現今ICS面臨的安全形勢十分嚴峻。根據 BAH的調查報告,ICS威脅不論是數量、類型還是風險程度都呈現出快速增長趨勢從造成的後果來說,網絡攻擊擾亂了ICS系統執行,有的甚至對ICS系統造成了物理損害。
由於大部分ICS系統是在網絡威脅出現之前創建的,設計之初並沒有考慮內置外部安全防控措施,所以現階段保障ICS網絡安全並不是一件容易的事。瞭解ICS網絡面臨的主要威脅/三大威脅有助於分析和改善ICS網絡的安全狀況。
一、外部威脅—APT、目標攻擊等
ICS網絡的外部威脅可能與政治敵對勢力(如某個民族、國家、恐怖組織或者黑客行動主義者等)有關,也可能與工業間諜活動有關。它們的動機不同,攻擊的目的也不同。例如,出於政治動機的攻擊目標在於中斷ICS系統執行或者摧毀ICS系統而工業間諜則更關注知識產權的盜用。
今天,大多數的工業部門,特別是涉及關鍵基礎設施的工業部門,更有可能成爲政治動機的攻擊目標,系統執行中斷或系統損毀的風險很高。一旦風險發生,即使是那些不關心APT、不關心定向攻擊的非關鍵基礎設施的工業部門也會受到波及,也會出現連帶損失。因爲出於政治動機的網絡攻擊所利用的技術漏洞通常是所有工業部門都存在的,很可能在無意間影響到非目標組織及其ICS網絡。以著名的攻擊伊朗核設施的震網病毒爲例,按照西門子公司的說法,震網病毒至少入侵了14家企業,包括美國雪佛蘭公司和俄羅斯的民用核電站。
二、內部威脅—員工、承包商等
和IT網絡內部威脅一樣,工業網絡也存在同樣的風險。擁有ICS網絡合法訪問權限的內部威脅包括員工、承包商、第三方集成商等。由於大部分ICS網絡缺乏限制用戶活動的認證或加密機制,用戶可以毫無約束地訪問網絡中的任何設備。
衆所周知的澳洲馬盧奇污水處理廠事件,就是因爲一位參與該廠SCADA系統安裝工作的員工不滿沒有被續聘引起的。這名員工利用無線設備(可能是盜來的)向系統發送了非授權指令,導致80萬公升的污水直接排入當地的公園、河流,甚至漫進酒店大堂,嚴重污染了當地自然環境。
三、人爲失誤—可能是ICS的最大威脅
人爲失誤是無可避免的,但因此付出的代價可能極爲昂貴。對很多組織來說,人爲失誤造成的損失可能比內部威脅更爲嚴重。有些情況下,人爲失誤可以看作是ICS系統的最大威脅。
人爲失誤包括設定錯誤、配置錯誤以及PLC編程錯誤等,人爲失誤造成的漏洞很容易被外部對手利用。例如集成商建立的臨時連接通常在項目結束後還保留着的現象十分普遍,相當於給攻擊者留了一扇門。
有些人爲失誤是因爲員工在工作中採用了“創造性的方法”。比如在需要遠程接入ICS網絡,卻又不提供安全連接的情況下,員工只能自己建立未經授權的遠程連接。這些未經批准的連接就有可能成爲外部攻擊的滲透點,進而暴露出整個ICS系統。
總之,要在內部和外部威脅中保障ICS網絡安全不是件容易的事。首先ICS系統本身不具備任何認證或授權機制其次,多數系統也缺乏訪問控制策略、安全控制策略或者變更管理策略另外,也沒有審計線索或活動日誌、變動日誌供取證調查之用。所以,一旦發生執行中斷事件,很難確切判斷到底是網絡攻擊、內部惡意代碼、人爲失誤還是機械故障引起,制約了操作員及時處理事件的響應能力。
對工業網絡來說,實時可見性是保障ICS安全的關鍵。要防禦外部威脅、內部惡意代碼以及人爲失誤,工業組織應能監控系統所有活動—不論是未知來源還是內部授信者、不論是授權還是非授權。監控系統所有活動,監控無論網絡或設備上企圖更改工業控制器的活動,是檢測源於ICS威脅的非授權活動最有效的方式。
