原标题:关于工控系统安全的几点新共识
题记:ICS(工业控制系统)安全问题越来越引起相关单位的重视,是因为这些年发生的ICS安全大事件进入了大众视野。ICS 是含着安全的钥匙诞生的,它与互联网天生隔绝,让外部网络的任何攻击在最后一步戛然而止,但方法总比困难多,ICS 很难得手,不代表绝对不得手,一旦得手,就是大灾难,这是传统 ICS 的一个特点,外绝内松,以为自己百毒莫侵,高枕无忧,所以对内网安全十分忽视。这些年最为著名的 ICS 安全事件非震网莫属,美国国家队花费巨资打造精巧的 Stuxnet(震网),对伊朗首座核电厂围追堵截,以U盘的方式将其带入工厂并感染 ICS,加速离心机转速而致其损坏,使得浓缩铀迟迟生产不出来,最终让伊朗核计划推迟2年。有人猜测是某个工程师被钓鱼攻击感染了电脑,然后把U盘带入工厂;也有人猜测是工程师被收买,因为震网病毒的破坏目标不只是离心机,还会针对其他零部件,所以要升级更新,需要有人拿新版本震网U盘久不久插一次 ICS。
信息技术(IT)和运营技术(OT)/工控系统安全之间的差异,加之工控系统不断出现的安全问题和工业物联网(IIoT)的激增,进而推动了一轮新的共识。
NIST,ANSSI,ARC,Garter 集团等都认识到,对于工厂而言,要想维持安全可靠的运营,需要把防止系统误操作提到首要位置,而同时,IT 网络的头等大事则仍然是数据保护。
IT、OT优先性差异
IT 网络安全一直被定义为一整套保护数据机密性、完整性以及可用性的措施。而工控系统网络安全则逐渐被定义为一套能确保物理工控流程以及流控电脑安全可靠运行的措施。
NIST 800-82r2 建议:确保工控系统的网络安全对于安全可靠地运行现代工业流程非常重要。
ARC 顾问团指出:工业流程安全可靠的运行是至关重要的。这也是工业网络安全有别于其他 IT 网络安全项目的原因。
Gartner 则发现,从安全规划和运行角度来看,运营技术环节在设计时的首要因素就是安全和可靠性。与信息技术相比,后者更侧重数据的机密性、完整性和可用性。这种优先性上的差异导致了信息技术(IT)和运营技术(OT)安全计划的不同。在侧重可靠性和安全性的网络时,信息技术风险评估方法就不适用,信息技术安全计划通常也不太适合。
例如,Garter 2017年发表的《运营技术和工业物联网的七大网络安全神话》一文中指出,用 IT 风险评估方法来评估 OT 风险是错误的,而企业也不能一开始就期望一个保护信息的安全架构和设计能解决物理系统的特定需求。
工控系统安全是不同的
在设计工控安全计划时,入侵防御被重视的程度远高于突发安全事故的检测,响应和恢复。而一个预防性的以 OT 为中心的安全方案应包括以下要素:
周边安全——重要的工厂通常都具备强大的物理和网络周边保护。这些地方都不允许公众涉足其敏感物理设备。他们也不允许有人从外网测试其系统查找零日漏洞。
基于功能的设计——保护措施做得好的工业网站会精心设计自己的安全计划,以抵御各种攻击,而不是试图感知特定攻击者的动机。
而 Gartner 在报告中指出,侧重工控系统防御性的原因是——许多运营技术安全的失败会对物理环境产生直接影响,会潜在导致伤亡,环境破坏或服务的大规模中断。虽然 IT 安全出行问题的后果严重并对业务产生威胁,但是 IT 安全的失败很少危及人生安全或财产损失。检测,响应和恢复在工控系统网络中仍然很重要,但是首要的还是预防——毕竟,人身安全,环境灾难和被破坏的物理设备都是不能从备份中恢复的。
单向网关技术
在工控系统网络防火墙连接方面,有记载的各种专家,标准和指导都推荐在工业环境的防火墙中使用单向网关和相关技术。用于工业网络安全的 ANSSI 标准允许在 IT 网络上使用防火墙,但是强烈推荐在 IT/OT 接口使用单向网关,且在连接最敏感工业网络的接口是完全禁用防火墙。
单向网关可极大推进工业物联网的部署。单向网关与防火墙不同,它可以直接将工业网络连接到IT,互联网和云系统,但是不用担心黑客攻击渗透到受保护的工业网络中。
点击
本文来自大风号,仅代表大风号自媒体观点。
