数字化转型下,漫谈工控安全
工控,指的是工业自动化控制,主要利用电子电气、机械、软件组合实现。即是工业控制系统,或者是工厂自动化控制。工控安全指的是工业控制系统的数据、网络和系统安全。
工业控制系统是支撑国民经济的重要设施,是工业领域的神经中枢。现在工业控制系统已经广泛应用于电力、通信、化工、交通、航天等工业领域,支撑起国计民生的关键基础设施。
因而,工控系统也是国家关键信息基础设施的重要组成部分。但是,“工业制造2025”、“工业4.0”、“两化融合”、“物联网”等背景下,以及云计算、大数据、人工智能、物联网等新一代信息技术与制造技术的加速融合,工业互联网的产生逐渐打破了IT与OT的边界,工业网络下的工业控制系统安全面临严峻的挑战,其安全性直接决定企业生产环节的稳定程度、人员的安全保障。
尤其是随着互联网在工业控制系统中的广泛应用,针对工业控制系统的各式网络攻击事件日益增多,如在电力、石油、铁路运输、燃气、化工、制造业、能源、核应用等相关领域的关键网络一直都是全球攻击者的首选目标、重点目标。
与此同时,随着传统工业的数字化转型的深入,病毒、木马、蠕虫、僵尸网络等常见威胁也威胁到工业控制系统的安全。而且勒索病毒的出现,工业企业数据被窃、设备被锁,也对企业造成了不可估量的经济损失。
此外,工业控制系统本身的漏洞和后门也给攻击者们留下了可趁之机。实际上,工业控制系统在设计时,一般只考虑了系统的稳定性、实时性、鲁棒性,牺牲了安全性。据CVE、CNVD等统计,西门子、施耐德、罗克韦尔、AB、ABB、艾默生、欧姆龙等占据首位。一旦这些漏洞和后门被病毒、木马、勒索软件甚至黑客、敌对势力所利用必然导致严重安全事件。
例如,2022年6月GoUpSec在国内首次报道了Forescout的“冰瀑漏洞”报告,该报告曝光10家OT供应商产品中的56个高危漏洞,给工控系统市场投下一枚重磅炸弹。
报告指出,主流工控系统产品在设计层面存在根本性的重大安全问题。全球主流工控系统厂商产品不安全设计导致的漏洞比比皆是:文件篡改、身份验证绕过、Dos、配置篡改、远程代码执行、固件篡改、凭据窃取、逻辑篡改等。
“冰瀑漏洞报告”披露的漏洞中超过三分之一(38%)可导致凭据失窃,21%可导致固件篡改位,14%可导致远程代码执行。
关于工控安全,常见的安全需求大概如下:
网络边界防护需求:由于工业互联网在工业企业的落地应用,IT与OT的网络边界被打破,但是,工业企业却缺少有效的防护手段,无法有效保护各业务系统的数据安全。
远程访问防护需求:工业产业链是一个较长、且庞大的产业链,很多工控设备都依赖于第三方供应商,但是却不能很好地管控第三方供应商,存在一定的第三方安全风险。
网络监测与审计需求:工业生产网络内缺少安全审计设备,无法对网络中的攻击行为、数据流量、敏感操作等进行监测审计,若是出现数据泄露等安全事故,也不能进行事后审计,追究相应的责任人。
操作系统漏洞管理需求:生产网络中的工控机名数使用微软,linux操作系统,由于生产控制网络的封闭及控制系统对业务立时性要求较高,无法进行正常的系统漏洞升级操作,导致使用的微软操作系统存在大量安全漏洞。
恶意代码风险防范需求:工业企业是勒索软件的首要攻击目标之一,但一般工控主机操作系统没有安装杀毒软件,或者安装杀毒软件,但限于工业网络状态,缺少恶意代码防护功能,长期没有代码更新,一旦受到恶意代码攻或感染,容易导致工业控制系统受到攻击,引发运行事件,甚至造成人员财产损失。
外设接口风险防护需求:生产系统内的工业控制主机可以通过移动介质传播,如U盘笔,移动介后在管理网络和生产网络之间交叉使用,难免会感染病毒或恶意代码,进而导致上位机被攻击,引发安全风险。
应用软件风险需求:正如上文中所提到的,目前国内常用的工业控制软件(如SCADA等),都或多或少存在安全漏洞,限于工厂实际情况又难以及时更新补丁,漏洞一旦被利用将导致安全事故。
工控安全管理需求:安全不仅是技术,更是管理。安全管理措施也是必不可少的手段,安全技术措施和安全管理措施互为补充,建立有效的技术措施,建立健全安全管理制度,完善安全管理措施,共同构建全面、有效的信息安全保障体系。
每种类型的攻击都有其自己的预防措施。通常可以分为以下8种类型:
隔离和细分:利用工具和合格的人员对工控网络进行彻底的缺口评估,通常可以发现许多不受监控的访问点,而这些访问点在遵循标准做法来保护控制网络时经常会被忽略。这些威胁可能源于:对工程/操作员工作站的访问不受限制;过时的恶意软件检测;尚未得到保护或审计的第三方应用程序和连接器,等等
管理用户访问控制:该任务包括采取措施限制未经授权的访问以及跟踪和停止与未经授权的访问有关的任何活动。这包括:加强对未经授权人员访问的难度;制定管理政策并严格按照计划进行更新;在整个企业中启用多因素身份验证;白名单、添加预先批准的地址、位置和基于端口的警报,以识别人员访问系统;更改所有密码和密码的默认值,并定期更新用户密码。
运行验证检查:通过程序、逻辑和可执行验证检查,确保对逻辑、代码和脚本的更改都是授权人员有意进行的更改。
增加物理安全性:现在一些控制系统供应商在其控制器上配置了物理锁,可以防止在未先通过物理安全层的情况下在控制器上执行任何其它代码。
网络安全培训:网络安全威胁的关键部分来自攻击者,而这些攻击者经常利用社会工程等手段,通过企业员工窃取数据。因此,需要培训人员如何识别攻击、如何保护其个人身份信息以及如何保护自己免受攻击。应当为各级管理人员、执行人员、运营技术(OT)系统管理员和用户提供此培训。
创建事件响应计划:在偶然的情况下,一个奇怪的错误或疏忽就会给潜在的攻击者敞开大门,网络安全实施工作需要包括一个可行的计划,供人员在安全受到破坏或发现威胁时使用。这些计划一旦制定,就需要通过定期的培训来实践,并提供给所有负责人员,以确保在安全事件发生时迅速采取行动。
持续更新的资产登记:为降低风险,请保留所有列出的运营技术资产清单的最新记录,包括交换机、路由器、防火墙、各种网页服务、监控和数据采集(SCADA)软件、历史库服务器、控制器或任何因特网协议(IP)可寻址设备,所有这些都可能使攻击者找到利用不受管理系统的空间。可以通过网络监视以获取最新版本的资产清单,同时可以通过各种工具监视修补程序和任何漏洞。
