3種方法保護(hù)遺留基礎(chǔ)設(shè)施安全
眾所周知����,遺留設(shè)備(Legacy)仍將繼續(xù)在關(guān)鍵基礎(chǔ)設(shè)施的持續(xù)性和穩(wěn)定性方面起到重要作用,尤其是在工業(yè)控制系統(tǒng)(ICS)中�����。數(shù)字政府中心最近的一次調(diào)查研究發(fā)現(xiàn)���,70%的受訪機(jī)構(gòu)依賴遺留基礎(chǔ)設(shè)施維持運(yùn)轉(zhuǎn)�����。
德勤會(huì)計(jì)師事務(wù)所和MAPI的另一份報(bào)告《先進(jìn)制造中的網(wǎng)絡(luò)風(fēng)險(xiǎn)》�,強(qiáng)調(diào)了保護(hù)遺留控制系統(tǒng)的重要性�����。報(bào)告顯示��,現(xiàn)代工業(yè)控制系統(tǒng)比其前輩容易保護(hù)得多�。對(duì)200多家制造企業(yè)的調(diào)查發(fā)現(xiàn),過去一年里����,40%的受訪企業(yè)都受到了網(wǎng)絡(luò)事件的影響,最大的風(fēng)險(xiǎn)存在于遺留ICS中�。
遺留基礎(chǔ)設(shè)施是什么?為什么遺留基礎(chǔ)設(shè)施需要受到保護(hù)?
與智能電網(wǎng)或智能工廠之類現(xiàn)代智能企業(yè)中所用的最新先進(jìn)設(shè)備相反��,遺留設(shè)備通常頗為老邁��,有些甚至已存在了20年�����、30年����,甚至更久時(shí)間���。這些設(shè)備依然能用���,有時(shí)候因?yàn)樯?jí)換代所需的巨大資本投入而往往沒被替換。某些情況下��,因?yàn)橥ㄐ艆f(xié)議的問題����,此類系統(tǒng)甚至理解不了IP協(xié)議(網(wǎng)際協(xié)議),可能使用某些專有通信機(jī)制�����。如此一來,更新工作就更令人絕望了�,因?yàn)椴粌H控制系統(tǒng)設(shè)備需要更新,整個(gè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施都要推倒重來��。
另一個(gè)巨大的挑戰(zhàn)是����,某些老舊控制系統(tǒng)運(yùn)行的是過時(shí)的操作系統(tǒng)或應(yīng)用軟件�,不再受其制造商支持,甚至整個(gè)軟件開發(fā)社區(qū)都無視了這些操作系統(tǒng)或應(yīng)用軟件的更新�����。此類系統(tǒng)漏洞裸奔����,對(duì)攻擊和漏洞利用程序完全開放。更糟的是�����,它們有時(shí)候還不支持安全套接字層(SSL)和/或傳輸層安全(TLS)協(xié)議�,通信信道本身毫無身份驗(yàn)證和加密保護(hù)。類似的,即便支持SSL或TLS的設(shè)備��,其版本也大多過時(shí)且沒打補(bǔ)丁��。
甚至即使有軟件升級(jí)或補(bǔ)丁可用����,也解決不了最終的問題,因?yàn)橛行┫到y(tǒng)根本就不升級(jí)�����。其間阻礙包括這些系統(tǒng)所處位置的偏遠(yuǎn)性和難以到達(dá)性���,還有升級(jí)流程的復(fù)雜程度��。而且��,對(duì)關(guān)鍵基礎(chǔ)設(shè)施而言����,僅僅是升級(jí)過程造成的那一點(diǎn)點(diǎn)停機(jī)時(shí)間��,也是不可接受的�����。
以上不利條件造成了這些系統(tǒng)面對(duì)漏洞利用毫不設(shè)防的現(xiàn)狀,一旦被入侵���,將極其難以檢測(cè)和緩解�。漏洞利用不僅能令這些控制系統(tǒng)無法繼續(xù)正常操作�,還會(huì)對(duì)整個(gè)工業(yè)運(yùn)營(yíng)造成嚴(yán)重而災(zāi)難性的打擊。
保護(hù)遺留基礎(chǔ)設(shè)施的3種方法
1. 保護(hù)終端
終端包括多種控制系統(tǒng)設(shè)備���,比如遠(yuǎn)程終端單元(RTU)、可編程邏輯控制器(PLC)����、智能電子設(shè)備(IED)等等。這些終端只允許操作所需的通信消息可以接入�。排除通信信道中所有不必要的流量可以防止終端暴露在漏洞利用或攻擊的威脅之下。
工業(yè)控制系統(tǒng)領(lǐng)域有個(gè)通行的理念:沒壞就別修�����。只要控制系統(tǒng)按預(yù)期運(yùn)行���,軟件升級(jí)或維護(hù)就有可能帶來讓系統(tǒng)不穩(wěn)定的風(fēng)險(xiǎn)�����。然而����,另一方面,升級(jí)系統(tǒng)以防止漏洞或協(xié)議異常的需求又總是存在的���。這種情況下��,協(xié)議異常檢測(cè)防火墻���,或者說深度包檢測(cè)防火墻(因?yàn)椴粌H僅查看數(shù)據(jù)包頭,還查看深藏在數(shù)據(jù)包里的協(xié)議消息內(nèi)容以應(yīng)用過濾規(guī)則)�����,就是只允許安全有效的協(xié)議消息抵達(dá)終端設(shè)備而減輕修復(fù)軟件漏洞需求的必備方法了����。
設(shè)備級(jí)防火墻保護(hù)遺留終端設(shè)備不沾染惡意流量和非必要流量示意圖
2. 保護(hù)網(wǎng)絡(luò)
很多情況下,遺留設(shè)備本身所用的網(wǎng)絡(luò)通信協(xié)議就是不安全的�。即便確實(shí)有某種程度上的安全,也頂多是SSL或SSH的弱化版本����,可被輕易突破或利用��。保護(hù)這些通信信道以防止中間人攻擊非常重要�,這樣才可以避免對(duì)控制系統(tǒng)的任何危險(xiǎn)影響���。信道保護(hù)的方法之一�,是通過 IPSec VPN 隧道來加密通信����。面向單個(gè)或多個(gè)控制系統(tǒng)終端的VPN網(wǎng)關(guān),可以確保這些消息被幾乎不可破解的強(qiáng)算法加密����。
至于不支持IP協(xié)議的終端�����,比如傳輸Modbus���、Profinet或類似協(xié)議消息的遺留串行設(shè)備��,設(shè)置將串行數(shù)據(jù)轉(zhuǎn)換為TCP/IP消息的邊界終端服務(wù)器����,應(yīng)能在數(shù)據(jù)傳輸前保護(hù)IP網(wǎng)絡(luò)安全。很多方法都能達(dá)成所需的安全��,SSL和 IPSec VPN 是最主流的��。
邊界防火墻保護(hù)遺留網(wǎng)絡(luò)不受惡意流量和中間人攻擊影響示意圖
3. 監(jiān)視網(wǎng)絡(luò)和終端
即使終端和網(wǎng)絡(luò)都已安全�����,仍需持續(xù)監(jiān)視網(wǎng)絡(luò)�����,查找影響安全穩(wěn)定狀態(tài)的任何改變���。網(wǎng)絡(luò)和控制系統(tǒng)總在不斷發(fā)展變化中����,新的威脅和漏洞持續(xù)涌現(xiàn)��。網(wǎng)絡(luò)自身也在不斷膨脹�����,越來越多的通信設(shè)備融入網(wǎng)絡(luò),隨之引入各種安全漏洞���。有必要設(shè)置一套系統(tǒng)持續(xù)跟蹤網(wǎng)絡(luò)中所有資產(chǎn)(或者通信設(shè)備)�,近實(shí)時(shí)地發(fā)現(xiàn)可能是潛在威脅的新設(shè)備�����。這一資產(chǎn)發(fā)現(xiàn)系統(tǒng)應(yīng)覆蓋IP和非IP通信��,比如串行設(shè)備����。
至少,確保符合行業(yè)特定標(biāo)準(zhǔn)(如 NERC CIP��、NIST 800�����、IEC 62443 等)的審計(jì)機(jī)制���,有助于保持控制系統(tǒng)的安全和可用性。
