為何終端防護對ICS如此重要
對工業企業而言,ICS攻擊意味著宕機和業務損失。對個人而言,這意味著潛在的安全問題和服務損失。對社會而言,則意味著重大安全問題和生產力損失。
工業控制系統計算機應急響應小組(ICS-CERT)、系統管理網絡和安全學會(SANS)、火眼及其他安全機構,均對ICS環境的不健康網絡安全態勢投以了關注,其中包括了很多終端防護上的擔憂。比如說,計算機資產(終端)就被認為是ICS公司里的最高風險,對終端漏洞的掃描只有50%( SANS 2016 )。
終端:運營技術(OT) & 信息技術(IT)
工業公司基礎設施有兩大主體:運營技術(OT) 和信息技術(IT)。我們可以考慮他們是怎么看待終端的。
IT關注公司層面——通常是普渡模型的第4和第5層。這些是通常由首席信息官(CIO)管理的業務信息和交易系統。IT終端是基于IP的臺式機、筆記本電腦、移動設備、數據庫、應用服務器、Web服務器,以及供應鏈、訂單錄入和會計交互。IT終端是高度動態的,經常有更新,經常在互聯網和內聯網上有新的接入。
鑒于這種動態環境,IT人員通常都對他們IT資產的安全十分關注。考慮到攻擊方法的多種多樣,終端本身以及對這些終端的訪問,都是他們的警惕對象。
ICS運營系統(OT)也涉及到終端——大多都屬相似的類別。有應用服務器、數據庫服務器、制造系統、資產管理、人機交互系統(HMI)、工程工作站,當然,還有2級控制系統。這些系統中每一個都有操作系統、配置文件、帶口令的訪問,以及其他因素。OT人員一般不會特別關注安全,因為他們有特殊的環境、協議、信道和專有硬件。
IT靈光乍現時刻
OT和產品系統方面的事務,IT安全經理也十分關注。因為,最終,他們要為這些系統的安全負責。
OT的關注重點在工廠環境的控制、監視過程和設備上。工程和運營管理通常負責處理這些。安全是最優先的,緊跟其后的是工控環境的可用性。IT安全則將機密性列為IT企業環境的重中之重。
OT包括了一系列控制系統:
- 可編程邏輯控制器(PLC)
- 遠程終端單元(RTU)
- 智能電子設備(IED)
- 分布式控制系統(DCS)
- 監控與數據采集(SCADA)
- 人機交互界面(HMI)
- 數模轉換器(DAC)
總體來說,OT系統沒有處在與IT類似的高度動態環境。OT終端多為帶專用通信協議的萬年不變遺留系統,而且很可能與外界物理隔離。然而,現實是,OT環境中的終端正越來越多地連接到外部世界。
事實上,很多HMI終端都是基于聯網PC的,引入了極佳攻擊通道。另一個攻擊方法,就像在 ICS SANS 2016調查報告中提到的,是IT到OT的連接,這才是關注重點。可以想象一下如果IT終端惡意軟件找到侵入OT環境的方法,會是怎樣一幅慘狀。
IT和OT世界正因著對更高效率的追求而逐漸連接融合在一起。很不幸,這同時也將更大的風險引入了OT環境。
底線:為緩解OT攻擊,OT環境中基于PC的終端需要被保護起來,企業應確保IT終端防護良好,以避免攻擊越線侵入到OT環境。OT和IT環境中都應樹立起總體終端安全策略。
OT&IT:考慮終端安全錯誤認知
不放思考一下會導致慘痛教訓的大量終端安全錯誤認知。
反病毒(AV)就夠了。
確實,AV能提供一定程度的終端防護,但它需要經常的病毒庫更新和定期掃描。基于特征碼的防護攔不住所有攻擊者,不適用于所有終端。
不是所有終端都需要防護。
這是對防護的錯覺。終端正越來越多地接入或插入(像U盤一樣)網絡,構成了攻擊界面。
終端防護可自行運行。
面對高級攻擊,無論終端還是網絡,都需要安全洞見。理解下游攻擊的來源,弄清是從網絡還是電子郵件鏈接侵入的,對修復而言特別重要。
用戶會按安全方式操作大多數終端。
人是最大的攻擊突破口,而OT環境時常不將牽涉到人的操作失誤、社交網絡和策略缺失當做風險。終端防護必須包含進用戶網絡安全培訓。人為失誤,無論是惡意還是無意造成,都是攻擊途徑的重要組成部分。
我終端的互聯網連接是安全的。
并非所有情況都這樣,很多過時的連接防護協議都有漏洞。
終端安全毀了我的用戶體驗。
大多數終端安全已經進化到最小化性能影響了。另一方面,萬一你的終端被感染了呢?被感染的話,更有可能見證某些性能問題吧。
終端防護是萬靈丹。
網絡和終端都考慮到的全面而集成的方法,將有效解決大多數攻擊。
對工業企業而言,基本的終端安全衛生是網絡安全的基石。這包括:
- 了解你的終端。為你的資產列個清單,硬件、軟件、固件,虛擬和物理資產;對它們的配置、OS、協議、通信、訪問者、訪問時間和訪問目的,也要保持可見性。這基本上定義了攻擊發生時常涉及到的幾個關鍵領域。
- 理解每一個資產的歷史和現有漏洞,以及這些漏洞與你特定環境相關聯的風險。(很不幸的情況是,許多攻擊都來自于已知漏洞。)
- 取得并維持每一個終端的安全狀態和授權配置。只要終端配置不經合理緣由或授權被改動,即便不覺得有侵入跡象或重大影響,也有理由至少調查一下。
- 盡可能實時地偵測到任何未經授權的改動。最起碼,這有助于盡早定位故障過程和策略;而最壞情況下,就是盡早找到潛在的惡意行為了。
