J.M.Porup Charles
工业控制系统(ICS)安全专家告诉我们,打补丁在大多数情况下都是无用的。
Dragos的工业控制系统(ICS)安全专家Robert M. Lee曾是美国国家安全局的分析师,他在递交给美国参议院的一份书面听证报告中指出,给ICS的安全漏洞打补丁在大多数情况下都是无用的,有时候甚至是有害的。“补丁、补丁、补丁”已成为IT安全领域的盲目信条,但在工业控制系统中用的很少,因为传统设备往往在设计上就是不安全的。
参议院委员会听说过信息技术(IT)和运营技术(OT)安全之间存在巨大差异,但很少有人知道IT安全领域的经验对于工业安全来说几乎无用。“运营技术”是个新词,它的出现使得工业网络和系统有别于传统的以业务为中心的信息技术。
Curricula公司的首席执行官Nick Santora曾担任过北美电网监管机构(NERC)的关键基础设施保护(CIP)网络安全专家,他认为,“有两种不同的思路。在IT安全领域,看重的是业务。而在OT领域,处理的是那些不能出问题的关键任务。比如说你不能因为服务器宕机了,就一时冲动地去断电。
Lee告诉参议院,要想保护好电网等关键的OT基础设施,需要采取不同的方法。Lee说:“我们的任务是不同的,因为它涉及到物理特性,因此只关注恶意软件的预防或者打补丁并不能真正击败那些人类犯罪分子。恶意软件并不是威胁。键盘另一边的犯罪分子才是威胁。”
很多想当然的东西其实都是错的
Lee的报告显示,来之不易的IT安全教训并不适用于OT领域,试图以“企业IT方式”来管理OT安全是有害的。Dragos在提交给参议院的一份报告中总结说,在2017年发布的所有ICS相关补丁中,有64%没有完全解决风险问题,因为组件在设计上就是不安全的。
Dragos的报告说,更糟糕的是,一些大供应商在最近几个月里遭遇了安全漏洞,业务出现中断而导致公司损失惨重。在工业控制系统中,给一个制造小部件或者水泵打上补丁要比重新启动办公桌面PC复杂得多,OT网络不能承受停机事件。
补丁或者基本的网络安全环境也难以抵御那些来自民族国家的犯罪分子,他们每天到处刺探美国和世界各地的关键基础设施。保持OT监控工作站能够很好地运行打过补丁的Windows 10,及时进行更新,这将有助于防御大部分随机的恶意软件,但很难防御高级持续性威胁(APT)的入侵。
Lee指出:“工业威胁形势在很大程度上是未知的。不论是私营企业还是政府部门针对核心业务网络威胁所采用的方法,以及对这些威胁的理解都不适用于工业领域。”
但Lee也强调说,不能因为这样就感到绝望了。良好的网络安全环境仍然是防止随机恶意软件感染的基本要求。他说,“ICS每年至少有6000例特有的感染,每一种感染都会引起运营问题,在极少数情况下,还会引发与安全有关的问题。”
保护IT网络并将其与OT网络分离是最好的做法。但是,如果一个OT网络从一开始设计时就是不安全的,那么怎么保护这类网络呢?
假设你正在运行一个打好了所有补丁的Windows 10 HMI(人机界面,例如控制终端)。所有端口都关闭了。你也遵循了正确的准则,确保Windows应用程序是安全的。Veracity工业网络公司应用工程总监Thomas VanNorman评论说,“问题在于协议不是这样的。”协议把ModBus和PLC(可编程逻辑控制器,工业致动器)连接起来。我可以使用一台恶意计算机连接到该PLC,修改这些寄存器,因为这是一种未经认证的协议。如果攻击者能够访问到这个层面,那么一切都完了。”
保护工业控制系统
如果IT安全领域的很多经验不适用于工业领域,那么,我们该怎样保护关键基础设施的安全呢?答案可以归结为威胁建模。攻击传统的ICS基础设施不但成本高而且非常耗时,只有民族国家的犯罪分子和有组织的犯罪活动才会这么干。
在很多情况下,小型私人公用事业公司面对的是民族国家的攻击者,这些攻击者甚至把这些公司的网络当成了训练演习的场所。Lee告诉参议院,很多工业领域的小运营商对自己的网络知之甚少,这就是我们今天面对的现实。
Scythe的创始人兼首席执行官同时也是Grimm公司的董事长Bryson Bort评论说:“我们的地缘政治对手肯定在这方面进行了尝试。这些事情需要时间,要有足够的耐心而且是长期活动,埋好‘炸药,这样当民族国家要发起攻击时,这些‘炸药就会爆炸。”
Lee说,对于那些主动入侵工业控制网络以追求政治利益的犯罪分子,唯一的解决办法是人们自己去抓住他们。在ICS领域,任何自动的、反应式的监控都不能取代积极的人类防御,这些防御者会主动去发现自己网络上的那些人类恶意活动。
他认为,这个过程是从良好的威胁情报开始的:谁是积极破壞工业控制网络的人类犯罪分子?他们的动机是什么?他们的目标是谁?他们是怎样进行交易的?
在Lee提交给参议院的书面听证报告中,Dragos分析指出,目前主要有五个活跃的组织瞄准了ICS网络,包括宣称对乌克兰电网发起2015年和2016年攻击的组织,以及首次想通过ICS恶意软件要人命的Trisis。
有一点是清楚的:对工业控制系统的攻击越来越严重。
越来越恶劣的ICS攻击
一开始时是Stuxnet。美国和以色列联手开发的恶意软件摧毁了伊朗的离心机,但随之而来的破坏使得这一破坏软件站在了新闻的风口浪尖上,这是世界上第一起民族国家对工业控制系统的攻击。其他国家也纷纷效仿。
2015年对乌克兰电网的攻击是第一次确认能够破坏电网配电的攻击。这导致22.5万人断电。2016年,同一犯罪组织又对乌克兰电网发动了更为复杂的攻击,Dragos报告称之为“有史以来第一个设计并部署用于攻击电网的恶意软件框架”。Dragos的报告总结道,这个被称为“崩溃覆盖(Crash Override)”的恶意软件框架是仅次于Stuxnet的恶意软件,专门“为破坏物理工业过程而设计和部署的”。报告指出,很容易调整崩溃覆盖框架来攻击美国和欧洲的电网。
2017年,隨着Trisis的发现,形势变得更糟。Lee告诉CSO:“Trisis恶意软件专门用于杀人,这远远超出了我们的预想。”Trisis恶意软件以工业安全系统为目标,而工业安全系统旨在发生工业事故时保护人类的生命。
2017年是ICS安全的分水岭,人们开始意识到在此类攻击面前并非束手无策。也就是说,Lee警告不要过分夸大电影情节里的那些威胁。他说,情况很糟糕,但总是可以解决的。
糟糕的媒体报道让情形变得更糟
躲在暗处的一名黑客向核电厂发送了一封网络钓鱼电子邮件。然后切换镜头,威胁道:核爆炸!
专家说,这是不会发生的。不过,这可能是一部有趣的好莱坞电影。
把这些威胁的实情传达给公众对于平和地讨论工业领域的漏洞是非常重要的。Bort呼吁媒体关注2013年发生在纽约北部Bowman大道大坝的泄露事件,该事件让人们感到震惊,上了新闻头条——“伊朗黑客破坏纽约大坝引起了白宫的警觉”。
但有一个问题,Bort说:“那座大坝其实就是一堵土墙,它没有机械部件。除了知情者之外,没有人知道这一事实。每个人都关注好莱坞式的威胁。”
他说,攻击者设法攻破了Bowman大道大坝的监控系统,仅此而已。
无论是Lee还是Bort都强调说,民族国家的犯罪分子的确会威胁到关键的基础设施,但让我们保持正确的态度,做好工作,而不是无缘无故地把自己吓死。进行这项工作意味着知道你的对手是谁,并在你自己的网络里抓住他们。
获得更好的威胁情报
前美国国家安全局分析师Lee告诉参议院委员会,私营企业能够比情报界获得更好的威胁情报,促使OT安全部门通过安全审查,以查看机密威胁情报——这并不是非常有用。
Lee在书面听证报告中说:“对入侵分析的关注导致私营公司就能够做出非常有竞争力的情报报告,而且在很多情况下,远远优于类似的政府机密报告。简单地说,收集与网络威胁相关数据的最佳地点是在被攻击公司的网络中。”
Lee告诉委员会,与在美国国家安全局相比,处理同样的问题,他认为在私营企业能够获得更好的威胁情报。Lee在接受CSO采访时说:“在美国国家安全局,我们的任务是研究民族国家怎样进入工业控制系统。很明显,我们自己收集的情报仅仅限于这种威胁场景。”
尽管政府希望解决脆弱的关键基础设施所造成的国家安全问题,但包括Lee在内的技术专家表示,更多的政府干预可能会适得其反,例如鼓励加强监管等。
合规可能是有害的
一项一项地进行检查,以确保符合最低安全基准,这样做能够防止随机恶意软件感染,但在有目的的民族国家攻击面前毫无用处。更糟糕的是,太多的合规措施可能是有害的,因为这会产生虚假的安全感。因此,Lee和其他专家敦促应推迟进一步的监管,让业界去发展自己的最佳实践。
一方面,很多ICS网络现在甚至还没有满足最低标准要求。Lee在其书面听证报告中说:“有一些工业网站,包括北美的,其内部部门甚至从来没有调查过网络。我知道有一些小型电厂、水厂、天然气公司、炼油厂、风电场和制造业网络,甚至都没有最基本的安全措施——尽管它们对于现代文明至关重要。”
另一方面,OT系统面对的是来自民族国家的对手,防范这类威胁需要有积极的监控和事件响应计划,这远远超出了任何合规措施的要求。
要想开发一个能够在ICS网络上搜寻民族国家攻击者的强大的OT安全计划,需要受过训练的网络安全专业人员,并有相匹配的管理支持和预算。网络安全技能严重短缺, OT管理层也不太了解这方面的知识,让这一目标显得遥遥无期。
IT遇上OT
IT安全部门仍然难以理解OT系统面临的独特挑战,但更为引人注意的是传统工业运营商对这种理念的反应——工厂在运行了40年之后,现在,地球另一端躲在暗处的神奇的黑客居然能让工厂停机!
Santora谈到了他在NERC的审查工作。他说:“我们飞到不同的公司,有些人会狠狠地诅咒我们,说‘我不相信任何这种安全的东西,纯粹浪费时间,这些东西不是真的,它不会发生在我们身上。”
他说,网络安全非常新奇,而且不直观的本质让老一代工业工人感到可怕。“这是一种难以预料的风险,有时候人们甚至害怕谈论它。”
如果只能聘用安全专家的话,那么聘用网络安全专家以更新的视角来充分发挥他们几十年的经验,这似乎是可行的。据估计,到2020年,全球安全专业人员缺口将高达200万人。由于工业企业通常支付的薪水要低得多,因此,高端人才不太可能去OT公司寻求职业发展。
要想解决这一问题,可以把有才能的毕业生放在OT安全岗位上,通过奖学金或者实习生制度帮助他们完成学业以换取他们安心工作。或者干脆给他们更高的薪水。无论哪种解决方案,联邦政府都不太可能把小电厂列为国家安全问题,然后提供财政支持来保护这些资产。
Bort说,“如果我们说这是一个国家关键的基础设施问题,那么你就不能指望某个小镇来出钱解决这个问题。”从短期来看,从IT安全部门招聘可能是解决之道。
ICS村?
过去几年里,Def Con和RSA的ICS村为安全人员提供了使用真实ICS设备的机会。ICS村的组织者VanNorman和Bort告诉CSO,打破OT安全神话,帮助IT专家更好地理解OT所面临的挑战是促使他们这样做的原因。Bort说:“我们允许有人去实际接触和破解不同的平台,这样他们就可以开始这方面的工作了。”
每个人都听说过nmap关闭天然气管道的故事,但是VanNorman说,OT系统并不像很多人想象的那么脆弱,也远没有那么复杂。“如果你只是去碰碰它,它不会破裂的。”
ICS村致力于弥补IT与OT之间的差距,曾成功地抓住了一名黑客。
CSO资深作家J.M. Porup自从2002年获得IT第一份工作以来,便一直是一名安全极客。
原文网址
https://www.csoonline.com/article/3260624/critical-infrastructure/insecure-by-design-what-you-need-to-know-about-defending-critical-infrastructure.html