对工业企业而言,ICS攻击意味着宕机和业务损失。对个人而言,这意味着潜在的安全问题和服务损失。对社会而言,则意味着重大安全问题和生产力损失。
工业控制系统计算机应急响应小组(ICS-CERT)、系统管理网络和安全学会(SANS)、火眼及其他安全机构,均对ICS环境的不健康网络安全态势投以了关注,其中包括了很多终端防护上的担忧。比如说,计算机资产(终端)就被认为是ICS公司里的最高风险,对终端漏洞的扫描只有50%( SANS 2016 )。
终端:运营技术(OT) & 信息技术(IT)
工业公司基础设施有两大主体:运营技术(OT) 和信息技术(IT)。我们可以考虑他们是怎么看待终端的。
IT关注公司层面——通常是普渡模型的第4和第5层。这些是通常由首席信息官(CIO)管理的业务信息和交易系统。IT终端是基于IP的台式机、笔记本电脑、移动设备、数据库、应用服务器、Web服务器,以及供应链、订单录入和会计交互。IT终端是高度动态的,经常有更新,经常在互联网和内联网上有新的接入。
鉴于这种动态环境,IT人员通常都对他们IT资产的安全十分关注。考虑到攻击方法的多种多样,终端本身以及对这些终端的访问,都是他们的警惕对象。
ICS运营系统(OT)也涉及到终端——大多都属相似的类别。有应用服务器、数据库服务器、制造系统、资产管理、人机交互系统(HMI)、工程工作站,当然,还有2级控制系统。这些系统中每一个都有操作系统、配置文件、带口令的访问,以及其他因素。OT人员一般不会特别关注安全,因为他们有特殊的环境、协议、信道和专有硬件。
IT灵光乍现时刻
OT和产品系统方面的事务,IT安全经理也十分关注。因为,最终,他们要为这些系统的安全负责。
OT的关注重点在工厂环境的控制、监视过程和设备上。工程和运营管理通常负责处理这些。安全是最优先的,紧跟其后的是工控环境的可用性。IT安全则将机密性列为IT企业环境的重中之重。
OT包括了一系列控制系统:
- 可编程逻辑控制器(PLC)
- 远程终端单元(RTU)
- 智能电子设备(IED)
- 分布式控制系统(DCS)
- 监控与数据采集(SCADA)
- 人机交互界面(HMI)
- 数模转换器(DAC)
总体来说,OT系统没有处在与IT类似的高度动态环境。OT终端多为带专用通信协议的万年不变遗留系统,而且很可能与外界物理隔离。然而,现实是,OT环境中的终端正越来越多地连接到外部世界。
事实上,很多HMI终端都是基于联网PC的,引入了极佳攻击通道。另一个攻击方法,就像在 ICS SANS 2016调查报告中提到的,是IT到OT的连接,这才是关注重点。可以想象一下如果IT终端恶意软件找到侵入OT环境的方法,会是怎样一幅惨状。
IT和OT世界正因着对更高效率的追求而逐渐连接融合在一起。很不幸,这同时也将更大的风险引入了OT环境。
底线:为缓解OT攻击,OT环境中基于PC的终端需要被保护起来,企业应确保IT终端防护良好,以避免攻击越线侵入到OT环境。OT和IT环境中都应树立起总体终端安全策略。
OT&IT:考虑终端安全错误认知
不放思考一下会导致惨痛教训的大量终端安全错误认知。
反病毒(AV)就够了。
确实,AV能提供一定程度的终端防护,但它需要经常的病毒库更新和定期扫描。基于特征码的防护拦不住所有攻击者,不适用于所有终端。
不是所有终端都需要防护。
这是对防护的错觉。终端正越来越多地接入或插入(像U盘一样)网络,构成了攻击界面。
终端防护可自行运行。
面对高级攻击,无论终端还是网络,都需要安全洞见。理解下游攻击的来源,弄清是从网络还是电子邮件链接侵入的,对修复而言特别重要。
用户会按安全方式操作大多数终端。
人是最大的攻击突破口,而OT环境时常不将牵涉到人的操作失误、社交网络和策略缺失当做风险。终端防护必须包含进用户网络安全培训。人为失误,无论是恶意还是无意造成,都是攻击途径的重要组成部分。
我终端的互联网连接是安全的。
并非所有情况都这样,很多过时的连接防护协议都有漏洞。
终端安全毁了我的用户体验。
大多数终端安全已经进化到最小化性能影响了。另一方面,万一你的终端被感染了呢?被感染的话,更有可能见证某些性能问题吧。
终端防护是万灵丹。
网络和终端都考虑到的全面而集成的方法,将有效解决大多数攻击。
对工业企业而言,基本的终端安全卫生是网络安全的基石。这包括:
- 了解你的终端。为你的资产列个清单,硬件、软件、固件,虚拟和物理资产;对它们的配置、OS、协议、通信、访问者、访问时间和访问目的,也要保持可见性。这基本上定义了攻击发生时常涉及到的几个关键领域。
- 理解每一个资产的历史和现有漏洞,以及这些漏洞与你特定环境相关联的风险。(很不幸的情况是,许多攻击都来自于已知漏洞。)
- 取得并维持每一个终端的安全状态和授权配置。只要终端配置不经合理缘由或授权被改动,即便不觉得有侵入迹象或重大影响,也有理由至少调查一下。
- 尽可能实时地侦测到任何未经授权的改动。最起码,这有助于尽早定位故障过程和策略;而最坏情况下,就是尽早找到潜在的恶意行为了。