行業(yè)動態(tài)

工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全的攻擊類型和預(yù)防措施

來源:聚銘網(wǎng)絡(luò)    發(fā)布時間:2020-01-03    瀏覽次數(shù):
 

信息來源:今日頭條

災(zāi)難性事故可能是由不安全的工業(yè)控制系統(tǒng)所造成的后果??梢酝ㄟ^4個步驟來提升整個系統(tǒng)的網(wǎng)絡(luò)安全。

盡管一直以來,網(wǎng)絡(luò)安全是任何行業(yè)都會關(guān)注的主要問題,但人們普遍認(rèn)為攻擊只會導(dǎo)致丟失專有數(shù)據(jù)、成為間諜活動的受害者以及面臨停工的威脅。但是,2017 年的Triton(也稱為Trisis 或HatMan)攻擊,顯示出了嚴(yán)重攻擊的另一方面:可能導(dǎo)致潛在的災(zāi)難性事故。下面讓我們一起了解一下常見的攻擊類型、預(yù)防措施以及改進方法。

傳統(tǒng)上,工業(yè)控制系統(tǒng)(ICS)的設(shè)計都是獨立運行在獨立的控制網(wǎng)絡(luò)上的,很少有人能預(yù)見到網(wǎng)絡(luò)安全所帶來的威脅。但是,隨著工業(yè)領(lǐng)域其它技術(shù)的發(fā)展——包括智能傳感器、無線網(wǎng)關(guān)、遠程管理系統(tǒng)、虛擬化、云計算、智能手機和各種商業(yè)智能需求,這些工業(yè)系統(tǒng)不受外界干擾的可能性會越來越小。

工業(yè)控制系統(tǒng)受外部攻擊的第一個實例是2010 年的Stuxnet,該腳本的設(shè)計旨在破壞運行離心機的工業(yè)控制器的腳本。隨后是2013 年的Havex 攻擊,攻擊目標(biāo)是電網(wǎng)和電力公司;通過它收集大量的數(shù)據(jù)用于間諜和破壞活動。

2015 年出現(xiàn)了兩個威脅:BlackEnergy破壞了工作站上的數(shù)據(jù)和文件,在烏克蘭造成了嚴(yán)重的電力中斷,IronGate 在公共資源上被發(fā)現(xiàn),并具有與Stuxnet 相同的功能。在2016 年,Industroyer 還在烏克蘭造成了嚴(yán)重破壞,其中惡意軟件擦除了數(shù)據(jù)并在網(wǎng)絡(luò)上進行了分布式拒絕服務(wù)(DDoS)攻擊,從而導(dǎo)致烏克蘭電網(wǎng)的關(guān)閉。

Triton 攻擊發(fā)現(xiàn)于2017 年。它的發(fā)現(xiàn),可能避免了一場嚴(yán)重災(zāi)難的發(fā)生。該惡意軟件可以感染Triconex 安全控制器,使黑客可以更改安全參數(shù)。惡意攻擊可能會導(dǎo)致工業(yè)設(shè)備的安全設(shè)定值失效,甚至可能會導(dǎo)致與化工廠爆炸同樣嚴(yán)重的災(zāi)難事件。

了解攻擊源

為了應(yīng)對網(wǎng)絡(luò)安全威脅,第一步是了解攻擊者可能來自何處,因為攻擊者通常會使用偵察作為衡量和了解特定時期內(nèi)目標(biāo)弱點的第一步。從長遠來看,企業(yè)可能會使用攻擊向量分析來識別攻擊者可能使用的不同方法,或者可能傾向使用的系統(tǒng)。所有這些,都需要基于企業(yè)資產(chǎn)業(yè)務(wù)影響分析中出現(xiàn)的風(fēng)險。用戶可以使用一些現(xiàn)成的評估工具,并使用它們將關(guān)鍵資產(chǎn)與非關(guān)鍵資產(chǎn)區(qū)分開并合理化,然后對其進行缺口評估(gap assessment)。

攻擊者的常見切入點包括:

1、來自外部網(wǎng)絡(luò)、因特網(wǎng)和遠程連接,通過企業(yè)資源計劃(ERP)軟件、網(wǎng)關(guān)、數(shù)據(jù)和文檔存儲庫以及在線歷史數(shù)據(jù)庫所進行的入站攻擊;

2、防火墻和網(wǎng)關(guān)配置不正確;

3、用戶通過被盜或偽造的憑證,訪問業(yè)務(wù)工作站和控制計算機;

4、針對生產(chǎn)系統(tǒng)的物理攻擊,在大多數(shù)情況下,這些攻擊是針對人機界面(HMI)、工程師和操作員工作站以及實際過程安全控制器;

5、針對控制網(wǎng)絡(luò)并使用工業(yè)通信協(xié)議的橫向網(wǎng)絡(luò)攻擊,以發(fā)現(xiàn)網(wǎng)絡(luò)上的其它設(shè)備并傳播惡意代碼;

6、社會工程攻擊,其重點是使用個人身份信息來誘騙內(nèi)部人員給予訪問權(quán)限、無意中打開網(wǎng)關(guān)和運行腳本。

網(wǎng)絡(luò)安全預(yù)防措施

每種類型的攻擊都有其自己的預(yù)防措施。通常可以分為以下8 種類型。

01.隔離和細分

利用工具和合格的人員對控制網(wǎng)絡(luò)進行徹底的缺口評估,通??梢园l(fā)現(xiàn)許多不受監(jiān)控的訪問點,而這些訪問點在遵循標(biāo)準(zhǔn)做法來保護控制網(wǎng)絡(luò)時經(jīng)常會被忽略。這些威脅可能源于:

(1)對工程/ 操作員工作站的訪問不受限制;

(2)過時的惡意軟件檢測;

(3)尚未得到保護或?qū)徲嫷牡谌綉?yīng)用程序和連接器;

(4)從控制網(wǎng)絡(luò)導(dǎo)出數(shù)據(jù)時缺乏非軍事區(qū)(DMZ)或數(shù)據(jù)隔離;

(5)連接到公共區(qū)域的關(guān)鍵資產(chǎn)。

02.管理用戶訪問控制

該任務(wù)包括采取措施限制未經(jīng)授權(quán)的訪問以及跟蹤和停止與未經(jīng)授權(quán)的訪問有關(guān)的任何活動。這包括:

(1)加強對未經(jīng)授權(quán)人員訪問的難度;

(2)制定管理政策并嚴(yán)格按照計劃進行更新;

(3)在整個企業(yè)中啟用多因素身份驗證;

(4)白名單、添加預(yù)先批準(zhǔn)的地址、位置和基于端口的警報,以識別人員訪問系統(tǒng);

(5)更改所有密碼和密碼的默認(rèn)值,并定期更新用戶密碼。

03.打補丁頻率

必須定期將所有控制和安全設(shè)備更新到最新的固件版本。雖然例行的非侵入式修補程序是所有關(guān)鍵控制器都應(yīng)采用的方法,但至少應(yīng)在每個年度維護周期內(nèi)進行修補。

04.運行驗證檢查

通過程序、邏輯和可執(zhí)行驗證檢查,確保對邏輯、代碼和腳本的更改都是授權(quán)人員有意進行的更改。模擬的驗證環(huán)境除了可以幫助運行人員在不冒實際物理系統(tǒng)風(fēng)險的情況下在設(shè)備上進行培訓(xùn)之外,還可以幫助監(jiān)控邏輯和參數(shù)的任何不必要的更改??梢允褂霉ぞ邅碜詣訖z測邏輯級別的任何更改,并且可以在受控環(huán)境中執(zhí)行任何此類更改,并保留備份副本,以備在控制器或系統(tǒng)受到威脅時可以恢復(fù)。

05.增加物理安全性

考慮到最近的網(wǎng)絡(luò)安全威脅,現(xiàn)在一些控制系統(tǒng)供應(yīng)商在其控制器上配置了物理鎖,可以防止在未先通過物理安全層的情況下在控制器上執(zhí)行任何其它代碼。

06.網(wǎng)絡(luò)安全培訓(xùn)

網(wǎng)絡(luò)安全威脅的關(guān)鍵部分來自攻擊者,而這些攻擊者往往依賴工廠人員的錯誤。如果沒有所有利益相關(guān)者就位并意識到他們的責(zé)任,就無法充分實施網(wǎng)絡(luò)安全措施。這包括培訓(xùn)人員如何識別攻擊、如何保護其個人身份信息以及如何保護自己免受攻擊。應(yīng)當(dāng)為各級管理人員、執(zhí)行人員、運營技術(shù)(OT)系統(tǒng)管理員和用戶提供此培訓(xùn)。

07.創(chuàng)建事件響應(yīng)計劃

在偶然的情況下,一個奇怪的錯誤或疏忽就會給潛在的攻擊者敞開大門,網(wǎng)絡(luò)安全實施工作需要包括一個可行的計劃,供人員在安全受到破壞或發(fā)現(xiàn)威脅時使用。這些計劃一旦制定,就需要通過定期的培訓(xùn)來實踐,并提供給所有負責(zé)人員,以確保在安全事件發(fā)生時迅速采取行動。

08.持續(xù)更新的資產(chǎn)登記

為降低風(fēng)險,請保留所有列出的運營技術(shù)資產(chǎn)清單的最新記錄,包括交換機、路由器、防火墻、各種網(wǎng)頁服務(wù)、監(jiān)控和數(shù)據(jù)采集(SCADA)軟件、歷史庫服務(wù)器、控制器或任何因特網(wǎng)協(xié)議(IP)可尋址設(shè)備,所有這些都可能使攻擊者找到利用不受管理系統(tǒng)的空間。可以通過網(wǎng)絡(luò)監(jiān)視以獲取最新版本的資產(chǎn)清單,同時可以通過各種工具監(jiān)視修補程序和任何漏洞。

 
 

上一篇:新 USB 數(shù)據(jù)線可關(guān)閉或抹去被盜 Linux 筆記本上的信息

下一篇:英國外匯兌換公司Travelex因遭到惡意軟件攻擊暫停服務(wù)