欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

做了这么多年的兄弟,才知道我们不一样!请不要将工控系统中的IT(信息技术)和OT(运营技术)的安全保护混淆!

来源:本站整理 作者:佚名 时间:2019-08-07 TAG: 我要投稿

在工业控制系统(ICS)的安全管理中,安全管理通常被分为3大块:物理设备的安全、IT安全和运营安全(工厂安全和系统完整性)。
如今在工业控制系统(ICS)的安全管理中,信息技术(IT)安全测试变得越来越自动化,尽管我们仍然远远不能以这种自动化方式完成全部的安全事情,但这个趋势已经不可避免。不过这也带来了一个问题,就是安全管理也来越复杂。比如,许多专有名词也被发明了出来,SCADA,ICS,OT,DCS ……这一大堆名词,往往就容易被搞混,而这也让设施运营者更难以发现并响应安全事件。
而且,现代运营往往横跨复杂IT(信息技术)和OT(运用技术)基础设施,通常涵盖成千上万的设备,且这些设备越来越多地通过工业物联网(IIoT)互联,这就给工业环境安全带来了新的挑战:让工业控制系统安全威胁更难以检测、调查和修复。
在现有一些工业操作中,两者却常被割裂,被认为IT安全由网络运维团队负责,OT安全则由操作员或业务员负责。而面向OT系统的安全威胁更是常被忽视掉。这不仅由于OT中的安全程序和技术应用与IT系统大相径庭,还由于每个垂直行业业务特征存在较多差异。可实际上OT系统面临的问题与IT系统同样严峻。
以下就是工业控制系统中常提及的重要术语:
· IT:信息技术,这是用于存储,检索或传输信息的硬件和软件;
· OT:运营技术,这是监视或触发物理设备变化的硬件和软件,将在本文中用于指代ICS系统的组件设备;
· WAN:广域网;这是一个主要用于计算机网络的网络,它扩展到很大的地理区域;
· CNI:关键的国家基础设施,系统(包括IT和OT)和对社会功能至关重要的资产;
· ICS:工业控制系统,这些是控制复杂且通常是危险的物理过程的计算机系统,可以细分为两个不同的类别——监督控制和数据采集(SCADA)系统和分布式控制系统(DCS);
· SCADA:监控和数据采集系统,这些是跨越广域网(WAN)的ICS类型,通常是最常用于(错误地)引用所有类型的ICS的术语;
· DCS:分布式控制系统,这些是不涉及WAN的ICS类型;
· HMI:人机界面,这是一个用户界面,使人们能够与设备或系统进行交互,这是一个最常用于ICS接口的术语;
· PLC:可编程逻辑控制器,这些是OT中使用的小型计算机,它使用高度专业化的操作系统来实时处理事件;
· IIoT:工业物联网,这个术语通常用于指将OT连接到互联网的趋势;
目前,所有ICS系统中涉及的OT通常都很老,而且传统的基于IT的网络安全方法并不能保证OT的安全。
因此,人们越来越关注保护这些OT系统,但这通常是通过简单地调整或重新使用基于IT系统的安全测试工具、技术和方法。本文将高屋建瓴的探讨这种方法所存在的问题以及需要进行的更改。
OT安全事件简史

影响OT(主要在ICS系统中)的安全事件,无论是故意的还是意外的,都可以会发生,不过频率不是很高。不过一旦发生,企业的损失就相当大。例如,卡巴斯基实验室的白皮书“2017年工业网络安全状况”将企业的平均累计成本定为347603美元(265881英镑),所含费用包括事件的后果和所需的补救措施,超过一半的受访企业承认在过去十二个月内至少发生过一起攻击事件。相比之下,在2018年的后续调查报告中,则只有不到一半的参与调查的公司承认发生过安全事故,这表明OT系统的安全性正在提高。然而,损失成本仍然很高,这里的成本不仅仅是财务成本。
本文中所指的安全事件包括以下3大类:
1.外部攻击者故意采取的规避安全措施或者破坏系统正常运行的行为;
2.员工故意进行的恶意行为,其目的是规避安全措施或破坏系统的正常运行;
3.由员工的意外行为所造成的破坏系统正常运行的事件;
值得注意的是,目前很难确定ICS系统遭遇攻击的准确数字。因为目前只有30%的公司被强制要求向监管机构报告安全事件,不过随着GDPR法规的颁布,这个数字会有所提升。即使数据有限,我们也可以列出一些有重大影响的安全事件:
2004年的Sterigenics国际公司医用品灭菌装置环氧乙烷爆炸事故,事故发生时,维护人员通过输入密码跳过了计算机控制的保障措施,导致灭菌柜门过早打开,造成含有环氧乙烷(EthyleneOxide, EO)的爆炸性混合物通过灭菌柜通风系统被排放到催化氧化器(内有明火)中,环氧乙烷立即被点燃,火焰通过通风导管迅速回窜到灭菌柜中,造成约22.7kg环氧乙烷被点燃,并发生剧烈爆炸。事后统计,造成超过2700万美元的财产损失。
2010年的伊朗“震网(Stuxnet)”病毒事件,2010年9月,伊朗称布什尔核电站部分员工电脑感染了一种名为“震网”的超级电脑蠕虫病毒。这种病毒可以悄无声息地潜伏和传播,并对特定的西门子工业电脑进行破坏。
该病毒旨在针对特定的ICS系统并破坏PLC, “震网”一开始只是静静地潜伏在普通的个人电脑上,通过USB接口无声无息地感染着一个个U盘,直到某一天某个中毒的U盘被插到绝密的、与互联网物理隔离的核工厂内部电脑上,才骤然发作,快速感染整个局域网。
“震网”使用了之前未被发现的微软Windows软件漏洞即“0 day”漏洞,其破坏力令反病毒研究者都叹为观止。据《纽约时报》披露,“震网”病毒2008年由美国和以色列情报机构合作研制,2010年正式投放到了伊朗。导致了2010年伊朗纳坦兹核基地的大约8000台离心机里有1000台发生故障,国际原子能机构称,伊朗在2010年11月中旬暂停了铀浓缩活动。
2014年德国的一个钢铁厂,遭受到高级持续性威胁(APT)攻击。攻击者使用鱼叉式钓鱼邮件和社会工程手段,获得钢厂办公网络的访问权。然后利用这个网络,设法进入到钢铁厂的生产网络。攻击者的行为导致工控系统的控制组件和整个生产线被迫停止运转,由于不是正常的关闭炼钢炉,从而给钢厂带来了重大破坏。有安全研究人员表示,攻击者可能通过人机交互界面或其他控制系统,直接连接到工厂造成的破坏。

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载