CMM 2021研讨会在线 CMM 2021研讨会在线 CMM 2021研讨会在线
物联网数字化

网络攻击的隐藏前线:工业控制系统

连接和无助

这是2015年12月一个宁静的下午。在乌克兰西部的Ivano-Frankivsk地区,工人们正准备结束一天的工作,在寒冷的夜晚回家。在为当地居民分配电力的Prykarpattyaoblenergo控制中心内,运营者即将结束他们的轮班。突然,一系列前所未有的网络攻击发生了,他们惊讶地看着。袭击最终破坏了乌克兰的部分电网,导致近25万居民断电。

这些攻击针对的是三家地区性电力分销公司,显示出了数种复杂的黑客技术的高超能力。这些手段包括通过鱼叉式网络钓鱼来获取虚假凭证,利用办公效率程序等软件应用程序中的漏洞,以及部署BlackEnergy 3恶意软件来渗透公用事业公司的网络。

图1

犯罪者能够获得公用事业公司的虚拟专用网络的登录凭证,允许通过Internet访问,操纵监控和数据采集(SCADA)服务器。通过这种访问,并使用BlackEnergy恶意软件,攻击者切断了变电站的电源,并更改了密码。公用事业公司的工作人员被锁在电脑外面,看着变电站一个接一个地下线。

然而,袭击者并没有就此打住。它们还同时袭击了另外两个配电中心,使被关闭的变电站数量增加了近一倍,使超过23万居民处于黑暗之中。而且,似乎这还不够,他们还切断了三个配送中心中的两个的备用电源,让运营者自己在黑暗中跌跌撞撞。

不幸的是,这类事件正变得越来越普遍。2016年12月,乌克兰电网也遭遇了类似的攻击。2017年12月,沙特阿拉伯一家工厂的安全关闭系统被Triton恶意软件侵入,导致流程关闭。这个恶意软件是建立与特定的安全仪表系统(SIS)控制器通常用于核电站交互。

强大,但是无能为力

大多数网络威胁涉及身份盗窃——个人信息的大量数据泄露和导致错误分享个人数据的令人震惊的欺诈骗局。诸如此类的网络威胁集中在信息技术(IT)系统上。这些系统包括个人电脑和设备、银行账户或私人健康数据、公司数据库和电子邮件服务器。

与这些IT威胁一样严重的是,更严重、更少听说的是对人类和环境造成的后果,比如在乌克兰发生的隐形攻击。这类攻击主要针对工业控制系统(ICS)。行凶者来自不同的地方。他们可能是敌对的国家政府、工业间谍或恐怖分子。

ICSs是世界上许多看不见但重要的齿轮,它们控制着关键的基础设施。他们控制着电网。他们测量水电大坝的水位。他们维持火车的运行和飞机的飞行。最重要的是,它们保证了我们的安全。总的来说,ICSs构成了操作技术(OT)系统。

ICS这个术语指的是一套广泛的控制系统,包括SCADA、分布式控制系统(DCS)和安全仪表系统(SIS)。用于生产、监控和移动产品的ics控制和监控系统。这些系统有三种类型的组件:

  • 现场设备,如传感器、阀门和开关;
  • 现场控制器,如可编程逻辑控制器(PLC)、安全系统和远程终端单元(RTU);
  • 人机界面(HMI),如工程工作站。

图2显示了典型的ICS体系结构及其关键组件。

图2:集成电路架构

ICS趋势和漏洞

而低成本的传感器和易于连接鼓励工业设施添加更多的传感器和控制器来提高效率和可靠性,这收敛和OT系统增加了网络威胁的风险,并打开新的攻击,需要被保护表面。例如,IT专业人员现在正在ICSs控制下从他们的个人电脑和手持设备监视过程,从而打开了一套新的漏洞,当操作控制与IT物理断开时,就不存在这些漏洞。

图3

由于数字化的快速发展,许多ICS用户对已添加的所有传感器、控制器和其他连接组件没有充分的了解。他们可能并不清楚自己是如何连接到网络上的。这方面的完整图景称为数字配置管理。由于缺乏数字配置管理,资产所有者不知道需要保护哪些系统,也不知道正在使用的每个新数字设备中存在哪些功能。这种理解的缺乏可能导致对控制/传感器软件升级和补丁缺乏适当的管理。这些升级通常包含对网络攻击的新漏洞或现有漏洞的修复。

此外,大多数数字或机械设备供应商都要求对其控制系统进行在线、实时监测,以供保修之用。供应商要求的远程访问打开了另一个攻击窗口,通过设备供应商的IT系统。

保护和维护

好消息是,对ICSs进行更强大的网络防御的呼声已经得到了响应。大多数关键基础设施资产所有者已采用美国商务部的国家标准与技术研究所(NIST)框架,以改善关键基础设施网络安全。

该框架定义了五项基本的方案活动:

识别:开发组织的理解管理系统、资产、数据和功能的安全风险。

保护:开发和实施适当的保护措施确保提供关键基础设施服务。

检测:发展和实施适当的活动确定发生一个安全事件。

回复:开发和实施适当的活动行动有关检测到的安全事件。

恢复:开发和实施适当的活动维护韧性和恢复的计划由于安全事件而损坏的任何功能或服务。

例如,在保护计划下应用于发电资产的一些过程如下:

  • 供应链管理-实施一个流程,以确保采购的设备和服务符合行业法规和组织的网络安全要求。
  • 数字配置管理——了解您拥有什么数字设备,它是如何连接的,每个设备启用或使用哪些功能。
  • 安全远程访问-安全协议供应商访问您的网络。
  • 补丁管理-执行一个流程,以确保正确的系统和软件更新在正确的时间执行。
  • 网络资产加固—加固的一个例子是删除不必要的软件和修改默认密码,以减少攻击面。可以对设备进行加固,以减少其受到的攻击。

电力行业将NIST框架更进一步,开发了北美电力可靠性公司的关键基础设施保护(NERC CIP)标准,适用于发电、输电和配电以及电网控制中心。

实现平稳的数字旅程

毫无疑问,企业将继续通过将流程和控制连接到网络来实现业务的数字化。网络攻击的威胁可能会让一些商业领袖暂停或放慢他们的数字化进程,但遵循NIST框架并解决上述问题的精心设计的网络安全计划可以促进进步,而不是阻碍进步。有了这样的保障措施,企业可以继续利用工业控制数字化的最新技术,让每个人都远离伤害。

资源

  1. NIST改善关键基础设施网络安全框架:https://www.nist.gov/news-events/news/2018/04/nist-releases-version-11-its-popular-cybersecurity-framework
  2. NERC CIP标准:https://www.ferc.gov/industries/electric/indus-act/reliability/cybersecurity.asp
  3. 工业控制系统基础培训:https://ics-cert-training.inl.gov