统的愿望,以及在运行老旧系统时缺乏相关的风险知识。
导致潜在漏洞的另一个因素是未能设计和维护安全的ICS网络,这可能是由于多名工程师多年来没有适当的安全计划或程序而对网络负责或者,也可能是快速部署多个项目,急于升级或已经危及到安全性的添加的结果。
为了成功地管理风险,企业必须完全定义哪些内容需要就位,了解ICS系统生命周期的不同阶段,并确保他们有一个计划来维护生产系统免受所有可能的漏洞的攻击。这些章程应由管理层授权,以确保生产系统资产在整个系统生命周期中保持不变。
对ICS系统的威胁
对IT和ICS基础结构的威胁正在不断演变,并且越来越难以防止、监测和缓解。由于生产要求的关键性,ICS网络在安全方面受到的挑战日益增加。因此,负责监控ICS网络的技术人员和工程师必须具有更严格、更有计划和更有纪律的方法来部署安全措施。
即使将ICS网络与因特网连接完全断开,也不会消除所有相关的风险。如果连接到互联网,外部威胁似乎更是显而易见的,但有时候内部威胁比外部威胁更具潜在的危害。这些内容包括内部恶意操作和可能会对ICS网络造成破坏的、无意识的人为错误。
对生产系统的威胁,包括对系统能够连续、准确地显示运行数据等功能的任何方面的损害。还包括操作员访问桌面功能、本地登录权限以及系统端口或接口功能。在物理和程序上保护自动化系统的努力,可能是非常广泛和耗时的。但是,防止常见系统故障的唯一方法是,删除普通用户访问这些系统的能力,包括软件、硬件和物理访问。
缺乏充分管理ICS安全和生命周期的规划和程序,是对ICS关键基础设施的最大威胁。通过数字网络或物理方面都可以对安全性造成危害。在老旧平台上的操作还可能会损害生产系统的寿命。老旧的硬件、软件和对系统的支持力度较小,并且比较昂贵(如果还有支持的话)。
通常情况下,IT系统的升级周期为3到5年,而生产系统可能会保持更长的时间。由于生产系统的高可用性要求,对新系统的更改也会有风险。新系统很可能需要重新编程,逻辑将需要被破译或编译为一种新语言。这就有可能引入人为错误,并可能对生产系统产生不利影响。
新的操作界面可能会与现有老旧系统的外观和操作不同。从老旧到新系统的迁移,可能涉及到详细逻辑规范的许多方面,以定义安全操作、广泛的测试和操作员培训,从而充分评估生产系统。完全更换可能需要一段时间,包括多个复杂阶段,以最大限度地减少生产中断。ICS生命周期的管理,应该包括一个全面的路线图,规划好所有的更换细节,以尽量减少为生产系统带来的风险。
减轻风险和保护资产
减轻风险和确定一个整体计划来保护企业资产,需要对所有生产系统风险进行全面评估。资产保护应包括安全层,不应依赖单个软件或硬件,以便使风险最小化。工业控制系统受损的后果,可能会造成生产损失、环境损害、加工设备损坏,甚至可能危及人身安全。
资产保护从上层管理的指示开始,以识别主动行动,并确保ICS系统已经做好准备,能够处理不断变化的威胁。整体计划记录安全任务和过程,并概述保护、缓解过程和迁移计划的层次,以涵盖ICS系统的生命周期。对危及生产系统事件的反应应该是所有人员都清楚理解的计划,从而将其影响降至最低。
迁移计划应包括一个系统路线图,以最大限度地减少生产中断,并确保在变更期内系统的安全可靠。从本质上讲,威胁持续变得更加复杂,因此强烈建议每年对保护层进行一次审计,以确保它们不会受到损害。风险因素永远不会被完全消除,但是资产所有者可以通过尽可能减少风险来保护生产系统的正常运营。(作者:Robbie Peoples)