工控安全要避開傳統(tǒng)IT安全思路的幾個(gè)“暗坑”
很多人都在講工控系統(tǒng)安全與互聯(lián)網(wǎng)安全或者辦公網(wǎng)的安全又很大的不同。 具體有哪些不同呢? 其實(shí)NIST的SP800-82的工控系統(tǒng)安全指南里面講了10大類。 作為目前我們看到的比較系統(tǒng)的工控系統(tǒng)安全的標(biāo)準(zhǔn)或者指南來說。 NIST的這個(gè)文件概括的還是比較全面的。 不過, 在實(shí)踐中,有些重要的不同點(diǎn)NIST并沒有提到或者沒有強(qiáng)調(diào) 而有些NIST的指南則未免有些紙上談兵。 這里我舉幾個(gè)例子。
安全實(shí)施與設(shè)備管理在不同部門導(dǎo)致的責(zé)任問題
在互聯(lián)網(wǎng)或者企業(yè)網(wǎng)里, 所保護(hù)的對(duì)象比如服務(wù)器,存儲(chǔ),網(wǎng)絡(luò)設(shè)備等的管理一般屬于IT部門。 而實(shí)施網(wǎng)絡(luò)安全方案的也是IT部門。 而在工控系統(tǒng)的安全里, 一般來說安全也是由IT部門主導(dǎo), 而設(shè)備則是由另外的部門來管理。 比如在電網(wǎng)有所謂的OT部門。 在化工企業(yè)可能是設(shè)備處等等。 總之, 工控系統(tǒng)設(shè)備不歸IT部門管。 有很多時(shí)候, IT部門的人員甚至都進(jìn)不了工控機(jī)房。
這樣帶來了工控系統(tǒng)安全產(chǎn)品開發(fā)和銷售中的一個(gè)很大的挑戰(zhàn)。
首先是責(zé)任劃分問題, 也就是說出了事誰負(fù)責(zé)的問題。 IT系統(tǒng)安全很簡(jiǎn)單, 出了事就是IT部門的事。 而在工控系統(tǒng)安全中,就存在責(zé)任劃分問題。 “要是裝了你的安全方案后出了問題算誰的?”設(shè)備部門的第一個(gè)問題往往就是這個(gè)。 如果沒有一個(gè)很好的技術(shù)和管理結(jié)合的解決方案,控安全的方案就很難在企業(yè)真正大規(guī)模推廣開。
其次, 在工控系統(tǒng)安全方案中, 客戶對(duì)于生產(chǎn)系統(tǒng)的可持續(xù)性(continuity)的要求要大大高于IT安全的方案。 對(duì)一些大型工控系統(tǒng),停一次機(jī)的損失就得幾千萬人民幣或者幾百萬美元, 客戶的生產(chǎn)部門對(duì)于由于安全方案需要的停機(jī)就特別反感, 尤其是在沒有現(xiàn)實(shí)的威脅的情況下, 很難說服客戶去做大規(guī)模的停機(jī)升級(jí)。 那么, 很多針對(duì)IT系統(tǒng)安全的方案比如升級(jí)或者補(bǔ)丁等就不一定合適。 且不說很多工控系統(tǒng)出于系統(tǒng)穩(wěn)定性的考慮, 根本不允許進(jìn)行補(bǔ)丁升級(jí)。 這樣就要求我們不得不在網(wǎng)絡(luò)層根據(jù)流量模式進(jìn)行相應(yīng)的防御。
工控系統(tǒng)的“縱深防御“存在很大困難, 邊界安全非常重要
“縱深防御”是互聯(lián)網(wǎng)和企業(yè)安全的一個(gè)很重要的策略。 在NIST的指南里也提到要采用“縱深防御“的策略。 不過, 從實(shí)踐上來看, 在現(xiàn)階段工控系統(tǒng)架構(gòu)和設(shè)計(jì)不能做出重大改變的情況下,”縱深防御“很難實(shí)施,而邊界安全其實(shí)更加重要。
首先是工控系統(tǒng)的主機(jī)防御有很大困難, 很多主機(jī)系統(tǒng)非常老舊,漏洞非常多。 我們甚至在客戶的工控系統(tǒng)中看到過Windows98的系統(tǒng)。 而由于存在升級(jí)的困難(事實(shí)上, 很多主機(jī)系統(tǒng)運(yùn)行了超過10年, 都找不到相應(yīng)的升級(jí)補(bǔ)丁)。
其次, 工控系統(tǒng)從設(shè)計(jì)上不是一個(gè)通用計(jì)算系統(tǒng), 設(shè)計(jì)的資源余量很少, 除了干工控系統(tǒng)本身的事之外, 從主機(jī)到網(wǎng)絡(luò)都很少有冗余的資源進(jìn)行其他工作。 不要說病毒, 就是一個(gè)掃描程序都可能導(dǎo)致工控系統(tǒng)的資源枯竭而導(dǎo)致問題。
在此情況下, 工控系統(tǒng)內(nèi)部其實(shí)是一個(gè)資源緊張, 漏洞百出的系統(tǒng)。 而且是短時(shí)間內(nèi)無法改變的狀況。 在此種情況下進(jìn)行工控系統(tǒng)安全的防御, 只能從邊界安全上做文章。
而邊界安全來說, 傳統(tǒng)企業(yè)安全的防火墻等方案并不能解決問題。 因?yàn)楹芏嗫蛻籼岢龅乃^“安全隔離”, 其實(shí)并不能真正的隔離工控系統(tǒng)與外界的通信。 有很多工控系統(tǒng)的運(yùn)行需要與辦公網(wǎng)進(jìn)行數(shù)據(jù)交流。 比如很多生產(chǎn)調(diào)度是要在辦公網(wǎng)進(jìn)行的。 有些辦公系統(tǒng)應(yīng)用需要從工控系統(tǒng)中或者實(shí)時(shí)數(shù)據(jù)庫中取數(shù)據(jù)(比如商業(yè)分析, 生產(chǎn)優(yōu)化等)。 目前普遍采用的OPC協(xié)議采用的動(dòng)態(tài)端口分配的方式, 使得傳統(tǒng)防火墻很難簡(jiǎn)單的通過規(guī)則制定來進(jìn)行防護(hù)。 事實(shí)上, 我們看到不少客戶買了由互聯(lián)網(wǎng)防火墻改成的所謂“工控網(wǎng)防火墻“后, 發(fā)現(xiàn)無法適應(yīng)生產(chǎn)的要求而棄之不用的情況。 我們的實(shí)踐發(fā)現(xiàn), 目前階段工控系統(tǒng)邊界安全的比較有效的方案是通過針對(duì)網(wǎng)絡(luò)流量的分析, 利用人工智能的方式建立行為模式的白名單, 以及持續(xù)進(jìn)行非主動(dòng)的流量監(jiān)測(cè)。
工控系統(tǒng)的數(shù)據(jù)安全需要格外重視
工控系統(tǒng)的數(shù)據(jù)風(fēng)險(xiǎn)有兩個(gè)方面的威脅:
- 一個(gè)是網(wǎng)絡(luò)攻擊的威脅, 我們通過對(duì)一些客戶網(wǎng)絡(luò)中的攻擊分析發(fā)現(xiàn), 目前對(duì)工控系統(tǒng)的攻擊主要還是在系統(tǒng)信息收集以及工控?cái)?shù)據(jù)篡改(事實(shí)上“震網(wǎng)“在最后實(shí)施攻擊的那一步就是篡改了儀表數(shù)據(jù)進(jìn)行的);
- 另外一個(gè)是對(duì)于客戶工控系統(tǒng)的經(jīng)營和管理數(shù)據(jù)的竊取, 這里面包括可能有價(jià)值的工藝流程等情報(bào)。
而在實(shí)踐中, 數(shù)據(jù)也是工控系統(tǒng)與外界通信的最主要原因。 大量的不同應(yīng)用要去工控系統(tǒng)上取數(shù)據(jù), 這也帶來了工控系統(tǒng)一個(gè)主要的攻擊面。 因此, 對(duì)于工控系統(tǒng)來說, 需要比企業(yè)網(wǎng)或者互聯(lián)網(wǎng)要有更多的對(duì)數(shù)據(jù)安全的重視。
在進(jìn)行數(shù)據(jù)安全的方案中, 一個(gè)需要注意的問題就是信息安全不能影響到工控系統(tǒng)的正常經(jīng)營。 由于工控系統(tǒng)的資源冗余度很低, 數(shù)據(jù)安全的解決方案要考慮到資源占用的問題, 同時(shí)也要考慮到滿足數(shù)據(jù)應(yīng)用的大量需求, 這個(gè)矛盾需要認(rèn)真解決。 僅僅按照企業(yè)網(wǎng)的數(shù)據(jù)安全的方案是不符合實(shí)際情況的。關(guān)于工控安全與傳統(tǒng)IT安全思路的重大差異,讀者還可以參考我兩年前發(fā)布的這篇文章:工控安全,該做的和不該做的。
