美国内政部监察长办公室最近公布一份报告,报告对美国垦务局(USBR)运营的5座水电站大坝进行了评估,并将这些大坝认定为“关键基础设施”。
USBR是美国第二大水力发电生产商,其水电站供应着美国350万家庭的生产生活用电。有鉴于USBR的服务规模,针对他们的网络威胁也就可能导致深远的影响了。尤其是控制着大坝物理输出的ICS,一旦遭到破坏性网络攻击,甚至可能危及国家安全。
这份评估报告的一个关键发现是,水电站大坝面临的主要风险并非来自于外部网络攻击活动,而是出自内部因素。换句话说,这些水利大坝最大的网络威胁是他们的员工和前员工。
该为这些漏洞负直接责任的,是USBR的账户管理和人员安全操作,这其中存在与ICS系统管理员访问权限、口令安全及背景核查上的诸多问题。即便ICS与公网和公司业务系统断开,此类内部威胁仍可对ICS造成极大安全风险。
系统管理员访问权限
水利大坝ICS系统的主要问题之一,来自其管理员访问权限的控制与监视方式。评估发现,USBR运营中心25名员工中的大多数,都至少掌握有一个不在其职权范围内的ICS账户;有系统管理员权限的13名员工中仅5人身负官方认定的ICS管理职责。
根据美国国家标准与技术局(NIST)设立的原则,为保证最高级别的内部安全性,应实施“最小权限”原则(意味着仅有身负相关工作职责的员工才可以拥有相应访问权限)。
另外,USBR授权了近20个ICS组账户,每一个都具有系统管理员权限,但却没有任何一个按照NIST的强制要求实现了持续监视。
弄到了组权限的恶意攻击者完全可以更改关键系统程序和日志,获取ICS访问权,安装上恶意软件。
口令安全
员工未遵守部门强制规定每60天更改一次口令,是本次评估中发现的另一个主要威胁。这倒是暗合了对口令安全知之甚少也懒得学习网络安全最佳实践的美国大多数民众的标准做法。
被评估的30个ICS管理员账户中,有10个一年多来未修改过其口令。另外,30个ICS管理员账户的9个和18个组账户的7个至少有1年未被使用过了。没有及时注销未使用账户可能会让这些账户成为网络攻击的切入点。
定期口令更改的缺乏,有部分原因在于使用了太多组账户;在所有用户间协调共享账户访问权限相当困难,因而往往直接被无视。更糟的是,员工离职时,与其账户及组账户相关的口令也未修改,又增可被利用的额外漏洞。
背景核查
水利大坝ICS风险的又一主要因素,是缺乏足够的背景核查与人员安全操作。具系统管理员权限的13名USBR员工中,仅11名完成了2级背景调查,而USBR的人员安全手册要求的是所有此类员工必须通过至少该级别的背景调查。
而且,一旦入职,被赋予了ICS管理员权限的用户就不再接受2012年联邦调查标准中规定的持续评估了。
接下来怎么做
USBR的ICS安全出现了很多漏洞是事实,但仍可采取措施来缓解风险,比如报告中列出的这些:
- 根据职责所需控制ICS管理员权限的发放。
- 删除所有具ICS管理员权限的组账户并确保不再创建非必要的组账户。
- 员工离职或岗位调动时删除其ICS管理员账户。
- 确保员工定期修改其ICS账户口令。
- 强化背景审查过程并推进后续定期审查。
只要实现了上述措施,水利大坝及其用户的安全性都会得到显著提升,国家安全也会获得相应的保障。
【本文是51CTO专栏作者“”李少鹏“”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】