在工业控制系统(ICS)的安全管理中,安全管理通常被分为3大块:物理设备的安全、IT安全和运营安全(工厂安全和系统完整性)。
如今在工业控制系统(ICS)的安全管理中,信息技术(IT)安全测试变得越来越自动化,尽管我们仍然远远不能以这种自动化方式完成全部的安全事情,但这个趋势已经不可避免。不过这也带来了一个问题,就是安全管理也来越复杂。比如,许多专有名词也被发明了出来,SCADA,ICS,OT,DCS ……这一大堆名词,往往就容易被搞混,而这也让设施运营者更难以发现并响应安全事件。
而且,现代运营往往横跨复杂IT(信息技术)和OT(运用技术)基础设施,通常涵盖成千上万的设备,且这些设备越来越多地通过工业物联网(IIoT)互联,这就给工业环境安全带来了新的挑战:让工业控制系统安全威胁更难以检测、调查和修复。
在现有一些工业操作中,两者却常被割裂,被认为IT安全由网络运维团队负责,OT安全则由操作员或业务员负责。而面向OT系统的安全威胁更是常被忽视掉。这不仅由于OT中的安全程序和技术应用与IT系统大相径庭,还由于每个垂直行业业务特征存在较多差异。可实际上OT系统面临的问题与IT系统同样严峻。
以下就是工业控制系统中常提及的重要术语:
· IT:信息技术,这是用于存储,检索或传输信息的硬件和软件;
· OT:运营技术,这是监视或触发物理设备变化的硬件和软件,将在本文中用于指代ICS系统的组件设备;
· WAN:广域网;这是一个主要用于计算机网络的网络,它扩展到很大的地理区域;
· CNI:关键的国家基础设施,系统(包括IT和OT)和对社会功能至关重要的资产;
· ICS:工业控制系统,这些是控制复杂且通常是危险的物理过程的计算机系统,可以细分为两个不同的类别——监督控制和数据采集(SCADA)系统和分布式控制系统(DCS);
· SCADA:监控和数据采集系统,这些是跨越广域网(WAN)的ICS类型,通常是最常用于(错误地)引用所有类型的ICS的术语;
· DCS:分布式控制系统,这些是不涉及WAN的ICS类型;
· HMI:人机界面,这是一个用户界面,使人们能够与设备或系统进行交互,这是一个最常用于ICS接口的术语;
· PLC:可编程逻辑控制器,这些是OT中使用的小型计算机,它使用高度专业化的操作系统来实时处理事件;
· IIoT:工业物联网,这个术语通常用于指将OT连接到互联网的趋势;
目前,所有ICS系统中涉及的OT通常都很老,而且传统的基于IT的网络安全方法并不能保证OT的安全。
因此,人们越来越关注保护这些OT系统,但这通常是通过简单地调整或重新使用基于IT系统的安全测试工具、技术和方法。本文将高屋建瓴的探讨这种方法所存在的问题以及需要进行的更改。
OT安全事件简史
影响OT(主要在ICS系统中)的安全事件,无论是故意的还是意外的,都可以会发生,不过频率不是很高。不过一旦发生,企业的损失就相当大。例如,卡巴斯基实验室的白皮书“2017年工业网络安全状况”将企业的平均累计成本定为347603美元(265881英镑),所含费用包括事件的后果和所需的补救措施,超过一半的受访企业承认在过去十二个月内至少发生过一起攻击事件。相比之下,在2018年的后续调查报告中,则只有不到一半的参与调查的公司承认发生过安全事故,这表明OT系统的安全性正在提高。然而,损失成本仍然很高,这里的成本不仅仅是财务成本。
本文中所指的安全事件包括以下3大类:
1.外部攻击者故意采取的规避安全措施或者破坏系统正常运行的行为;
2.员工故意进行的恶意行为,其目的是规避安全措施或破坏系统的正常运行;
3.由员工的意外行为所造成的破坏系统正常运行的事件;
值得注意的是,目前很难确定ICS系统遭遇攻击的准确数字。因为目前只有30%的公司被强制要求向监管机构报告安全事件,不过随着GDPR法规的颁布,这个数字会有所提升。即使数据有限,我们也可以列出一些有重大影响的安全事件:
2004年的Sterigenics国际公司医用品灭菌装置环氧乙烷爆炸事故,事故发生时,维护人员通过输入密码跳过了计算机控制的保障措施,导致灭菌柜门过早打开,造成含有环氧乙烷(EthyleneOxide, EO)的爆炸性混合物通过灭菌柜通风系统被排放到催化氧化器(内有明火)中,环氧乙烷立即被点燃,火焰通过通风导管迅速回窜到灭菌柜中,造成约22.7kg环氧乙烷被点燃,并发生剧烈爆炸。事后统计,造成超过2700万美元的财产损失。
2010年的伊朗“震网(Stuxnet)”病毒事件,2010年9月,伊朗称布什尔核电站部分员工电脑感染了一种名为“震网”的超级电脑蠕虫病毒。这种病毒可以悄无声息地潜伏和传播,并对特定的西门子工业电脑进行破坏。
该病毒旨在针对特定的ICS系统并破坏PLC, “震网”一开始只是静静地潜伏在普通的个人电脑上,通过USB接口无声无息地感染着一个个U盘,直到某一天某个中毒的U盘被插到绝密的、与互联网物理隔离的核工厂内部电脑上,才骤然发作,快速感染整个局域网。
“震网”使用了之前未被发现的微软Windows软件漏洞即“0 day”漏洞,其破坏力令反病毒研究者都叹为观止。据《纽约时报》披露,“震网”病毒2008年由美国和以色列情报机构合作研制,2010年正式投放到了伊朗。导致了2010年伊朗纳坦兹核基地的大约8000台离心机里有1000台发生故障,国际原子能机构称,伊朗在2010年11月中旬暂停了铀浓缩活动。
2014年德国的一个钢铁厂,遭受到高级持续性威胁(APT)攻击。攻击者使用鱼叉式钓鱼邮件和社会工程手段,获得钢厂办公网络的访问权。然后利用这个网络,设法进入到钢铁厂的生产网络。攻击者的行为导致工控系统的控制组件和整个生产线被迫停止运转,由于不是正常的关闭炼钢炉,从而给钢厂带来了重大破坏。有安全研究人员表示,攻击者可能通过人机交互界面或其他控制系统,直接连接到工厂造成的破坏。
2015年的乌克兰的停电事件,对乌克兰SCADA系统的攻击导致大约23万人断电数小时。
2017年的Wannacry事件,虽然在此事件中没有关于ICS系统影响的报告发布,但由于与OT系统连接的Windows系统不兼容,一些ICS系统似乎也发生了停机。
上述事件让我们了解了OT系统遭遇攻击时的严重后果,也预示着对OT系统的保护要比对其它系统的保护更重要。
然而,IT与OT实在是不一样。
IT与OT从本质上来说,就是两个东西!
IT环境是动态的,比如说,IT系统需要经常修复、升级、替换。IT员工很关注数据机密性、完整性和可用性(这三性也称为CIA)。他们很了解最新IT趋势和威胁。然而,IT人员往往不熟悉OT网络或工业控制系统(ICS),他们中几乎没人会涉足工厂环境。
与之相反,OT员工在以稳定性、安全性和可靠性为重的运营环境工作。他们的工作涉及维护复杂敏感环境的稳定,比如炼油厂、化工厂和水厂这类充斥几十年前的遗留系统,且系统几十年间未做更新的环境。他们的箴言是:“只要能用,就别动它。”
IT和OT采用不同的技术
基本上,IT人员惯于使用最新最棒的硬件和软件,包括防护其网络的最佳安全技术。他们倾向于将大部分时间花在修复、升级和替换系统上。
同时,OT员工则惯于与遗留技术为伍,其中很多甚至早于互联网时代诞生。这些系统往往采用专用网络协议,缺乏身份验证或加密之类基本安全控制措施,事件日志或审计跟踪也是没有的。因此,OT环境中的事件检测及响应,大大不同于IT环境中的。
IT与OT到底有啥不同
查看IT系统安全要求的一种常见方法是承认它是以数据为中心的,关键要求是正在处理的数据的机密性、完整性和可用性(C、I和A)。
除了这些关键的基本概念之外,Byres,Lissimore和Kube的演示文稿还从安全测试角度列出了IT和OT之间的差异:
1.不同的性能要求;
2.不同的可靠性要求;
3.“异常”操作系统(OS)和应用程序;
4.不同的安全架构;
5.不同的风险管理目标;
IT和OT系统优先级之间的这种差异是IT安全测试方法、常见发现和常见建议不能简单地在OT空间中进行调整和重用的核心原因。这是在产品评估领域之外的整个网络行业缺乏对OT的理解的结果。 IT与OT之间日益紧密的联系导致了一种观点,即OT是IT的一种扩展,但事实并非如此。此外,尽管最近出现了提高此类系统安全性的趋势,许多IT安全专业人员很少或根本没有接触过OT系统。
为了进一步说明传统IT安全措施和测试方法的问题的复杂性,让我们看一下IT安全测试的一些例子,并考虑它们对OT系统的影响。
网络扫描
使用NMAP和Nessus等工具进行自动扫描是IT系统基础架构测试过程中的一项常见活动,通常包括发送数据包来识别逻辑网络布局或检查单个计算机是否存在已知漏洞。有时这种扫描可能会被限制,因为它有可能导致意外行为,例如导致计算机关闭,但这在IT中非常少见。
相比之下,此类活动更有可能在OT中导致意想不到的结果,并且是更加糟糕的后果。最常见的后果是被扫描的设备可能会因某些意外的输入而关闭或不作出响应。此类活动可能会导致意外的机械反应,例如在制造工厂中突然移动机械臂对周围机械造成物理损坏,或对在该区域工作的人员造成伤害。
打补丁
打补丁是我们正在进行安全审查的IT系统上最常见的修复手段之一,也是安全行业的热门话题。操作系统和安装在其上的应用程序经常成为攻击者和安全专家的目标,攻击者寻找进入系统的方法,而安全专家则寻找需要修复的漏洞。当一个漏洞被发现并报告后,操作系统或软件的开发者通常会为该漏洞修补,然后需要将其安装到受影响的计算机上,以确保其安全。
人们普遍认为,系统应该在短时间内安装安全补丁和更新,并且只应使用供应商支持的操作系统。
即使在IT系统中,这也不像听起来那么简单,因为补丁可能会导致不同软件彼此交互的问题。因此,拥有更大网络的组织倾向于先在单个设备上安装补丁,以检查是否没有问题,然后再将它们推广到网络的其他部分。
这些问题在OT网络中更加复杂,在OT网络中,设备通常会按照设计连续运行数年。这意味着:
1.它们可能依赖于不再接收安全更新但无法升级的旧软件版本;
2.它们维护的窗口期限很短;
3.由导致意外行为的补丁导致的停机成本太大;
因此,打补丁并不是大多数ICS系统的优先考虑因素,因为它可能会影响我们的安全性和可靠性的核心原则。
加密和认证
我们在每次IT安全评估中检查的另一种安全机制是使用加密,如果没有加密,任何数据都有可能被监控你的网络的人读取或修改。它用于保护金融交易、登录页面、电子邮件等,以至于不使用加密的系统被视为高风险目标。而加密又往往与身份验证密切相关,身份验证是确保你是唯一可以访问数据的人的机制。
然而,适用于IT中的安全机制并不意味着适用于OT。首先,我们已经指出,这些系统上的数据机密性并不是优先事项,尽管它可能适用于连接的IT系统。尽管使用加密和身份验证也可以在一定程度上抵御恶意攻击,但它也会消耗计算资源,这可能会导致系统出现延迟反应,从而严重影响可靠性和安全性。想象一下发电站中的反应堆过热,如果发送读数有延迟,那么冷却或关闭机制的启动会有延迟,这可能会导致物理损坏或对反应堆造成破坏。
此外,OT系统中的认证机制在某种程度上也被员工视为阻碍安全管理的绊脚石,员工在响应紧急警报时,不希望因为必须记住并输入复杂的密码而耽搁时间,因为他们试图诊断问题并采取相应的行动。事实上,这样的安全措施(认证机制)更有可能导致员工共享登录细节,并将其写在控制台的便利贴上,以节省时间。而这,有完全与设置密码的初中相违背。
这可能比攻击者访问系统的后果更严重,因此,从安全的角度来看,接受攻击者的一次入侵后果可能比阻碍负责维护系统安全和可靠性的后果更小。
总结
这篇文章主要讲的是,平常在IT中司空见惯的那些安全措施并不适用于ICS中使用的OT系统。这就要求我们转化安全防护的思维模式,不再将OT安全视为IT安全的一部分,而是将其视为具有不同安全要求的单独类型。
这意味着在进行OT安全布防的思维层面上,安全专业人员需要至少在两个不同的领域进行反思:
1.OT系统中的安全测试方法:这意味着全面改变当前检查用于评估OT系统安全状态的方法、工具和技术,而不是简单地调整现有的IT安全测试方法。
2.辨别安全漏洞以及对应的解决方案,目前,这些漏洞主要都是基于IT系统的。在OT系统中,安全性和可靠性原则需要成为识别漏洞的核心原则。
除了上面提到的,还需要考虑在OT系统安全审查的每个实际环境中攻击者使用的配置文件,它们与典型的IT系统不同。
评估OT系统的安全专业人员需要考虑系统是否对安全至关重要,如果测试导致系统中断(不仅仅是财务成本,还有物理损坏,对环境的影响和威胁),最糟糕的情况是什么?系统的安全保障,以及系统最现实的威胁是什么?
因此,每个OT系统的评估都应该是量身定制的,因此任何OT测试方法都应该足够灵活,以适应每个独特的系统。
希望你读完这篇文章后,理解为什么IT和OT安全需要被单独看待,以及为什么OT安全测试与IT安全测试不同。