至少美国很多安全专家认为网络入侵美国的关键基础设施系统的网络攻击干扰事件越来越频繁发生。对于许多工业控制系统(ICSs)来说,不是入侵是否会发生的问题,而是何时发生的问题。在美国NIST文件中举例说,在一个财年中,有2015, 295起网络攻击事件提交报告给ICS-CERT(工业控制系统-计算机应急小组),他们认为还有更多的攻击事件是未被报告或未被发现的。从而美国人得出的结论是:攻击者的能力已被证明,网络事件的频率和复杂性正在持续增加。传统的工业控制保护的认知明显是不够的,若想保护ICSs免受现代威胁需要精细的、良好的安全策略,优秀的策略将为网络防御团队提供快速、有效地检测、提供了对抗和驱逐攻击者的机会。
NIST的文件中提出了七种策略,他们认为在建造控制系统时若可以实现,可以对付常见的可利用的弱点。他们认为如果工业控制系统的所有者,已经实施了下文所概述的策略,可以有效阻止2014-2015财年ICS-CERT中报告的98%的事件。剩下的2%可以通过增加的监测和强有力的事件响应来识别与防护。
1,实现应用程序白名单策略
应用白名单(AWL)可以有效检测和阻止由攻击者上传的恶意软件的执行尝试。工业控制系统,如数据库服务器和人机界面(HMI)计算机的操作相对固定的性质,使运行AWL成为理想的选项。这需要运营商与供应商合作,找准基线进行校准,进行最优的AWL部署。
示例:ICS-CERT收到过的一个事件报告,以至于受系统网络必须从头重建,使得花费巨大。一个特定的恶意软件破坏竟然超过80%的信息资产。而在此过程中防病毒软件却是无效的,恶意软件在ViuStoTala上检测率为0%。然而,如果实现AWL会检测并提供通知,以及阻止恶意软件的执行。
2,确保配置正确,有效管理安全补丁
系统入侵者往往瞄准那些未打补丁的系统。以安全输入和可信补丁的实现为中心的配置和补丁管理程序,将有助于保持控制系统更加安全。
这样操作程序是从准确的基础资产清单开始,以跟踪需要哪些补丁。优先处理在HMI、数据库服务器和工程工作站角色中使用的“PC”机器的补丁和配置管理,因为攻击者显然对这些IT常规的设备具有显著的网络攻击能力。受感染的笔记本电脑就是一个重要的恶意软件载体。规范的管理程序将限制外部笔记本电脑与控制网络的连接,最好为供应商提供自己公司已知安全的笔记本电脑。规范的程序鼓励先测试系统安装更新。包括先对更新进行恶意软件检测功能,再安装在实际运行的操作系统上。
示例:ICS-CERT对发电厂的Stuxnet感染作出反应。这就让我们联想到了伊朗核电站遭受震网病毒,其感染的根本原因是供应商笔记本电脑成为恶意软件的载体。
下载软件和补丁到控制网络时使用最佳实践。是采取措施避免“饮水洞”攻击。使用Web域名系统(DNS)信誉系统。从认证的供应商站点获取更新。验证真实性下载。坚持供应商数字签名更新,并使用这些认证。不从未经验证的信息源下载更新。
3,缩小可攻击范围
将ICS网络与其他任何不可信的网络隔离,尤其是互联网。关闭锁定所有未使用的端口。关闭所有未使用的服务。如果有定义的业务需求或控制功能,只允许实时连接到外部网络。如果单向通信可以完成任务,则使用光电隔离。如果双向通信是必要的,那么在受限网络路径上使用单个开放端口。
示例:看2014前的信息,ICS-CERT反映有82000个工业控制系统硬件或软件可直接通过公共互联网进行访问。直接或几乎直接的互联网接入导致违规的情况非常多,诸如美国这样的信息化起步早的国家,概莫能外。示例美国犯罪实验室、水利大坝发电、索契奥林匹克体育场以及众多的关键基础设施。
4,构建防御环境
限制网络周边破坏,将网络划分为逻辑分区,并限制主机间的通信路径。可以阻止攻击者扩大攻击访问范围,同时允许正常的系统通信继续运作。
示例:在一个ICS-CERT案例中,核电资产所有者扫描进入3级设施失败。在退出扫描时,介质被扫描到,并检测到病毒。因为资产所有者已经实施了逻辑分区,只有六个系统处于危险之中,必须进行必要的应急补救。如果没有实施安全分区,将有数百个主机被感染而需要修复。
如果需要从安全区域到不安全区域的单向数据传输,请考虑使用经批准的可移动介质而不是网络连接。如果需要实时数据传输,请考虑使用光电隔离。允许获取数据而不使控制系统处于危险之中。
示例:在一个ICS-CERT案例中,管道操作员直接将公司网络连接到控制网络,导致计费单元中断。在被ICS-CERT通知后,后资产所有者删除了连接。计费部门花了4天时间,才注意到连接中断。
5,做好身份管理认证
攻击者如今越来越关注如何获得合法凭证,来伪装成合法用户进行工业控制系统的攻击,特别是特权账户相关的凭证。攻击者获取合法凭据后伪装成合法用户,则留下更少的可供审计的记录和证据,这样减少利用漏洞或执行恶意软件。采用多因素认证,实现特权用户权限最小化。实现安全密码策略,长度、复杂度合乎要求。对于所有帐户,包括系统和非交互式帐户,确保身份鉴别凭证是唯一的,并至少每90天更换所有密码。为企业网络和控制网络区域各自分配独立的认证凭据,并将它们存储在各自独立的信任存储中。不要在公司和控制网络之间共享ActiveDirectory、RSA ACE服务器或其他信任存储。
示例:一个美国政府机构在本地管理员帐户上使用相同的密码。这允许攻击者轻易地在所有系统中横向操作控制。其实,我们本文是借鉴的NIST的内容,谈及的是美国案例,放到我国其实也是大面积存在类似情况的,我们在此方面也应当戒之慎之!
6,实现安全的远程访问
一些攻击者在获得远程访问控制系统、寻找模糊的访问攻击、甚至有内部系统操作员有意创建“后门”使攻击更加有效。尽可能消除这种访问,不允许供应商远程持久连接进入控制网络。要求任何远程访问都是由操作员控制的、时间限制,并且提供类似于“锁定、标记输出”等功能。对于供应商和雇员的连接使用相同的远程访问路径,不允许双重标准。如果可能的话,使用双因素认证,避免两个认证方式存在相似类容易被冒用的情况(示例,密码和软证书)。
7,监控与应急响应
防御网络对抗现代威胁需要积极监测黑客攻击渗透,并迅速执行应急响应。可以考虑在以下五个关键点建立监测计划:
1)观看异常或可疑通信的ICS边界上的IP流量。
2)监视控制网络内的恶意连接或内容的IP流量。
3)使用基于主机的产品来检测恶意软件和攻击尝试。
4)使用登录分析(示例时间和地点)来检测被盗的凭证使用或不正确的访问,用电话短信验证所有异常。
5)监视管理帐户动作以检测访问控制操作。
当发现入侵活动时,有一个行之有效的应急预案。应急预案可能包括断开所有互联网连接,运行适当范围的防恶意软件搜索,禁用受影响的用户帐户,隔离可疑系统,并立即全部进行密码重置。应急预案也可以定义升级触发和执行,包括事件响应、调查和公共事务活动等。
虽然没有系统是100%安全的,但是本文所讨论的七个关键策略可以大大提高ICSs的安全状态。
以上文字翻译自美国NIST文章,本文英文原文由美国国土安全部、联邦调查局、国土安全局的专家完成,由于本人水平有限,翻译过程中难免存在舛误,不到之处请方家多多海涵。欢迎共同讨论,共同学习进步。想必很多朋友,也在不同刊物中看到过与上面观点极其接近的观点与思路,而在防范上存在知识的共通之处是通识,借鉴西方一些经验与理念也是一个可取的拿来主义的实证。毕竟西方现代信息化的发展起步较早,而我们在自我创新过程中,也期待更多的更优秀的理念为我们所接受,为我们所用。
|
……往期也精彩…… 分享是美德,传播是善良 |
原文始发于微信公众号(鼎信安全):有效保卫工业控制系统的七个步骤
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论