高级持续性威胁正成为关键基础设施及能源领域日渐艰巨的挑战,它是一种复杂的网络攻击,通常是资金充裕、有国家背景的专业黑客小组所发动。
针对工业控制系统(ICS)和数据采集与监视控制系统(SCADA)的高级持续性攻击数量日渐增多,下属美国国土安全部(DHS)的工业控制系统网络紧急响应小组(Industrial Control)将ICS/SCADA和控制系统网络列为黑客或病毒最容易攻击的两种目标目标。漏洞来源主要有两种:内部人员、面向外网的ICS/SCADA硬件;它们分别占漏洞总数的13%和87%。
要防御ICS/SCADA,企业显然需要得到支持。如果缺乏合适的防御策略,连续不断的APT攻击将会使能源行业的高价格设备失效、紊乱乃至直接报废。从经济上冲击能源企业会直接导致国家电力、天然气、石油资源的损失。能源行业和国家都应立即开始规划、资助并全面保护ICS和SCADA,这对于公私双方而言都是最佳策略。
国土安全部:关键基础设施间的关系
只考虑运作中的关系,不考虑购买机器和设备的过程。
保护ICS/SCADA的商业争论
资助支持ICS升级替换的关键益处如下:
1. 维持美国的经济和生活方式
2. 保护美国关键基础设施
3. 保证公司利润和股东权益
4. 减少公司负债
5. 美国政府将更难攫取更多权力或出台更多监管政策,这可能在未来削减能源领域的相关成本
控制内部人员
人机交互接口(Human Machine Interface,HMI)是流行的攻击界面。钓鱼、鱼叉钓鱼和其它社会工程技术正继续为黑客提供访问ICS/SCADA系统的手段。即使是采取了优秀的员工培训计划,被感染的供应商或相关网络也仍旧可能为攻击者敞开大门。针对性的内部人员入侵可能更难预测、识别或对其采取应对措施。由于担心诉讼、出于尴尬、担心损失在公司内的名誉,内部员工不太可能向同事们披露遭遇的网络安全问题。
培训是减少乃至消除内部人员攻击的有效工具。所有能源企业都应当强制部署动态流程,它能够通知、指示、认证并同意书面的合规性。培训系统设计(Instructional System Design)应当提前测试员工,根据员工级别量身定制培训知识。培训过程不应当完全基于计算机或依赖互联网,另外则应当包括展示、研讨会、案例研究/实践。
训练结束后应当进行事后测试。测试的通过率较高意味着员工已经吸收了课程知识,更重要的是,证明了员工确实接收到并理解了信息。成功通过了测试的员工不能在之后声称“我当时不知道”,或者对同事的安全错误表示熟视无睹。
ICS/SCADA系统最初的设计理念是无需网络也可单独操作。然而一旦连接到网络,黑客就可以远程发起数据请求。除非采取预防措施,这样的人机通讯方式仍将对攻击者可见。为防止攻击者获得网络指挥、控制和通信权限,人机交互过程中应当始终运行安全连接,例如网银使用的协议。如果通过移动端访问ICS/SCADA,必须启用VPN。
其它优秀措施包括:使用最小特权账户、对关键流程采取双人控制、限制便携式媒介、在超级用户想要访问系统并作出修改时为其分配个人用户和口令,而不是使用常见的admin作为登陆名。
很重要的一点在于,不要忽略与公司相联系的组织,比如供应商。缺乏对第三方公司的权限控制可能导致非法人员得到管理员权限。如果这些权限被滥用或劫持,黑客就可以通过互联系统得到控制权限,访问到其主要目标。比如2014年塔吉特入侵事件中,黑客就是以一家采暖通风与空调(Heating, Ventilation and Air Conditioning,HVAC)供应商作为跳板的。如果能源公司不采取行动,第三方供应商可能并没有相应的资源或动机来部署防御。
奖励部署完善安全措施的供应商,对无法符合能源行业网络安全标准的供应商进行限制,这可能会鼓励外部合作伙伴加强网络安全防御。#p#
安全挑战
人员因素最容易导致非法访问、恶意软件感染、有意破坏ICS/SCADA网络及设备
ICS/SCADA接收来自远程终端单元(Remote Terminal Units,RTU)的信息,该单元会通过数字网络或无线电进行通讯
网络可能会被恶意软件或拒绝服务攻击所侵害。无线电是攻击源使用的新型攻击界面
能源领域基础设施中的大多数人物都需要人员参与完成
事故会发生。关键基础设施仍处于危险中
ICS/SCADA系统往往是定制的,它们使用传统的操作系统的数据链接。数字网络的增长以及ICS/SCADA设备不可避免所需要的网络连接从未涉及用于网络操作继续
独立系统能够增加安全性,然而具有成本和功能方面的缺点
SCADA/RTU接口
RTU和ICS/SCADA应用之间的冗余安全连接能够成为可靠、安全企业的基石。电力线路自动化、预警系统、生产/传输系统全部需要通信媒介,信息j传输方式包括低速的拨号电话线、中速的无线电信号、高速的宽带有线/无线网信息提供商。
大多数RTU系统不符合数据加密标准(Data Encryption Standard,DES)和高级加密标准(Advanced Encryption Standard,AES)要求。升级并部署符合行业加密标准的新RTU系统会产生成本。当整个公司突然宕机时,甚至会产生更大的成本,也许是因为他们一直对ICS/SCADA奉行的模糊即安全策略失效了。这完全在意料之中,因为没有人会从ICS/SCADA设备本身入手。
不论是存储还是传输过程中,数据都必须被加密。以加密格式泄露的数据对攻击者而言通常是无用的。
通过在多个访问级别上部署多重密码,可以增强RTU接口的安全性。多重密码可以将应用权限和ICS/SCADA硬件权限分割开来,避免最小特权用户访问。所有硬件都应当使用硬件防火墙掩盖真实IP地址。
企业应当部署基于不可否认性的系统,对每一种活动都分配一个数字记录。RTU必须自动记录所有和访问相关的活动,以实现其基本功能。经常删除、禁用并重命名默认账户,并要求使用强密码。应当考虑使用非对称密码的加密策略以及相关的维护软件,比如LastPass。
老式/独立设计
ICS/SCADA系统的运行寿命长达十年,其中一些设备已经有30岁高龄了。 对这些设备而言,不光是很难找到备用部件,甚至都很难找到熟悉其组件和操作系统的工程师。la系统往往与传统通讯设备相绑定,它们所导致的问题是一致的。然而企业正继续盲目地依靠“模糊即安全”原则。
就算它曾经有效过,现在也已经被诸如SHODAN这样的物联网搜索引擎打败了。SHODAN并不像其它搜索引擎一样索引网页内容,相反它索引HTTP、SSH、FTP和SNMP服务的数据,这些协议构成了互联网的大半江山。这意味着什么?攻击者可以通过仅仅使用类似谷歌搜索引擎的服务发现特定的设备和制造商。模糊安全已死。
很多制造商早已抛弃了对老式ICS/SCADA硬件的流水线和支持,而老式硬件仍在忠心耿耿地工作着。由于不需要替换它们的功能,出于安全原因的替换需求经常被忽视。开发商不愿意承担更换高龄机电设备的相关研究和开发费用,企业管理者也不愿意花钱更换仍旧可用的系统。但这是泡沫经济,老式系统无法应对现代攻击和APT。
美国安全公司Mandiant在2013年二月发布了一份报告,文中披露,有中国军方背景的黑客小组攻击了一家公司,该公司能够远程访问北美超过60%的石油和天然气管道。如果这次攻击的目标是瘫痪设施,则可能会对美国和加拿大的能源供应及环境产生深远的影响。
背景
领域描述
天然气领域包括天然气的生产、加工、运输、配送和储存;液化天然气设施;天然气控制系统
全美有超过47万家天然气生产和冷凝井,有超过3万千米收集管道。天然气洲际管道长达51万公里
天然气输送管道超过193万公里,这些管道将天然气输送给家家户户
美国消耗的大多数天然气都产自国内
关键问题
天然气基础设施是自动化的,它们由天然气企业和区域性供电公司掌控,这些公司依赖鲜先进的能源管理系统
很多工业控制系统是连接到外网的,很容易遭到来自内部的网络威胁攻击
关键功能
天然气领域生产、加工、储存、运输并向消费者配送天然气
呼吁行动
老式系统很难与互联网整合,其通讯方式也不安全,无法防御现代攻击。能源行业必须理解这一点,并接受更新换代的成本。新部署的系统将支持隐身、防火墙、加密和其它自卫措施。
能源领域的合作伙伴在一天内检测到数百万次嗅探或攻击并不是什么惊人之事。曾有一家电器生产商在24小时内上报过1780万起事件。这就是网络安全的现实,攻击者只需要走运一次就行,而作为防御者的你必须做到次次完美。
哪怕能源行业使用的系统短暂宕机都会对美国公民的生活造成毁灭性的打击。这一领域的管理者承担着社会、道德和法律责任,有义务在可行范围内保护网络和物理安全的所有方面。
“我们能买得起设备吗?”将不再是一个问题。这个问题必须变成“当我的产业对网络攻击无能为力时,谁会受到公众的指责?我们会在报纸上找到谁的名字?谁将失去一切?”答案是你和你的公司。
本文作者约翰·布赖克(John Bryk)上校曾在美国空军服役30年,他退役前在中欧担任军事外交官。他持有北达科他州立大学工商管理硕士学位,希望将这些知识和他即将拿到的网络安全硕士相结合,保护关键基础设施。
