J.M.Porup Charles

工業(yè)控制系統(tǒng)（ICS）安全專家告訴我們，打補丁在大多數(shù)情況下都是無用的。

Dragos的工業(yè)控制系統(tǒng)（ICS）安全專家Robert M. Lee曾是美國國家安全局的分析師，他在遞交給美國參議院的一份書面聽證報告中指出，給ICS的安全漏洞打補丁在大多數(shù)情況下都是無用的，有時候甚至是有害的?！把a丁、補丁、補丁”已成為IT安全領(lǐng)域的盲目信條，但在工業(yè)控制系統(tǒng)中用的很少，因為傳統(tǒng)設(shè)備往往在設(shè)計上就是不安全的。

參議院委員會聽說過信息技術(shù)（IT）和運營技術(shù)（OT）安全之間存在巨大差異，但很少有人知道IT安全領(lǐng)域的經(jīng)驗對于工業(yè)安全來說幾乎無用?！斑\營技術(shù)”是個新詞，它的出現(xiàn)使得工業(yè)網(wǎng)絡(luò)和系統(tǒng)有別于傳統(tǒng)的以業(yè)務(wù)為中心的信息技術(shù)。

Curricula公司的首席執(zhí)行官Nick Santora曾擔任過北美電網(wǎng)監(jiān)管機構(gòu)（NERC）的關(guān)鍵基礎(chǔ)設(shè)施保護（CIP）網(wǎng)絡(luò)安全專家，他認為，“有兩種不同的思路。在IT安全領(lǐng)域，看重的是業(yè)務(wù)。而在OT領(lǐng)域，處理的是那些不能出問題的關(guān)鍵任務(wù)。比如說你不能因為服務(wù)器宕機了，就一時沖動地去斷電。

Lee告訴參議院，要想保護好電網(wǎng)等關(guān)鍵的OT基礎(chǔ)設(shè)施，需要采取不同的方法。Lee說：“我們的任務(wù)是不同的，因為它涉及到物理特性，因此只關(guān)注惡意軟件的預(yù)防或者打補丁并不能真正擊敗那些人類犯罪分子。惡意軟件并不是威脅。鍵盤另一邊的犯罪分子才是威脅?！?/p>

很多想當然的東西其實都是錯的

Lee的報告顯示，來之不易的IT安全教訓并不適用于OT領(lǐng)域，試圖以“企業(yè)IT方式”來管理OT安全是有害的。Dragos在提交給參議院的一份報告中總結(jié)說，在2017年發(fā)布的所有ICS相關(guān)補丁中，有64%沒有完全解決風險問題，因為組件在設(shè)計上就是不安全的。

Dragos的報告說，更糟糕的是，一些大供應(yīng)商在最近幾個月里遭遇了安全漏洞，業(yè)務(wù)出現(xiàn)中斷而導(dǎo)致公司損失慘重。在工業(yè)控制系統(tǒng)中，給一個制造小部件或者水泵打上補丁要比重新啟動辦公桌面PC復(fù)雜得多，OT網(wǎng)絡(luò)不能承受停機事件。

補丁或者基本的網(wǎng)絡(luò)安全環(huán)境也難以抵御那些來自民族國家的犯罪分子，他們每天到處刺探美國和世界各地的關(guān)鍵基礎(chǔ)設(shè)施。保持OT監(jiān)控工作站能夠很好地運行打過補丁的Windows 10，及時進行更新，這將有助于防御大部分隨機的惡意軟件，但很難防御高級持續(xù)性威脅（APT）的入侵。

Lee指出：“工業(yè)威脅形勢在很大程度上是未知的。不論是私營企業(yè)還是政府部門針對核心業(yè)務(wù)網(wǎng)絡(luò)威脅所采用的方法，以及對這些威脅的理解都不適用于工業(yè)領(lǐng)域?！?/p>

但Lee也強調(diào)說，不能因為這樣就感到絕望了。良好的網(wǎng)絡(luò)安全環(huán)境仍然是防止隨機惡意軟件感染的基本要求。他說，“ICS每年至少有6000例特有的感染，每一種感染都會引起運營問題，在極少數(shù)情況下，還會引發(fā)與安全有關(guān)的問題。”

保護IT網(wǎng)絡(luò)并將其與OT網(wǎng)絡(luò)分離是最好的做法。但是，如果一個OT網(wǎng)絡(luò)從一開始設(shè)計時就是不安全的，那么怎么保護這類網(wǎng)絡(luò)呢？

假設(shè)你正在運行一個打好了所有補丁的Windows 10 HMI（人機界面，例如控制終端）。所有端口都關(guān)閉了。你也遵循了正確的準則，確保Windows應(yīng)用程序是安全的。Veracity工業(yè)網(wǎng)絡(luò)公司應(yīng)用工程總監(jiān)Thomas VanNorman評論說，“問題在于協(xié)議不是這樣的?！眳f(xié)議把ModBus和PLC（可編程邏輯控制器，工業(yè)致動器）連接起來。我可以使用一臺惡意計算機連接到該PLC，修改這些寄存器，因為這是一種未經(jīng)認證的協(xié)議。如果攻擊者能夠訪問到這個層面，那么一切都完了?！?/p>

保護工業(yè)控制系統(tǒng)

如果IT安全領(lǐng)域的很多經(jīng)驗不適用于工業(yè)領(lǐng)域，那么，我們該怎樣保護關(guān)鍵基礎(chǔ)設(shè)施的安全呢？答案可以歸結(jié)為威脅建模。攻擊傳統(tǒng)的ICS基礎(chǔ)設(shè)施不但成本高而且非常耗時，只有民族國家的犯罪分子和有組織的犯罪活動才會這么干。

在很多情況下，小型私人公用事業(yè)公司面對的是民族國家的攻擊者，這些攻擊者甚至把這些公司的網(wǎng)絡(luò)當成了訓練演習的場所。Lee告訴參議院，很多工業(yè)領(lǐng)域的小運營商對自己的網(wǎng)絡(luò)知之甚少，這就是我們今天面對的現(xiàn)實。

Scythe的創(chuàng)始人兼首席執(zhí)行官同時也是Grimm公司的董事長Bryson Bort評論說：“我們的地緣政治對手肯定在這方面進行了嘗試。這些事情需要時間，要有足夠的耐心而且是長期活動，埋好‘炸藥，這樣當民族國家要發(fā)起攻擊時，這些‘炸藥就會爆炸。”

Lee說，對于那些主動入侵工業(yè)控制網(wǎng)絡(luò)以追求政治利益的犯罪分子，唯一的解決辦法是人們自己去抓住他們。在ICS領(lǐng)域，任何自動的、反應(yīng)式的監(jiān)控都不能取代積極的人類防御，這些防御者會主動去發(fā)現(xiàn)自己網(wǎng)絡(luò)上的那些人類惡意活動。

他認為，這個過程是從良好的威脅情報開始的：誰是積極破壞工業(yè)控制網(wǎng)絡(luò)的人類犯罪分子？他們的動機是什么？他們的目標是誰？他們是怎樣進行交易的？

在Lee提交給參議院的書面聽證報告中，Dragos分析指出，目前主要有五個活躍的組織瞄準了ICS網(wǎng)絡(luò)，包括宣稱對烏克蘭電網(wǎng)發(fā)起2015年和2016年攻擊的組織，以及首次想通過ICS惡意軟件要人命的Trisis。

有一點是清楚的：對工業(yè)控制系統(tǒng)的攻擊越來越嚴重。

越來越惡劣的ICS攻擊

一開始時是Stuxnet。美國和以色列聯(lián)手開發(fā)的惡意軟件摧毀了伊朗的離心機，但隨之而來的破壞使得這一破壞軟件站在了新聞的風口浪尖上，這是世界上第一起民族國家對工業(yè)控制系統(tǒng)的攻擊。其他國家也紛紛效仿。

2015年對烏克蘭電網(wǎng)的攻擊是第一次確認能夠破壞電網(wǎng)配電的攻擊。這導(dǎo)致22.5萬人斷電。2016年，同一犯罪組織又對烏克蘭電網(wǎng)發(fā)動了更為復(fù)雜的攻擊，Dragos報告稱之為“有史以來第一個設(shè)計并部署用于攻擊電網(wǎng)的惡意軟件框架”。Dragos的報告總結(jié)道，這個被稱為“崩潰覆蓋（Crash Override）”的惡意軟件框架是僅次于Stuxnet的惡意軟件，專門“為破壞物理工業(yè)過程而設(shè)計和部署的”。報告指出，很容易調(diào)整崩潰覆蓋框架來攻擊美國和歐洲的電網(wǎng)。

2017年，隨著Trisis的發(fā)現(xiàn)，形勢變得更糟。Lee告訴CSO：“Trisis惡意軟件專門用于殺人，這遠遠超出了我們的預(yù)想?！盩risis惡意軟件以工業(yè)安全系統(tǒng)為目標，而工業(yè)安全系統(tǒng)旨在發(fā)生工業(yè)事故時保護人類的生命。

2017年是ICS安全的分水嶺，人們開始意識到在此類攻擊面前并非束手無策。也就是說，Lee警告不要過分夸大電影情節(jié)里的那些威脅。他說，情況很糟糕，但總是可以解決的。

糟糕的媒體報道讓情形變得更糟

躲在暗處的一名黑客向核電廠發(fā)送了一封網(wǎng)絡(luò)釣魚電子郵件。然后切換鏡頭，威脅道：核爆炸！

專家說，這是不會發(fā)生的。不過，這可能是一部有趣的好萊塢電影。

把這些威脅的實情傳達給公眾對于平和地討論工業(yè)領(lǐng)域的漏洞是非常重要的。Bort呼吁媒體關(guān)注2013年發(fā)生在紐約北部Bowman大道大壩的泄露事件，該事件讓人們感到震驚，上了新聞頭條——“伊朗黑客破壞紐約大壩引起了白宮的警覺”。

但有一個問題，Bort說：“那座大壩其實就是一堵土墻，它沒有機械部件。除了知情者之外，沒有人知道這一事實。每個人都關(guān)注好萊塢式的威脅。”

他說，攻擊者設(shè)法攻破了Bowman大道大壩的監(jiān)控系統(tǒng)，僅此而已。

無論是Lee還是Bort都強調(diào)說，民族國家的犯罪分子的確會威脅到關(guān)鍵的基礎(chǔ)設(shè)施，但讓我們保持正確的態(tài)度，做好工作，而不是無緣無故地把自己嚇死。進行這項工作意味著知道你的對手是誰，并在你自己的網(wǎng)絡(luò)里抓住他們。

獲得更好的威脅情報

前美國國家安全局分析師Lee告訴參議院委員會，私營企業(yè)能夠比情報界獲得更好的威脅情報，促使OT安全部門通過安全審查，以查看機密威脅情報——這并不是非常有用。

Lee在書面聽證報告中說：“對入侵分析的關(guān)注導(dǎo)致私營公司就能夠做出非常有競爭力的情報報告，而且在很多情況下，遠遠優(yōu)于類似的政府機密報告。簡單地說，收集與網(wǎng)絡(luò)威脅相關(guān)數(shù)據(jù)的最佳地點是在被攻擊公司的網(wǎng)絡(luò)中?！?/p>

Lee告訴委員會，與在美國國家安全局相比，處理同樣的問題，他認為在私營企業(yè)能夠獲得更好的威脅情報。Lee在接受CSO采訪時說：“在美國國家安全局，我們的任務(wù)是研究民族國家怎樣進入工業(yè)控制系統(tǒng)。很明顯，我們自己收集的情報僅僅限于這種威脅場景?！?/p>

盡管政府希望解決脆弱的關(guān)鍵基礎(chǔ)設(shè)施所造成的國家安全問題，但包括Lee在內(nèi)的技術(shù)專家表示，更多的政府干預(yù)可能會適得其反，例如鼓勵加強監(jiān)管等。

合規(guī)可能是有害的

一項一項地進行檢查，以確保符合最低安全基準，這樣做能夠防止隨機惡意軟件感染，但在有目的的民族國家攻擊面前毫無用處。更糟糕的是，太多的合規(guī)措施可能是有害的，因為這會產(chǎn)生虛假的安全感。因此，Lee和其他專家敦促應(yīng)推遲進一步的監(jiān)管，讓業(yè)界去發(fā)展自己的最佳實踐。

一方面，很多ICS網(wǎng)絡(luò)現(xiàn)在甚至還沒有滿足最低標準要求。Lee在其書面聽證報告中說：“有一些工業(yè)網(wǎng)站，包括北美的，其內(nèi)部部門甚至從來沒有調(diào)查過網(wǎng)絡(luò)。我知道有一些小型電廠、水廠、天然氣公司、煉油廠、風電場和制造業(yè)網(wǎng)絡(luò)，甚至都沒有最基本的安全措施——盡管它們對于現(xiàn)代文明至關(guān)重要。”

另一方面，OT系統(tǒng)面對的是來自民族國家的對手，防范這類威脅需要有積極的監(jiān)控和事件響應(yīng)計劃，這遠遠超出了任何合規(guī)措施的要求。

要想開發(fā)一個能夠在ICS網(wǎng)絡(luò)上搜尋民族國家攻擊者的強大的OT安全計劃，需要受過訓練的網(wǎng)絡(luò)安全專業(yè)人員，并有相匹配的管理支持和預(yù)算。網(wǎng)絡(luò)安全技能嚴重短缺， OT管理層也不太了解這方面的知識，讓這一目標顯得遙遙無期。

IT遇上OT

IT安全部門仍然難以理解OT系統(tǒng)面臨的獨特挑戰(zhàn)，但更為引人注意的是傳統(tǒng)工業(yè)運營商對這種理念的反應(yīng)——工廠在運行了40年之后，現(xiàn)在，地球另一端躲在暗處的神奇的黑客居然能讓工廠停機！

Santora談到了他在NERC的審查工作。他說：“我們飛到不同的公司，有些人會狠狠地詛咒我們，說‘我不相信任何這種安全的東西，純粹浪費時間，這些東西不是真的，它不會發(fā)生在我們身上?！?/p>

他說，網(wǎng)絡(luò)安全非常新奇，而且不直觀的本質(zhì)讓老一代工業(yè)工人感到可怕?！斑@是一種難以預(yù)料的風險，有時候人們甚至害怕談?wù)撍?。?/p>

如果只能聘用安全專家的話，那么聘用網(wǎng)絡(luò)安全專家以更新的視角來充分發(fā)揮他們幾十年的經(jīng)驗，這似乎是可行的。據(jù)估計，到2020年，全球安全專業(yè)人員缺口將高達200萬人。由于工業(yè)企業(yè)通常支付的薪水要低得多，因此，高端人才不太可能去OT公司尋求職業(yè)發(fā)展。

要想解決這一問題，可以把有才能的畢業(yè)生放在OT安全崗位上，通過獎學金或者實習生制度幫助他們完成學業(yè)以換取他們安心工作。或者干脆給他們更高的薪水。無論哪種解決方案，聯(lián)邦政府都不太可能把小電廠列為國家安全問題，然后提供財政支持來保護這些資產(chǎn)。

Bort說，“如果我們說這是一個國家關(guān)鍵的基礎(chǔ)設(shè)施問題，那么你就不能指望某個小鎮(zhèn)來出錢解決這個問題?！睆亩唐趤砜?，從IT安全部門招聘可能是解決之道。

ICS村？

過去幾年里，Def Con和RSA的ICS村為安全人員提供了使用真實ICS設(shè)備的機會。ICS村的組織者VanNorman和Bort告訴CSO，打破OT安全神話，幫助IT專家更好地理解OT所面臨的挑戰(zhàn)是促使他們這樣做的原因。Bort說：“我們允許有人去實際接觸和破解不同的平臺，這樣他們就可以開始這方面的工作了?！?/p>

每個人都聽說過nmap關(guān)閉天然氣管道的故事，但是VanNorman說，OT系統(tǒng)并不像很多人想象的那么脆弱，也遠沒有那么復(fù)雜。“如果你只是去碰碰它，它不會破裂的?！?/p>

ICS村致力于彌補IT與OT之間的差距，曾成功地抓住了一名黑客。

CSO資深作家J.M. Porup自從2002年獲得IT第一份工作以來，便一直是一名安全極客。

原文網(wǎng)址

https：//www.csoonline.com/article/3260624/critical-infrastructure/insecure-by-design-what-you-need-to-know-about-defending-critical-infrastructure.html