工業(yè)控制系統(tǒng)網(wǎng)絡應防范“內(nèi)鬼”
http://www.mozp.cn來自內(nèi)部的安全威脅可能比很多外部攻擊更強烈,更有破壞力。對于管理著關鍵基礎架構和制造過程的工業(yè)控制系統(tǒng)網(wǎng)絡來說,尤其如此。一個不懷好意的雇員或是了解工廠并能夠訪問網(wǎng)絡的前雇員就可以引起多種破壞,從而導致產(chǎn)品損壞、財務損失、設備破壞,甚至威脅人的生命。
例如網(wǎng)絡安全 一個對某公司不滿的作為系統(tǒng)管理員的前雇員使用其VPN(未被撤銷)登錄進入了工業(yè)控制系統(tǒng)網(wǎng)絡。然后安裝了自己的軟件網(wǎng)絡安全 并且對工業(yè)控制系統(tǒng)進行了未授權的更改。這種蓄意破壞造成了大量的損失工業(yè)控制系統(tǒng),也產(chǎn)生了大量的廢品。在造成的損失被檢測并逮捕此作惡者之前工業(yè)控制系統(tǒng),這種破壞延續(xù)了長達兩周時間。
工業(yè)控制系統(tǒng)網(wǎng)絡更易遭受內(nèi)部攻擊
對于工業(yè)控制系統(tǒng)網(wǎng)絡的漏洞而言工業(yè)控制系統(tǒng),如下要點值得注意:
1. 對工業(yè)控制系統(tǒng)的遠程訪問很尋常
雖然對運營技術網(wǎng)絡和設備的外部連接可以提升工作效率,卻也產(chǎn)生了新的攻擊面。遠程訪問往往是由工程師實施的,其目的是為了促進特定項目的進展,或是其它特定需要。然而,很多情況下,在項目結(jié)束后,卻無人監(jiān)視這種訪問的使用。由此造成了對這些環(huán)境的惡意的和危險的訪問。
有些企業(yè)曾經(jīng)相信:只要將工業(yè)網(wǎng)絡和IT網(wǎng)絡及外部的互聯(lián)網(wǎng)分離開,就可以高枕無憂,但如今,企業(yè)也不再相信那些過時的安全措施。今天,攻擊和漏洞幾乎無處不在,由此使得內(nèi)部人員和外部攻擊可以攻擊工業(yè)控制系統(tǒng)網(wǎng)絡。
2. 工業(yè)控制系統(tǒng)網(wǎng)絡缺乏傳統(tǒng)的IT安全控制和監(jiān)視
由于缺乏這種控制,工業(yè)控制系統(tǒng)網(wǎng)絡的管理員就無法強化訪問、安全和對相關更改進行管理的策略。還有另一個問題:這些網(wǎng)絡并沒有可供獲取的日志或蹤跡,也就無法知道誰在什么時間訪問了網(wǎng)絡以及此人做了哪些更改。
因而,在發(fā)生事件并導致了運營中斷時,企業(yè)會發(fā)現(xiàn)要決定攻擊源幾乎是不可能的。可視性的缺乏阻止了雇員進行快速響應,也帶來了高昂的成本。
3. 無法洞察對過程控制器的更改
工業(yè)控制系統(tǒng)網(wǎng)絡往往缺乏事件日志或?qū)徲嬀€索,因而在對關鍵控制設備做出更改后,就無法提供信息。這種變更可能不僅是由雇員做出的,還可以由集成商或是在本地工作的第三方承包商做出。如果上述任何一方對這些系統(tǒng)做出了惡意的變更,要檢測出來就非常困難,而且可能導致設備被關閉,直至問題得以解決。
這個盲點可以很輕易地就被一個別有用心的內(nèi)部人員或前雇員所利用。
需要什么才能檢測內(nèi)部攻擊?
1. 實時監(jiān)視工業(yè)控制系統(tǒng)活動
企業(yè)需要對工業(yè)控制系統(tǒng)網(wǎng)絡進行專門的監(jiān)視和控制技術,從而為可疑或惡意活動提供深度的實時洞察,并采取預防性的行動以限制或阻止破壞。這種監(jiān)視包括監(jiān)視特定廠商的私有控制協(xié)議(可用來對工業(yè)控制器做出工程上的變更)。此外,對經(jīng)由直接的物理訪問對關鍵控制設備做出的更改進行捕捉也非常重要,因為這些設備無法通過網(wǎng)絡實施監(jiān)視。
2. 檢測異常、惡意活動和未授權的訪問
為確認異常通信和惡意活動,例如,惡意軟件通過網(wǎng)絡傳播、對關鍵設備的非法變更、未經(jīng)授權的控制工程活動等,企業(yè)需要精細的安全策略。
3. 檢測經(jīng)由可信的內(nèi)部人員做出的未經(jīng)授權的變更
除了檢測異常,企業(yè)還應當能夠跟蹤對控制器的所有訪問,并且為了確認人為錯誤和未授權的變更,還要查看所發(fā)生的全部變化。
正如對網(wǎng)絡攻擊一樣,通過監(jiān)視、觀察、警告、審計等活動,企業(yè)可以在損害發(fā)生之前就檢測并減輕內(nèi)部人員威脅。