工控系統(tǒng)網(wǎng)絡(luò)安全的四大誤區(qū)
盡管人們?cè)诜婪豆た叵到y(tǒng)網(wǎng)絡(luò)攻擊方面的意識(shí)在逐漸加強(qiáng),但是現(xiàn)有的很多網(wǎng)絡(luò)安全防護(hù)框架仍然依賴于過(guò)時(shí)的安全性理念,即物理上獨(dú)立的網(wǎng)絡(luò)系統(tǒng)是足夠安全的、通過(guò)信息隱匿的方式可有效地防護(hù)網(wǎng)絡(luò)威脅等。目前,關(guān)于工控網(wǎng)絡(luò)系統(tǒng)安全主要存在四大誤區(qū)。
誤區(qū)1:工控自動(dòng)化系統(tǒng)沒(méi)有和互聯(lián)網(wǎng)連接,所以足夠安全
一項(xiàng)在某代表性能源公司內(nèi)部進(jìn)行的調(diào)查顯示,大部分的管理部門認(rèn)為公司內(nèi)的控制系統(tǒng)并沒(méi)有連接互聯(lián)網(wǎng),然而,調(diào)查和審計(jì)顯示89%的控制系統(tǒng)是聯(lián)網(wǎng)的。
另外,工控網(wǎng)絡(luò)系統(tǒng)有時(shí)在企業(yè)網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間采用多種連接類型,包括內(nèi)部連接、直連、無(wú)線連接以及撥號(hào)連接。這些拼湊型的網(wǎng)絡(luò)連接方式使得工控系統(tǒng)非常開(kāi)放。以Slammer蠕蟲病毒為例,該蠕蟲可在3秒內(nèi)以全掃描速度(55million/秒)攻擊多種類的基礎(chǔ)設(shè)施,例如緊急服務(wù)、空管系統(tǒng)、ATM等。這正是由于互聯(lián)網(wǎng)的開(kāi)放性能而致。然而,諷刺的是唯一減緩蠕蟲病毒攻擊速率的卻是網(wǎng)絡(luò)帶寬。
誤區(qū)2:工控網(wǎng)絡(luò)安裝了防火墻,足夠抵抗外界威脅
防火墻為工控網(wǎng)絡(luò)系統(tǒng)提供了一定程度的安全防護(hù),然而,這不能使得工控系統(tǒng)無(wú)懈可擊。在一項(xiàng)針對(duì)金融、能源、通信、媒體行業(yè)使用的37種防火墻進(jìn)行調(diào)研中,人們發(fā)現(xiàn):
(1)大約80%的防火墻是允許入站規(guī)則內(nèi)的“一切”服務(wù),包括不安全的訪問(wèn)侵入防火墻和非保護(hù)區(qū)域;
(2)大約70%的防火墻允許網(wǎng)絡(luò)外圍的設(shè)備訪問(wèn)并控制防火墻。
誤區(qū)3:黑客無(wú)法理解SCADA/DCS/PLC
近期,SCADA和處理控制系統(tǒng)成為了黑帽技術(shù)大會(huì)(Black Hat)的共同主題。對(duì)于黑客們來(lái)說(shuō),網(wǎng)絡(luò)犯罪是非常有利可圖的。例如,幾乎不耗周期的一次攻擊獲取的信息可以80k美元賣給犯罪組織。同時(shí),由于以下原因,黑客逐漸具有了攻擊工控系統(tǒng)的能力。
(1)不少蠕蟲病毒都是為特定的目標(biāo)和應(yīng)用量身定制的。
(2)現(xiàn)有的SCADA規(guī)范可以隨處購(gòu)買或從網(wǎng)絡(luò)上獲取,這也為黑客在一定程度上理解SCADA規(guī)范提供了便利。
(3)Shodan搜索引擎很容易定位不安全的工控設(shè)備和系統(tǒng),同時(shí),很多被攻擊的系統(tǒng)仍采用低安全系數(shù)的用戶名和密碼,例如“windows”,“123456”。
誤區(qū)4:我們的設(shè)備不會(huì)成為目標(biāo)
這是一個(gè)很危險(xiǎn)的意識(shí)。首先,我們的系統(tǒng)并不是一定會(huì)成為攻擊目標(biāo),但是會(huì)變成受害者。80%的工控網(wǎng)絡(luò)安全事件都是無(wú)意中發(fā)生的,卻是極具危害性。仍以Slammer蠕蟲病毒為例,該病毒目的在于盡可能多地?fù)舻顾芯W(wǎng)絡(luò)系統(tǒng)中的所有設(shè)備,而并不是針對(duì)性地襲擊某個(gè)能源公司或者緊急設(shè)備。然而,該病毒的侵入對(duì)這些緊急設(shè)備造成了重要危害。另外,由于很多工控系統(tǒng)基于不安全的操作系統(tǒng),使得這些工控系統(tǒng)很容易暴露在網(wǎng)絡(luò)攻擊中。
所以,針對(duì)工控網(wǎng)絡(luò)安全防護(hù),我們可以做些什么?
為了抵抗工控網(wǎng)絡(luò)攻擊,安全防護(hù)系統(tǒng)需要符合特定的要求。其中,基于網(wǎng)絡(luò)邊界的防護(hù)方法是工控網(wǎng)絡(luò)安全的第一道重要防線。另外,人們必須對(duì)網(wǎng)絡(luò)內(nèi)的脆弱系統(tǒng)和易成為攻擊目標(biāo)的設(shè)備進(jìn)行安全防護(hù)。
由于網(wǎng)絡(luò)安全犯罪活動(dòng)的頻率和復(fù)雜度不斷增長(zhǎng),工控網(wǎng)絡(luò)安全防護(hù)系統(tǒng)必須進(jìn)行持續(xù)審查和重新評(píng)估,任何關(guān)于工控網(wǎng)絡(luò)安全的固定認(rèn)知也需要不斷的更新或改變。