工控安全三個基本點
工業(yè)世界聯(lián)網(wǎng)程度的提升有一個關鍵問題:如果發(fā)生網(wǎng)絡攻擊且攻擊成功,后果不堪設想,比如,網(wǎng)絡罪犯入侵計算機系統(tǒng)并切斷城市供電或供水。而且,不僅網(wǎng)絡犯罪團伙會盯上ICS,民族國家黑客也常將ICS列為攻擊敵對國關鍵基礎設施的入口點。
正如2017年6月NotPetya數(shù)據(jù)清除惡意軟件爆發(fā)所展現(xiàn)的,ICS已經(jīng)成為網(wǎng)絡犯罪的主要目標。然而,很多工控設備都面臨安全措施老化過時的風險,需要進行替換或升級。如何應對ICS面臨網(wǎng)絡攻擊風險的事實?公共事業(yè)機構該從哪里開始防御這種之前從未考慮過的威脅?
為確保ICS能抵御今天的在線安全威脅,公司企業(yè)需采取足夠的措施以創(chuàng)建有效工業(yè)安全項目并合理排定企業(yè)風險優(yōu)先級。這聽起來似乎是令人生畏的浩大工程,但健壯的多層安全方法可以分解為基本的3步:1) 保護網(wǎng)絡;2) 保護終端;3) 保護控制器。
一、保護網(wǎng)絡
工業(yè)公司應確保自身網(wǎng)絡設計良好,有著防護周全的邊界。企業(yè)應按 ISA IEC 62443 標準劃分自身網(wǎng)絡,保護所有無線應用,部署能快速排除故障的安全遠程訪問解決方案。公司網(wǎng)絡,包括其工業(yè)網(wǎng)絡基礎設施設備,都應列入監(jiān)視對象范圍。
二、保護終端
運營技術(OT)團隊可能會覺得公司的終端受到邊界防火墻、專利安防軟件、專業(yè)協(xié)議和物理隔離的防護,可以抵御數(shù)字攻擊。但事實不是這樣的,雇員、承包商和供應鏈員工將他們的筆記本電腦或U盤帶入企業(yè)網(wǎng)絡時,這些安全防護措施就被繞過了。
必須確保所有終端都是安全的,要防止員工將自己的設備接入公司網(wǎng)絡。事實上,黑客可以侵入OT環(huán)境中基于PC的終端。公司企業(yè)還應保護其IT終端不受OT環(huán)境中橫向移動的數(shù)字攻擊侵襲。
購買資產(chǎn)發(fā)現(xiàn)產(chǎn)品,或者實現(xiàn)網(wǎng)上終端清點過程,是保護終端安全的不錯開端。可以定義控制措施和自動化以確保防護到位。然后公司企業(yè)必須保證每臺終端上的配置是安全的,并監(jiān)視這些終端以防遭到未授權修改。
總體上,IT和OT環(huán)境通用的解決方案是公司企業(yè)明智的選擇。應定義一個足夠靈活的安全平臺,既能夠深度覆蓋IT,又適用于敏感的OT環(huán)境。
三、保護控制器
每個工業(yè)環(huán)境都有其物理系統(tǒng)——致動器、校準器、閥門、溫度感應器、壓力傳感器一類機械裝置。這些與現(xiàn)實世界交互的物理系統(tǒng)被稱為控制器,也就是橋接物理系統(tǒng)控制和網(wǎng)絡指令接收行為的特殊計算機。很多案例中惡意黑客都曾獲取過這些設備的控制權,引發(fā)設備故障,造成物理破壞,或對公司的損害。不過,如果僅僅是能訪問而不能控制,惡意黑客也無法直接造成破壞。
通過加強檢測能力和對ICS修改及威脅的可見性,實現(xiàn)脆弱控制器的安全防護措施,監(jiān)視可疑訪問及控制修改,以及及時檢測/控制威脅,公司企業(yè)可有效防止工業(yè)控制器遭到數(shù)字攻擊。
網(wǎng)絡犯罪已成當今世界發(fā)展最快的產(chǎn)業(yè)之一。其范圍涵蓋僅僅出于好玩就發(fā)起攻擊的腳本小子,以及像跨國公司一樣運營的犯罪組織。隨著ICS成為網(wǎng)絡罪犯的主要目標,公司企業(yè)需采取措施做好ICS對數(shù)字威脅的防護。而要做好防護,就需要重點放在網(wǎng)絡安全、終端安全和工業(yè)控制器安全的多層安全措施。
責任編輯:任我行