工業(yè)控制系統(tǒng)網(wǎng)絡(luò)應(yīng)防范“內(nèi)鬼”
2017年09月01日
來自內(nèi)部的安全威脅可能比很多外部攻擊更強(qiáng)烈�����,更有破壞力�����。對(duì)于管理著關(guān)鍵基礎(chǔ)架構(gòu)和制造過程的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)來說����,尤其如此。一個(gè)不懷好意的雇員或是了解工廠并能夠訪問網(wǎng)絡(luò)的前雇員就可以引起多種破壞�,從而導(dǎo)致產(chǎn)品損壞、財(cái)務(wù)損失���、設(shè)備破壞�,甚至威脅人的生命��。
例如����,一個(gè)對(duì)某公司不滿的作為系統(tǒng)管理員的前雇員使用其VPN(未被撤銷)登錄進(jìn)入了工業(yè)控制系統(tǒng)網(wǎng)絡(luò)。然后安裝了自己的軟件����,并且對(duì)工業(yè)控制系統(tǒng)進(jìn)行了未授權(quán)的更改����。這種蓄意破壞造成了大量的損失,也產(chǎn)生了大量的廢品。在造成的損失被檢測并逮捕此作惡者之前����,這種破壞延續(xù)了長達(dá)兩周時(shí)間。
工業(yè)控制系統(tǒng)網(wǎng)絡(luò)更易遭受內(nèi)部攻擊
對(duì)于工業(yè)控制系統(tǒng)網(wǎng)絡(luò)的漏洞而言�����,如下要點(diǎn)值得注意:
1. 對(duì)工業(yè)控制系統(tǒng)的遠(yuǎn)程訪問很尋常
雖然對(duì)運(yùn)營技術(shù)網(wǎng)絡(luò)和設(shè)備的外部連接可以提升工作效率��,卻也產(chǎn)生了新的攻擊面�。遠(yuǎn)程訪問往往是由工程師實(shí)施的,其目的是為了促進(jìn)特定項(xiàng)目的進(jìn)展�,或是其它特定需要。然而�,很多情況下,在項(xiàng)目結(jié)束后�,卻無人監(jiān)視這種訪問的使用。由此造成了對(duì)這些環(huán)境的惡意的和危險(xiǎn)的訪問�。
有些企業(yè)曾經(jīng)相信:只要將工業(yè)網(wǎng)絡(luò)和IT網(wǎng)絡(luò)及外部的互聯(lián)網(wǎng)分離開,就可以高枕無憂���,但如今���,企業(yè)也不再相信那些過時(shí)的安全措施。今天,攻擊和漏洞幾乎無處不在�,由此使得內(nèi)部人員和外部攻擊可以攻擊工業(yè)控制系統(tǒng)網(wǎng)絡(luò)。
2. 工業(yè)控制系統(tǒng)網(wǎng)絡(luò)缺乏傳統(tǒng)的IT安全控制和監(jiān)視
由于缺乏這種控制���,工業(yè)控制系統(tǒng)網(wǎng)絡(luò)的管理員就無法強(qiáng)化訪問��、安全和對(duì)相關(guān)更改進(jìn)行管理的策略�����。還有另一個(gè)問題:這些網(wǎng)絡(luò)并沒有可供獲取的日志或蹤跡����,也就無法知道誰在什么時(shí)間訪問了網(wǎng)絡(luò)以及此人做了哪些更改���。
因而����,在發(fā)生事件并導(dǎo)致了運(yùn)營中斷時(shí)���,企業(yè)會(huì)發(fā)現(xiàn)要決定攻擊源幾乎是不可能的�����??梢曅缘娜狈ψ柚沽斯蛦T進(jìn)行快速響應(yīng)��,也帶來了高昂的成本�。
3. 無法洞察對(duì)過程控制器的更改
工業(yè)控制系統(tǒng)網(wǎng)絡(luò)往往缺乏事件日志或?qū)徲?jì)線索,因而在對(duì)關(guān)鍵控制設(shè)備做出更改后����,就無法提供信息。這種變更可能不僅是由雇員做出的�����,還可以由集成商或是在本地工作的第三方承包商做出���。如果上述任何一方對(duì)這些系統(tǒng)做出了惡意的變更��,要檢測出來就非常困難�����,而且可能導(dǎo)致設(shè)備被關(guān)閉���,直至問題得以解決����。
這個(gè)盲點(diǎn)可以很輕易地就被一個(gè)別有用心的內(nèi)部人員或前雇員所利用��。
需要什么才能檢測內(nèi)部攻擊?
1. 實(shí)時(shí)監(jiān)視工業(yè)控制系統(tǒng)活動(dòng)
企業(yè)需要對(duì)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)進(jìn)行專門的監(jiān)視和控制技術(shù)��,從而為可疑或惡意活動(dòng)提供深度的實(shí)時(shí)洞察�,并采取預(yù)防性的行動(dòng)以限制或阻止破壞。這種監(jiān)視包括監(jiān)視特定廠商的私有控制協(xié)議(可用來對(duì)工業(yè)控制器做出工程上的變更)���。此外�����,對(duì)經(jīng)由直接的物理訪問對(duì)關(guān)鍵控制設(shè)備做出的更改進(jìn)行捕捉也非常重要��,因?yàn)檫@些設(shè)備無法通過網(wǎng)絡(luò)實(shí)施監(jiān)視���。
2. 檢測異常、惡意活動(dòng)和未授權(quán)的訪問
為確認(rèn)異常通信和惡意活動(dòng)���,例如��,惡意軟件通過網(wǎng)絡(luò)傳播�����、對(duì)關(guān)鍵設(shè)備的非法變更����、未經(jīng)授權(quán)的控制工程活動(dòng)等����,企業(yè)需要精細(xì)的安全策略。
3. 檢測經(jīng)由可信的內(nèi)部人員做出的未經(jīng)授權(quán)的變更
除了檢測異常��,企業(yè)還應(yīng)當(dāng)能夠跟蹤對(duì)控制器的所有訪問�,并且為了確認(rèn)人為錯(cuò)誤和未授權(quán)的變更,還要查看所發(fā)生的全部變化�����。
正如對(duì)網(wǎng)絡(luò)攻擊一樣����,通過監(jiān)視、觀察����、警告�、審計(jì)等活動(dòng)��,企業(yè)可以在損害發(fā)生之前就檢測并減輕內(nèi)部人員威脅�。
轉(zhuǎn)載自:http://netsecurity.51cto.com/art/201709/550038.htm
江蘇國駿信息科技有限公司在信息網(wǎng)絡(luò)安全、運(yùn)維平臺(tái)建設(shè)�����、動(dòng)漫設(shè)計(jì)��、軟件研發(fā)���、數(shù)據(jù)中心領(lǐng)域具備十多年的行業(yè)沉淀��。公司遵循信息安全整體性的IATF模型��,從“人員素養(yǎng)”����、“制度流程”�、“技術(shù)產(chǎn)品”三個(gè)視角提供全面、可信的方案����,業(yè)務(wù)涵蓋咨詢��、評(píng)估��、規(guī)劃���、管控、建設(shè)����、培訓(xùn)等���。
