工控设备系统网络安全的四大误区. 2021-02-26
尽管人们在防范工控系统网络攻击方面的意识在逐渐加强,但是现有的很多网络安全防护框架仍然依赖于过时的安全性理念,即物理上独立的网络系统是足够安全的、通过信息隐匿的方式可有效地进行网络威胁安全防护等。目前,关于工控网络系统安全主要存在四大误区。
一项在某代表性能源公司内部进行的调查显示,大部分的管理部门认为公司内的控制系统并没有连接互联网,然而,调查和审计显示89%的控制系统是联网的。
另外,工控网络系统有时在企业网络和互联网之间采用多种连接类型,包括内部连接、直连、无线连接以及拨号连接。这些拼凑型的网络连接方式使得工控系统非常开放。以Slammer蠕虫病毒为例,该蠕虫可在3秒内以全扫描速度(55million/秒)攻击多种类的基础设施,例如紧急服务、空管系统、ATM等。这正是由于互联网的开放性能而致。然而,讽刺的是唯一减缓蠕虫病毒攻击速率的却是网络带宽。
防火墙为工控网络系统提供了一定程度的安全防护,然而,这不能使得工控系统无懈可击。在一项针对金融、能源、通信、媒体行业使用的37种防火墙进行调研中,人们发现:
(1)大约80%的防火墙是允许入站规则内的“一切”服务,包括不安全的访问侵入防火墙和非保护区域;
(2)大约70%的防火墙允许网络外围的设备访问并控制防火墙。
近期,SCADA和处理控制系统成为了黑帽技术大会(Black Hat)的共同主题。对于黑客们来说,网络犯罪是非常有利可图的。例如,几乎不耗周期的一次攻击获取的信息可以80k美元卖给犯罪组织。同时,由于以下原因,黑客逐渐具有了攻击工控系统的能力。
(1)不少蠕虫病毒都是为特定的目标和应用量身定制的。
(2)现有的SCADA规范可以随处购买或从网络上获取,这也为黑客在一定程度上理解SCADA规范提供了便利。
(3)Shodan搜索引擎很容易定位不安全的工控设备和系统,同时,很多被攻击的系统仍采用低安全系数的用户名和密码,例如“windows”,“123456”。
这是一个很危险的意识。首先,我们的系统并不是一定会成为攻击目标,但是会变成受害者。80%的工控网络安全事件都是无意中发生的,却是极具危害性。仍以Slammer蠕虫病毒为例,该病毒目的在于尽可能多地击倒所有网络系统中的所有设备,而并不是针对性地袭击某个能源公司或者紧急设备。然而,该病毒的侵入对这些紧急设备造成了重要危害。另外,由于很多工控系统基于不安全的操作系统,使得这些工控系统很容易暴露在网络攻击中。
所以,针对工控网络安全防护,我们可以做些什么?为了抵抗工控网络攻击,安全防护系统需要符合特定的要求。其中,基于网络边界的防护方法是工控网络安全的第一道重要防线。另外,人们必须对网络内的脆弱系统和易成为攻击目标的设备进行安全防护。
由于网络安全犯罪活动的频率和复杂度不断增长,工控网络安全防护系统必须进行持续审查和重新评估,任何关于工控网络安全的固定认知也需要不断的更新或改变。