運(yùn)營(yíng)技術(shù):在OT環(huán)境中使用特權(quán)訪問授權(quán)(PAWs)
本節(jié)面向需要在包含運(yùn)營(yíng)技術(shù) (OT) 的組織中使用特權(quán)訪問工作站 (PAW) 的系統(tǒng)所有者。它描述了需要進(jìn)行哪些調(diào)整才能使其適用于OT環(huán)境。
介紹
正如核心指南原則1所述:“特權(quán)訪問授權(quán)(PAW)可用于所有特權(quán)訪問,但最重要的是將其用于高風(fēng)險(xiǎn)訪問。如果訪問一旦被攻破可能造成嚴(yán)重后果,或者其保護(hù)的系統(tǒng)可能引起有能力的威脅行為者的興趣,則該訪問被視為高風(fēng)險(xiǎn)訪問。”
運(yùn)營(yíng)技術(shù) (OT) 環(huán)境的物理特性意味著它們可能包含一些系統(tǒng),這些系統(tǒng)有可能對(duì)人身安全構(gòu)成直接威脅,或因關(guān)鍵國(guó)家基礎(chǔ)設(shè)施 (CNI) 服務(wù)中斷而造成全國(guó)范圍的影響。如果 OT 環(huán)境提供至關(guān)重要的服務(wù),它們也可能成為老練的攻擊者越來越青睞的目標(biāo)。
特權(quán)訪問工作站 (PAW) 在增強(qiáng)這些系統(tǒng)的整體網(wǎng)絡(luò)安全防御方面可以發(fā)揮關(guān)鍵作用,有助于降低系統(tǒng)范圍擴(kuò)大遭到入侵并導(dǎo)致關(guān)鍵系統(tǒng)被未經(jīng)授權(quán)控制的風(fēng)險(xiǎn)。CAF原則 B4.C也認(rèn)可了這一點(diǎn),該原則強(qiáng)調(diào)“支持關(guān)鍵功能運(yùn)行的系統(tǒng)和設(shè)備只能由獲得授權(quán)的特權(quán)用戶通過高度可信的設(shè)備(例如特權(quán)訪問工作站)進(jìn)行管理或維護(hù)”。
運(yùn)營(yíng)技術(shù) (OT) 組織中用于管理資產(chǎn)的工作站有很多名稱,但一個(gè)常用的術(shù)語是工程工作站 (EW)。工程工作站可以采用多種形式:
固定工作站:
傳統(tǒng)形式的電子工作站(EW)部署在物理運(yùn)營(yíng)技術(shù)(OT)現(xiàn)場(chǎng),配備用于管理現(xiàn)場(chǎng)設(shè)備的專用軟件。這些電子工作站通常與其他網(wǎng)絡(luò)隔離,并由多名工程師或用戶共享。這里所說的電子工作站不包括支持實(shí)時(shí)操作的系統(tǒng)(例如人機(jī)界面),而是指管理工業(yè)資產(chǎn)的系統(tǒng)。
對(duì)運(yùn)營(yíng)技術(shù)環(huán)境的威脅
與標(biāo)準(zhǔn)IT環(huán)境相比,OT環(huán)境通常面臨更高的風(fēng)險(xiǎn)。這種更高的脆弱性源于OT系統(tǒng)中大量使用過時(shí)產(chǎn)品,以及網(wǎng)絡(luò)攻擊可能造成的嚴(yán)重后果,包括人員傷亡。OT系統(tǒng)中大量使用過時(shí)產(chǎn)品往往降低了其抵御攻擊的能力,因此更加依賴于強(qiáng)大的網(wǎng)絡(luò)分段和補(bǔ)償控制措施。
過時(shí)產(chǎn)品也可能被稱為傳統(tǒng)產(chǎn)品。然而,“過時(shí)產(chǎn)品”這一廣義術(shù)語涵蓋了不再受支持的設(shè)備,以及那些缺乏必要安全功能的設(shè)備。在本指南中,“過時(shí)產(chǎn)品”既指軟件也指物理資產(chǎn)。但是,這并不包括這些設(shè)備使用傳統(tǒng)協(xié)議進(jìn)行設(shè)備間通信的情況。
為了降低這些環(huán)境中的風(fēng)險(xiǎn),至關(guān)重要的是限制從 IT 環(huán)境到 OT 環(huán)境的橫向移動(dòng)機(jī)會(huì)。用于訪問 PAW 解決方案的身份應(yīng)專用于 OT 環(huán)境,并與任何 IT 身份隔離。這可以防止攻擊者利用該身份作為在 IT 和 OT 域之間橫向移動(dòng)的途徑。
NCSC PAW 指南的原則 1.2描述了如何識(shí)別高風(fēng)險(xiǎn)訪問。但是,如果您的 OT 環(huán)境中包含過時(shí)的產(chǎn)品,則應(yīng)考慮其他因素。
SCADA平臺(tái)通常具有四大功能:管理、配置、控制和監(jiān)控。這些功能都需要訪問相同的軟件,但執(zhí)行不同功能的權(quán)限級(jí)別不同。過時(shí)的SCADA系統(tǒng)通常具有以下特征:
- 運(yùn)行過時(shí)的軟件
- 運(yùn)行不受支持的操作系統(tǒng)
- 通過不安全協(xié)議進(jìn)行通信
因此,應(yīng)用程序中的用戶權(quán)限級(jí)別控制已無法有效區(qū)分低風(fēng)險(xiǎn)角色(例如監(jiān)控)和高風(fēng)險(xiǎn)角色(例如控制或管理)。過時(shí)的操作系統(tǒng)或軟件中存在的漏洞可能導(dǎo)致權(quán)限提升,這是不可接受的風(fēng)險(xiǎn)。為降低此風(fēng)險(xiǎn),所有角色都必須被視為高風(fēng)險(xiǎn)角色,并且訪問權(quán)限應(yīng)限制在具有最高權(quán)限的用戶(PAW)范圍內(nèi)。
在系統(tǒng)中斷可能對(duì)全國(guó)造成影響的情況下,您可能需要將OT系統(tǒng)中的數(shù)據(jù)視為特權(quán)數(shù)據(jù)。此類OT系統(tǒng)是攻擊者的高價(jià)值目標(biāo)。如果這種風(fēng)險(xiǎn)很大,或者OT系統(tǒng)中的數(shù)據(jù)被認(rèn)為過于敏感,則應(yīng)考慮為所有OT用戶層級(jí)(包括監(jiān)控功能層級(jí))實(shí)施特權(quán)訪問控制(PAW)。
如果您使用的是定期更新且運(yùn)行在受支持操作系統(tǒng)上的現(xiàn)代化 SCADA 解決方案,則可以對(duì)軟件的用戶權(quán)限控制給予更高的信任。您應(yīng)該確保工程師在執(zhí)行高權(quán)限操作之前切換上下文,例如要求他們將帳戶從監(jiān)控用戶切換到管理員,或者強(qiáng)制要求對(duì)特權(quán)操作進(jìn)行二次身份驗(yàn)證。
用戶帳戶遵循特權(quán)訪問管理原則,僅授予其角色所需的權(quán)限,且訪問權(quán)限并非永久分配:
在這種情況下,這意味著要?jiǎng)?chuàng)建:
- 默認(rèn)角色(用戶只能擁有查看與其角色相關(guān)的數(shù)據(jù)所需的權(quán)限來監(jiān)控環(huán)境)。
- 此特權(quán)角色授予需要配置、控制和監(jiān)控環(huán)境的用戶。該角色應(yīng)僅限于需要此權(quán)限的用戶,且必須使用多因素身份驗(yàn)證 (MFA) 來提升角色權(quán)限,并需要通過高級(jí)授權(quán)用戶 (PAW) 進(jìn)行訪問。
- 此特權(quán)角色授予需要管理系統(tǒng)內(nèi)其他用戶及其各自角色的用戶。此類訪問權(quán)限高度敏感,因此必須對(duì)新授予特權(quán)的用戶進(jìn)行主動(dòng)監(jiān)控和審計(jì),以確保安全性和合規(guī)性。應(yīng)嚴(yán)格控制此角色的訪問權(quán)限,并限制其數(shù)量,使用多因素身份驗(yàn)證 (MFA) 來提升角色權(quán)限,且需要通過特權(quán)授權(quán)用戶 (PAW) 進(jìn)行訪問。
對(duì)于來自低信任度設(shè)備的監(jiān)控操作,您應(yīng)該采取額外的控制措施。這些措施可能包括:
- 低信任設(shè)備與系統(tǒng)之間的單向流量控制
- 將監(jiān)控?cái)?shù)據(jù)復(fù)制到另一個(gè)數(shù)據(jù)存儲(chǔ)區(qū),以防止直接訪問特權(quán)系統(tǒng)(最好通過數(shù)據(jù)二極管等硬件控制來強(qiáng)制執(zhí)行此分段)。
氣隙網(wǎng)絡(luò)與高度受限網(wǎng)絡(luò)
PAW 原則 5.2描述了 PAW 不必是一個(gè)孤立的系統(tǒng),而應(yīng)該是一個(gè)網(wǎng)絡(luò)連接高度受限的系統(tǒng)。傳統(tǒng)的 OT 環(huán)境依賴于“物理隔離”解決方案。這并不意味著 PAW 應(yīng)該擁有通用的互聯(lián)網(wǎng)訪問權(quán)限,而是指它應(yīng)該能夠訪問其所需的服務(wù),以確保安全或執(zhí)行其功能。當(dāng)前的物理隔離方法在 PAW 的環(huán)境中會(huì)引發(fā)以下幾個(gè)問題:
- 當(dāng)這些設(shè)備作為完全隔離的系統(tǒng)部署時(shí),由于缺乏網(wǎng)絡(luò)連接,導(dǎo)致無法了解設(shè)備上執(zhí)行的特權(quán)操作。這使得無法有效地監(jiān)控和檢測(cè)這些設(shè)備上的惡意行為。
- 由于這些孤立系統(tǒng)缺乏連接,導(dǎo)致無法修補(bǔ)的系統(tǒng)反模式。這使得系統(tǒng)不安全,一旦設(shè)備連接到互聯(lián)網(wǎng)或獲得對(duì)設(shè)備的物理訪問權(quán)限,就很容易被利用。
- 孤立的系統(tǒng)往往缺乏集中化管理,設(shè)備控制和策略通常是“針對(duì)每個(gè)設(shè)備”單獨(dú)設(shè)置的,并且僅在調(diào)試時(shí)進(jìn)行驗(yàn)證。這意味著無法建立起對(duì)這些控制措施的信任,以確保它們能夠在設(shè)備的整個(gè)生命周期內(nèi)保護(hù)設(shè)備。
- 這可能會(huì)助長(zhǎng)高風(fēng)險(xiǎn)技術(shù)和/或影子IT或流程的使用。當(dāng)系統(tǒng)被隔離時(shí),由于工程師需要將錯(cuò)誤日志或配置文件傳輸?shù)皆O(shè)備,可用性問題很快就會(huì)出現(xiàn)。這通常會(huì)導(dǎo)致對(duì)USB存儲(chǔ)介質(zhì)進(jìn)行無法審計(jì)且風(fēng)險(xiǎn)極高的操作。
采用更緊密互聯(lián)的方式部署PAW系統(tǒng),可確保系統(tǒng)在初始調(diào)試后依然可靠運(yùn)行。通過建立有效的技術(shù)控制措施,可以減少對(duì)人為或程序控制的依賴。
在運(yùn)營(yíng)技術(shù)(OT)環(huán)境中,連接性可能指的是用于接收操作系統(tǒng)更新的網(wǎng)絡(luò)連接。但它也可以用于促進(jìn)OT應(yīng)用程序的許可連接,或訪問供應(yīng)商支持門戶。
維護(hù)所有允許的網(wǎng)絡(luò)路由的集中記錄至關(guān)重要,并且必須確保這些路由僅限于必要的路由。此外,還應(yīng)確保PAW 原則 5中概述的設(shè)備控制措施能夠阻止任何已下載的媒體在設(shè)備上執(zhí)行。對(duì)于高度關(guān)鍵的 OT 環(huán)境(例如關(guān)鍵服務(wù)運(yùn)營(yíng)商),PAW 的連接模型必須與貴組織的彈性要求相平衡,如PAW 原則 2.2中所述。
對(duì)于高度關(guān)鍵或高威脅的OT環(huán)境,應(yīng)確保其能夠接收安全更新和其他架構(gòu)優(yōu)勢(shì),同時(shí)仍能在隔離狀態(tài)下運(yùn)行。即使與任何支持服務(wù)(例如基于云的MDM)的連接中斷,設(shè)備仍應(yīng)能夠繼續(xù)運(yùn)行。這可能涉及回退到本地身份服務(wù)。應(yīng)徹底測(cè)試在持續(xù)隔離模式下運(yùn)行的能力。應(yīng)制定明確的流程來確定哪些威脅場(chǎng)景(或安全事件)需要組織隔離OT環(huán)境。
警告:如原則 5:減少攻擊面中所述,您在設(shè)計(jì) PAW 平臺(tái)時(shí),應(yīng)避免在與 OT 系統(tǒng)接口時(shí)隔離 PAW 的外部連接。 這種隔離措施通常是出于對(duì)意外將OT系統(tǒng)連接到互聯(lián)網(wǎng)的風(fēng)險(xiǎn)考慮而實(shí)施的。然而,移除這種連接可能會(huì)妨礙用戶履行其職責(zé),例如阻止訪問必要的文件傳輸解決方案。此外,它還會(huì)干擾監(jiān)控和威脅檢測(cè),尤其是在防病毒解決方案依賴于基于云的分析時(shí)。 僅僅依靠斷開連接會(huì)給人一種虛假的安全感。例如,如果設(shè)備通過 OT 系統(tǒng)遭到入侵,即使互聯(lián)網(wǎng)連接恢復(fù),威脅依然存在。因此,應(yīng)著重設(shè)計(jì) PAW 到 OT 的連接模型,并考慮如何確保隔離性。這可以通過以下方式實(shí)現(xiàn):允許 PAW 保持高度受限的網(wǎng)絡(luò)訪問權(quán)限,但阻止這種訪問權(quán)限擴(kuò)展到連接的設(shè)備(保持瀏覽式連接模型);或者通過原則 6 中提到的虛擬化技術(shù),例如將高風(fēng)險(xiǎn)活動(dòng)與 PAW 隔離,或使用跳轉(zhuǎn)主機(jī)(堡壘主機(jī))等網(wǎng)絡(luò)控制措施。 |
集成商、供應(yīng)商和其他第三方
實(shí)施 PAW 解決方案不僅僅是部署一個(gè)封閉的管理設(shè)備,而是需要一種更全面的方法,正如PAW 原則 1.1中所述。在 OT 環(huán)境中,這是一個(gè)挑戰(zhàn)當(dāng)前遠(yuǎn)程訪問關(guān)鍵網(wǎng)絡(luò)和資產(chǎn)工作方式的機(jī)會(huì)。
注意:任何第三方訪問(無論本地還是遠(yuǎn)程)都必須采用與貴組織自身相同的安全控制措施。理想情況下,貴組織應(yīng)配置所有 PAW 設(shè)備。如果無法做到這一點(diǎn),則應(yīng)驗(yàn)證第三方 PAW 的安全標(biāo)準(zhǔn)是否與貴組織的 PAW 相同。 |
在運(yùn)營(yíng)技術(shù)(OT)的維護(hù)和支持合同中,集成商、供應(yīng)商和第三方進(jìn)行遠(yuǎn)程訪問的情況越來越普遍。然而,這些解決方案通常仍然依賴于需要全天候訪問的固定站點(diǎn)間VPN。此外,目前并非總有有效的監(jiān)控策略來標(biāo)記通過這些訪問路徑出現(xiàn)的異常行為。
在投資PAW解決方案時(shí),務(wù)必審查這些可能削弱PAW有效性的其他遠(yuǎn)程訪問途徑。您需要確保第三方連接同樣值得信賴(或通過額外的安全措施加以保護(hù))。
任何第三方對(duì)您的環(huán)境的訪問都應(yīng)使用特權(quán)訪問管理,并且必須使用以下方法提供訪問權(quán)限:
- “即時(shí)”管理;在這種管理模式下,憑據(jù)并非用于訪問管理界面,而是用于請(qǐng)求訪問權(quán)限。如果請(qǐng)求獲得批準(zhǔn),則會(huì)授予臨時(shí)提升的訪問權(quán)限。
- “適度”管理。這是最小權(quán)限原則的另一種表述方式。訪問權(quán)限的角色和職責(zé)應(yīng)預(yù)先定義。當(dāng)管理員請(qǐng)求訪問管理界面時(shí),系統(tǒng)應(yīng)提示他們選擇已定義的受限角色之一。
對(duì)于第三方訪問,可能需要額外的功能(例如會(huì)話錄制和審計(jì))來驗(yàn)證訪問期間執(zhí)行的操作。當(dāng)?shù)谌皆L問貴組織通過特權(quán)訪問服務(wù)器 (PAW) 執(zhí)行的特權(quán)功能時(shí),您應(yīng)強(qiáng)制要求第三方也使用 PAW,如PAW 原則 3.1所述。
過時(shí)產(chǎn)品的普遍性
在OT組織中有效部署PAW面臨的最大挑戰(zhàn)之一是需要管理過時(shí)的產(chǎn)品。OT設(shè)備通常依賴于現(xiàn)代操作系統(tǒng)不再支持的應(yīng)用程序。這就要求PAW運(yùn)行虛擬化技術(shù),正如PAW原則6.1中所述。
設(shè)計(jì)您的PAW(個(gè)人應(yīng)用工作)所需的應(yīng)用程序時(shí),應(yīng)該抓住機(jī)會(huì)記錄并了解您對(duì)過時(shí)產(chǎn)品的依賴程度。您應(yīng)該識(shí)別出哪些軟件僅需支持少量用戶或系統(tǒng)。這些信息將有助于您優(yōu)先制定從過時(shí)產(chǎn)品遷移到新產(chǎn)品的策略。
注意:組織所需的任何過時(shí)產(chǎn)品都應(yīng)僅限于那些在日常工作中需要使用它們的用戶。 |
2025年1月,CISA發(fā)布了《按需安全:運(yùn)營(yíng)技術(shù)所有者和運(yùn)營(yíng)商選擇數(shù)字產(chǎn)品時(shí)的優(yōu)先考慮因素》報(bào)告。該報(bào)告強(qiáng)調(diào)供應(yīng)商需要更好地幫助運(yùn)營(yíng)商在支持合同期內(nèi)將應(yīng)用程序遷移到新的操作系統(tǒng),并指出各組織應(yīng)“確保在現(xiàn)代操作系統(tǒng)上運(yùn)行軟件不會(huì)不必要地使支持協(xié)議失效”。運(yùn)營(yíng)技術(shù)組織應(yīng)尋找能夠在應(yīng)用程序整個(gè)生命周期內(nèi)提供支持的供應(yīng)商,并在需要時(shí)將其遷移到現(xiàn)代操作系統(tǒng)。
在運(yùn)營(yíng)技術(shù) (OT) 環(huán)境中,確定應(yīng)用程序是否適合高信任設(shè)備也至關(guān)重要。如果對(duì)應(yīng)用程序的安全性信心不足,但又必須使用虛擬化來隔離主機(jī),則應(yīng)考慮虛擬化。這可能包括以下情況:
- 應(yīng)用程序不再接收更新(無論它是否支持在最新的操作系統(tǒng)上運(yùn)行)
- 應(yīng)用程序需要極高的本地用戶權(quán)限才能執(zhí)行。
減少對(duì)USB傳輸?shù)囊蕾?/h2>
在運(yùn)營(yíng)技術(shù) (OT) 環(huán)境中,由于網(wǎng)絡(luò)隔離的普遍存在,工程師需要使用非網(wǎng)絡(luò)路徑進(jìn)行數(shù)據(jù)傳輸,以完成配置或管理功能。然而,USB(或其他可移動(dòng)存儲(chǔ)介質(zhì))對(duì)受信任的管理設(shè)備構(gòu)成重大風(fēng)險(xiǎn)。這些傳輸方式繞過了基于網(wǎng)絡(luò)的控制,為設(shè)備提供了一條安全路徑。
USB 存儲(chǔ)介質(zhì)是 OT 網(wǎng)絡(luò)的一種成熟攻擊途徑,例如過去的Stuxnet等網(wǎng)絡(luò)攻擊就證明了這一點(diǎn)。攻擊者可以利用 OT 網(wǎng)絡(luò)對(duì)邊界安全防護(hù)的依賴,而非對(duì)網(wǎng)絡(luò)內(nèi)部技術(shù)控制的重視,從而入侵網(wǎng)絡(luò)。
構(gòu)建 PAW 解決方案應(yīng)被視為降低組織對(duì)可移動(dòng)介質(zhì)依賴性的契機(jī)。PAW原則 7將幫助您構(gòu)建更安全的基于網(wǎng)絡(luò)的傳輸模型,從而充分利用值得信賴的 PAW 平臺(tái)的優(yōu)勢(shì)。這應(yīng)著重確保所有傳輸?shù)?OT 環(huán)境的文件都經(jīng)過審計(jì)、認(rèn)證、自動(dòng)化處理和檢查。尤其重要的是,這應(yīng)包括來自第三方供應(yīng)商、集成商和/或供貨商的文件傳輸。
如果您的組織無法消除可移動(dòng)介質(zhì)帶來的風(fēng)險(xiǎn),則應(yīng)確保僅使用經(jīng)組織批準(zhǔn)和配置的可移動(dòng)介質(zhì),理想情況下,應(yīng)將其分配給指定用戶并限制其連接權(quán)限,使其只能連接到指定的 PAW 設(shè)備。PAW原則 5.4包含有關(guān)如何移除不必要的設(shè)備功能、應(yīng)用程序和特性的建議。
所有可移動(dòng)存儲(chǔ)介質(zhì)在使用前后都應(yīng)在外部掃描站進(jìn)行掃描,以確保其中不包含已知的惡意文件。設(shè)計(jì)良好的惡意活動(dòng)防護(hù) (PAW) 系統(tǒng)還應(yīng)阻止不受信任的代碼和未經(jīng)授權(quán)的應(yīng)用程序在設(shè)備上運(yùn)行,從而進(jìn)一步降低可移動(dòng)存儲(chǔ)介質(zhì)帶來的風(fēng)險(xiǎn)。
