ICS/SCADA 工控安全性脆弱的5个原因

来源: DARKMATTERS

作者: Brian Contos

编译: 安恒信息DBAPPSecuiry LAB

编者按:随着计算机和网络技术的发展,信息化与工业化深度融合以及物联网的快速发展,ICS (工业控制系统) 产品越来越多地采用通用协议、通用硬件和通用软件。网络化浪潮又将诸如嵌入式技术、多标准工业控制网络互联、无线技术等新兴技术融合进来,从而拓展了工业控制的发展空间,带来新的发展机遇。同时也带来了工业控制系统的信息安全等问题。

工业控制系统(ICS)是各式各样控制系统类型的总称,包括了监控和数据采集(SCADA)系统,分布式控制系统(DCS),过程控制系统(PCS)和其他控制系统(如可编程逻辑控制器等)。这些控制系统广泛运用于工业、能源、交通、水利以及市政等,重点领域包括核设施、钢铁、有色、化工、石油石化、电力、天然气、先进制造、水利枢纽、环境保护、铁路、城市轨道交通、民航、城市供水供气供热以及其他与国计民生紧密相关的领域。这些控制系统的正常运行保证了国民经济的正常健康运行,同时保证了人民享受安全舒适的生活环境;而针对工业控制系统的安全事件频发则为自动系统正常稳定运行蒙上了阴影,此类事件往往会影响与国民经济和人民生活密切相关的设施,带来巨大的破坏性,为了抵御此类事件的持续发生,我们必须查找到工业控制系统信息安全管理的中的薄弱环节,这需要了解一些有关工业控制系统的架构知识。

纵观全局,多数工控行业组织会部署符合标准的三个业务区:

业务区一:

由实际的工业控制系统资产组成,包括物理资产、数字资产、逻辑资产和人力资产等。通常一些简单的资产设施只能完成轻量级的任务,如开启或关闭阀门,或是使用数控的方法来改变流量、温度和压力这样的物理参数。

业务区二:

这个业务区由定制的设备构成,这样的设备称作SCADA(Supervisory control and data acquisition),即数据采集与监控系统。它是工业控制的核心系统设施,SCADA系统主要用于分布式系统,如水处理、石油天燃气管道、电力传输和分配系统、铁路和其他公共运输系统。

此外,SCADA系统可以保护系统配置的专有信息,可以对现场的设备进行实时监视和控制,实现数据采集、设备控制、测量、参数调节、各类信号报警等功能。

业务区三:

这个业务区类似银行,零售店或保险公司中的传统IT环境,除了一般的业务操作,这样的IT业务区一般来说会为了更好得统计和监控而连接到其他业务区中。

随着各行业企业对实现管理与控制的一体化需求的增加,工业控制系统和企业管理信息系统逐步实现了网络化集成,管理信息网络与生产控制网络之间实现了数据交换,导致工业控制系统不再是一个独立运行的系统,而要与管理系统甚至互联网进行互通、互联。

如在发电厂,他们使用监控去更精确的实时改善用电过载的连接数。

总的来说,这些区域是高度复杂的,通常将各个分部区域进行了很好的连接。 任何复杂的系统都难以避免出错甚至事故的发生。值得一提的是,这样的系统更具有攻击的价值。

这些攻击范围含盖从网络犯罪威胁到敲诈需求不满足时被关闭电网导致通讯和应急服务瘫痪等。

网络犯罪分子一般会以攻击工控设施来威胁政府索取好处,不然他们将会发动网络攻击。例如,关闭电网导致通讯和应急服务瘫痪。

SANS机构负责人Allen Paller说到,"数亿美元被勒索,也许这只是部分。这类敲诈是网络犯罪行业中最不为人所知的故事。"根据美国战略与国际研究中心表明,在墨西哥和印度这样的新型市场中,这类敲诈犯罪方式层出不穷。

以下集中阐述SCADA安全性脆弱的5个原因

1. 行业隔离

如今,将IT技术人员与工控技术人员区分开来这样的现象仍然存在。

作者确实感觉得到,跨行业的工作人员需要跨界的交流越来越多,跨界的技术也在交叉融合。Stuxnet(震网)攻击就是利用了当今这样的趋势来筹备和发动的。

然而,我们任然缺乏一种安全的策略,当攻击行为通过从一个区域来发起而进入另一个区域来危害整个系统。缺少这样涉及两个不同行业技术的安全防御策略。

区域间有了恰当的防护控制。但如果防护控制被绕过,几乎没有应对措施和方法去有效监控和应对这些攻击,共同修复漏洞。

  1. 断开工业控制系统同公共网络之间的所有不必要连接。
  2. 对确实需要的连接,系统运营单位要逐一进行登记,采取设置防火墙、单向隔离等措施加以防护,并定期进行风险评估,不断完善防范措施。
  3. 严格控制在工业控制系统和公共网络之间交叉使用移动存储介质以及便携式计算机。

2. 传统和现代技术手段共同使用

还记得在西部片里的马车标有Dollar标志的钱袋被抢劫么?

今天,武装押运车和数字化传送取代了马车。那工业控制又能做些什么呢?

几十年前的旧设备被重新包装一下就投入到了新系统中,这些就旧设备被当做系统中的螺丝钉来完成类似TCP/IP协议栈的工作。更夸张的是,新设备简单发送一个Ping命令到旧设备上就有可能摧毁系统。

由于这些旧设备的工作年代太早,对于Ping这样意料外的指令他们没有能力去处理,旧设备能做的只是当事简单的两三个操作。它们想不到现在有人会Ping旧设备,尽管这对于当今系统来说再正常不过了。这就是为什么对于关键基础设施网络的渗透测试很少对运行中的非生产性试验机床来进行。

3. 区域间隙

大家是否还在思考ICS这三个区域间是否可以用公共网络加以填补? 是的,一些人确实这样想,但几乎看到的情况都证明这是错误的。

现在的工业控制系统网络越来越依靠于商业IT和Internet领域的操作系统、开放协议和通信技术,这些技术已被证明存在着脆弱性。通过将工业控制系统连接到互联网或者其他公共网络,工业控制系统的脆弱性就暴露给潜在的攻击者。

正是因为这个理念,很多人天真得认为这是工控系统的"护城河",这却导致了松懈的安全控制和有限的监控。由于这样的理念,工控系统的投资者可能不会去投资应对网络攻击的安全解决方案。

工业或许也不要求有更安全的解决方案因为他们觉得面临的风险很低。这是一个恶性循环----错误的假定得出错误的结论。

4. 连接

ICS系统是高度连接的。他们之间没有任何泡沫存在,由无数的管道工程连接在 一起。如上所述,它们还具备作为螺丝钉的能力。

一些连接范例如下:

  • 串口,IP与串口上IP
  • Modbus 和DNP3
  • Bluetooth和SMS
  • 有线以太网和无线以太网
  • 拨号上网的Modems
  • Sneakernet

许多老设备从非安全性的视角看运行非常好。他们的设计没有考虑与其他系统间的传输,监控和跨网络测量。

简单讲,他们不能被直接访问来采取的渗透网络攻击行为。这是技术鸿沟,如同尝试用拨盘电话接收短信一样无法逾越。

5. 实用性高于一切

实用性超越所有架构指标的确高于一切, 其次是完整性, 保密性居第三位。最终,系统设计依照此准则进行---周而复始。

当实用性优先准则引发安全风险时问题就出现了. 默认密码很平常-----试想在工控设备上含有a public string的SNMP设默认密码为"public", 含有a private string的 SNMP用"private"为默认密码,这会让你掉进损失巨额金钱的漩涡中。

作者听说如果有应急事件发生或者需要所有人在任何时间访问系统时,他们不需要到处寻找正确密码。这样的情况类似多人共享一个账号,系统里同样没有独立的负责人。

甚至强化加密通讯可能在旧系统上无效,因为配备旧CUP的设备没有足够的运算能力来支撑系统加密,从而导致授权加密的通讯仍然以明文形式出现。

是的,实用性是关键。但对于错综复杂连接在一起的系统,安全隐患相当于灾难性的打击。这又回到了我们前面提到的"行业隔离"的议题上。

SCADA安全越来越被重视,但仍然很脆弱,还有很长的一段路要走。需要各行业,厂商和政府共同努力。

同时用户可以下载E安全app获得最及时的安全资讯、预警信息及风险威胁指数等等,点击下方的“阅读原文”即可安装下载。

原文发布于微信公众号 - 安恒信息(DBAPP2013)

原文发表时间:2015-03-17

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏安恒信息

【连载】2016年中国网络空间安全年报(九)

2016年中国网络空间安全年报 6. 数据泄露专题分析 2016年数据泄露愈演愈烈,全球相继曝光了大量的数据泄露事件,数据泄露事件频率呈现爆发式增长,而曝光...

35580
来自专栏北京马哥教育

漫画告诉你什么是DDoS攻击?

根据《2015 H1绿盟科技DDoS威胁报告》指出,如今大流量网络攻击正逐渐呈现增长趋势,前不久锤子科技的发布会以及9月12日苹果官网宕机的案例就印证了这一点。...

393110
来自专栏人工智能快报

新恶意软件可欺骗生物识别验证技术

2016年8月,罗马尼亚软体百科(Softpedia)网站发布消息称,新的恶意软件可以欺骗生物识别验证技术。 据Softpedia报道,已经出现了一种新的恶意软...

35980
来自专栏BestSDK

印度发生史上最大数据外泄 1亿用户遭殃

Reliance Jio由印度首富穆克什·安姆巴尼(Mukesh Ambani)创建,去年9月正式运营。通过提供免费的4G服务,Reliance Jio迅速吸引...

36160
来自专栏FreeBuf

浅析为什么和互联网隔离的工控系统一定要做网络安全建设

笔者在和工业领域各行业客户做咨询交流的时候,他们通常会问到一个问题就是:“我们的工控系统已经和互联网隔离了,本身就是一个孤岛,任何数据和信息都进不来,为什么还要...

13130
来自专栏安恒信息

网络犯罪工具攻克汇丰银行的反木马技术

来自某地下技术论坛的犯罪分子们已经开发出一种新技术,能够避开Trusteer反木马机制的层层堵截,从而令全球各大金融机构——包括汇丰银行与Paypal——的储户...

28550
来自专栏量子位

史上最严重数据车祸:100+车厂机密全曝光,通用丰田特斯拉统统中招

100多家车厂,从通用汽车、菲亚特克莱斯勒、福特、丰田,大众到特斯拉,现在机密数据统统被供应商的共同服务器曝光。

9200
来自专栏FreeBuf

可视化DDoS全球攻击地图

DDoS攻击通过分布式的源头针对在线服务发起的网络消耗或资源消耗的攻击,目的是使得目标无法正常提供服务。DDoS攻击主要针对一些重要的目标,从银行系统到新闻站点...

67760
来自专栏企鹅号快讯

黑客展示如何攻击飞机和汽车

1997年,知名黑客杰夫·莫斯创立了黑帽子大会,历经17年的发展,黑帽大会已经成为信息安全领域的风向标,每年黑帽大会讨论的安全议题大都成为了未来的趋势和方向。 ...

232100
来自专栏企鹅号快讯

数字化医院科研信息化管理平台的设计

导读:为了实现医院科研工作的数字化管理,加速医院数字化发展进程。结合医院自身特点,整合科研工作所需要的各类资源,以信息共享为目标建设科研信息化管理平台。将先进的...

26880

扫码关注云+社区

领取腾讯云代金券