關(guān)鍵礎(chǔ)設(shè)施網(wǎng)絡(luò)安全正本清原--以控制系統(tǒng)的“可靠、可用、安全”為目標(biāo)的任務(wù)保障才是王道
2021-08-03
來(lái)源:關(guān)鍵基礎(chǔ)設(shè)施安全應(yīng)急響應(yīng)中心
近日,國(guó)際知名自動(dòng)化控制系統(tǒng)網(wǎng)絡(luò)安全專家,網(wǎng)絡(luò)安全、控制系統(tǒng)和系統(tǒng)安全方面的國(guó)際權(quán)威Joseph M. Weiss撰文(US critical infrastructure cyber security is backwards - it's the process that counts not the data)評(píng)述美國(guó)剛剛發(fā)布的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全行動(dòng)倡議,認(rèn)為美國(guó)政府和關(guān)鍵基礎(chǔ)設(shè)施行業(yè)對(duì)ICS的網(wǎng)絡(luò)安全已誤入歧途,所有的做法都走上了基于IP網(wǎng)絡(luò)的威脅檢測(cè)的道路,偏離了工業(yè)控制系統(tǒng)本身可靠性、可用性和功能安全性的本真需求。Weiss建議采取過(guò)程傳感器的監(jiān)控技術(shù),而以色列水務(wù)局最近確實(shí)采取了這種工程方法,批準(zhǔn)了離線過(guò)程傳感器監(jiān)測(cè)技術(shù),以確保該國(guó)的供水系統(tǒng)安全。與美國(guó)監(jiān)控IT和OT網(wǎng)絡(luò)用于網(wǎng)絡(luò)安全(即網(wǎng)絡(luò)異常檢測(cè))的現(xiàn)行做法不同,以色列的方法是基于監(jiān)控過(guò)程傳感器的電特性(過(guò)程異常檢測(cè)),而不是像美國(guó)那樣僅僅依靠網(wǎng)絡(luò)監(jiān)控。以下內(nèi)容編譯自Weiss的博文。
介紹
控制系統(tǒng)網(wǎng)絡(luò)安全通俗的解釋,就是保持燈亮著、水流動(dòng)著等。這不僅僅是維護(hù)網(wǎng)絡(luò)可用性的問(wèn)題。如果控制系統(tǒng)受到網(wǎng)絡(luò)事件的影響,無(wú)論是意外事件還是蓄意攻擊,關(guān)鍵基礎(chǔ)設(shè)施的可靠性、可用性和安全性都可能受到影響。工業(yè)、制造業(yè)、交通運(yùn)輸業(yè)和其他行業(yè)都依賴于基于運(yùn)營(yíng)技術(shù)(OT)互聯(lián)網(wǎng)協(xié)議(IP)的網(wǎng)絡(luò)來(lái)顯著提高生產(chǎn)率。然而,在這些改進(jìn)的同時(shí),也出現(xiàn)了嚴(yán)重的網(wǎng)絡(luò)漏洞。
關(guān)于關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的謬論是,假設(shè)需要IP網(wǎng)絡(luò)來(lái)保持照明、供水等。80多年來(lái),電網(wǎng)在沒(méi)有IP網(wǎng)絡(luò)的情況下仍然保持著運(yùn)行。電力系統(tǒng)中的控制系統(tǒng)被設(shè)計(jì)成相互協(xié)調(diào)工作,因此與控制系統(tǒng)相關(guān)的設(shè)備可以在沒(méi)有SCADA和SCADA網(wǎng)絡(luò)的情況下工作。例如,2015年烏克蘭電網(wǎng)遭到網(wǎng)絡(luò)攻擊后,烏克蘭人在沒(méi)有IP網(wǎng)絡(luò)的情況下繼續(xù)手動(dòng)操作電網(wǎng),因?yàn)镮P網(wǎng)絡(luò)不可信。然而,如果關(guān)鍵硬件受到損害或損壞,電網(wǎng)就無(wú)法運(yùn)行。這包括監(jiān)測(cè)和控制網(wǎng)格的過(guò)程傳感器。
2021年7月28日,拜登總統(tǒng)發(fā)布了一項(xiàng)關(guān)于工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全(ICS)倡議的聲明,該倡議是聯(lián)邦政府和關(guān)鍵基礎(chǔ)設(shè)施行業(yè)之間的自愿合作努力,以促進(jìn)技術(shù)和系統(tǒng)的部署,提供威脅可視性、攻擊指標(biāo)、檢測(cè)和警告。迄今為止,這是一種針對(duì)網(wǎng)絡(luò)威脅的基于網(wǎng)絡(luò)的方法。另一方面,控制系統(tǒng)現(xiàn)場(chǎng)設(shè)備,如壓力、液位、流量、溫度和電壓傳感器(通常不被認(rèn)為是OT的一部分)本質(zhì)上是不安全的,通常不被設(shè)計(jì)用于連接IP網(wǎng)絡(luò)。總統(tǒng)的ICS 行動(dòng)倡議并沒(méi)有解決這個(gè)問(wèn)題。
背景
在“9·11”事件之前,網(wǎng)絡(luò)安全只是設(shè)計(jì)和實(shí)施控制系統(tǒng)時(shí)必須考慮的風(fēng)險(xiǎn)之一,此外還有地震風(fēng)險(xiǎn)、環(huán)境風(fēng)險(xiǎn)、火災(zāi)風(fēng)險(xiǎn)、可靠性風(fēng)險(xiǎn)等。這些風(fēng)險(xiǎn)被視為工程考慮因素,管理它們被視為一項(xiàng)工程功能。這樣做的目的是為了確保設(shè)計(jì)的工程基礎(chǔ)能夠得到滿足,而不考慮風(fēng)險(xiǎn)。因此,工程組織負(fù)責(zé),這包括網(wǎng)絡(luò)安全。這是一種“自下而上”的過(guò)程異常檢測(cè)方法,執(zhí)行任務(wù)的利益保證。事實(shí)上,這是我在2000年幫助啟動(dòng)的電力研究所(EPRI)控制系統(tǒng)網(wǎng)絡(luò)安全項(xiàng)目的基礎(chǔ),不幸的是,現(xiàn)在和其他項(xiàng)目一樣,是關(guān)于保護(hù)網(wǎng)絡(luò)安全的。
9/11之后的某個(gè)時(shí)候,網(wǎng)絡(luò)安全變成了國(guó)家安全。然而,大約在同一時(shí)間,控制系統(tǒng)的網(wǎng)絡(luò)安全轉(zhuǎn)移到IT(現(xiàn)在的OT)網(wǎng)絡(luò)監(jiān)控組織,不再涉及工程。因此,控制系統(tǒng)網(wǎng)絡(luò)安全從任務(wù)保障轉(zhuǎn)向信息保障。把重點(diǎn)放在網(wǎng)絡(luò)而不是過(guò)程上,也可以通過(guò)讓CISO而不是工程/運(yùn)營(yíng)副總裁負(fù)責(zé)工程系統(tǒng)的網(wǎng)絡(luò)安全來(lái)看到。因此,網(wǎng)絡(luò)安全監(jiān)控和緩解傾向于向IP網(wǎng)絡(luò)層轉(zhuǎn)移--網(wǎng)絡(luò)異常檢測(cè)傾向于取代過(guò)程異常檢測(cè)。控制系統(tǒng)設(shè)備,如保護(hù)繼電器,是根據(jù)進(jìn)入設(shè)備硬件寄存器的指令工作的。這些指令參考其他指令和原始處理傳感器輸入數(shù)據(jù)來(lái)執(zhí)行所需的命令。這意味著保護(hù)繼電器等設(shè)備與傳統(tǒng)的高層網(wǎng)絡(luò)關(guān)系不大,而是依賴于測(cè)量的完整性。
美國(guó)政府和行業(yè)在遠(yuǎn)離傳統(tǒng)的基于網(wǎng)絡(luò)的方法方面的沉默可以從以下例子中看到:
2021年7月發(fā)布的網(wǎng)絡(luò)安全能力成熟度模型2.0版(C2M2未解決過(guò)程傳感器和過(guò)程異常檢測(cè)問(wèn)題)。如果不解決是什么讓燈一直亮著、水一直流著,這個(gè)過(guò)程還能有多成熟呢?
電氣行業(yè)的NERC關(guān)鍵基礎(chǔ)設(shè)施保護(hù)(CIP)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)認(rèn)為,過(guò)程傳感器超出了網(wǎng)絡(luò)安全考慮范圍。
愛(ài)達(dá)荷國(guó)家實(shí)驗(yàn)室人員最近的播客支持網(wǎng)絡(luò)方法(https://www.synack.com/were-in-synack-podcast/?utm_source=organic_social)。
在發(fā)現(xiàn)某國(guó)制造的大型變壓器的硬件后門后,總統(tǒng)發(fā)布了13920號(hào)行政命令。從行政命令可以看出,它只專注于硬件和控制系統(tǒng)。然而,政府和業(yè)界的反應(yīng)是把這種硬件攻擊變成一個(gè)軟件供應(yīng)鏈問(wèn)題。
使用傳感器監(jiān)測(cè)
過(guò)程傳感器監(jiān)測(cè)用于過(guò)程異常檢測(cè)已有多年的歷史。在20世紀(jì)70年代末,我使用它來(lái)識(shí)別核電廠的流動(dòng)誘發(fā)振動(dòng)問(wèn)題,在20世紀(jì)90年代初,我管理EPRI核儀器儀表和診斷程序,以檢測(cè)主要供應(yīng)鏈常見(jiàn)的過(guò)程傳感器問(wèn)題。
傳統(tǒng)的工程現(xiàn)場(chǎng)設(shè)備,如過(guò)程傳感器、執(zhí)行器、驅(qū)動(dòng)器、定位器和分析儀,沒(méi)有網(wǎng)絡(luò)安全、認(rèn)證或網(wǎng)絡(luò)日志,也不容易升級(jí)為網(wǎng)絡(luò)安全。然而,處理傳感器將輸入送到OT網(wǎng)絡(luò),OT網(wǎng)絡(luò)監(jiān)控供應(yīng)商假設(shè)傳感器輸入是未被破壞的、經(jīng)過(guò)認(rèn)證的、正確的。然而,由于傳感器輸入沒(méi)有經(jīng)過(guò)驗(yàn)證,因此不清楚明顯的傳感器數(shù)據(jù)實(shí)際上是來(lái)自傳感器而不是來(lái)自“欺騙”信號(hào)。接收傳感器信號(hào)的驅(qū)動(dòng)器、控制器等無(wú)法驗(yàn)證傳感器信號(hào)的來(lái)源,因此自動(dòng)接受傳感器并作出相應(yīng)的響應(yīng)。這可能是某國(guó)人在大型變壓器的硬件后門上使用的方法,在不侵入網(wǎng)絡(luò)的情況下控制變壓器。因此,有必要采取一種難以處理的網(wǎng)絡(luò)監(jiān)控方法,使其成為一種易于處理的工程方案。
現(xiàn)代機(jī)器學(xué)習(xí)能夠?qū)υ歼^(guò)程傳感器信號(hào)進(jìn)行模式檢測(cè),這在以前是不可能的。正是這種額外的能力,使得傳感器監(jiān)控能夠識(shí)別進(jìn)程異常,而不管原因是什么,并且獨(dú)立于IP網(wǎng)絡(luò)及其相關(guān)的網(wǎng)絡(luò)漏洞。因此,以色列水務(wù)局最近采取了這種工程方法,批準(zhǔn)了離線過(guò)程傳感器監(jiān)測(cè)技術(shù),以確保該國(guó)的供水系統(tǒng)安全。與美國(guó)監(jiān)控IT和OT網(wǎng)絡(luò)用于網(wǎng)絡(luò)安全(即網(wǎng)絡(luò)異常檢測(cè))的普遍做法不同,以色列的方法是基于監(jiān)控過(guò)程傳感器的電特性(過(guò)程異常檢測(cè)),而不是像美國(guó)那樣僅僅依靠網(wǎng)絡(luò)監(jiān)控。
離線傳感器監(jiān)控的好處
為什么過(guò)程傳感器方法如此有價(jià)值的一個(gè)類比是,考慮一輛以70英里/小時(shí)的速度行駛的汽車,其中一個(gè)輪胎癟了。你把車停在路邊,把漏氣的輪胎換成小的備用輪胎。然后你可以繼續(xù)駕駛汽車,盡管減速,直到你可以更換常規(guī)輪胎。現(xiàn)在考慮勒索軟件,IT和OT網(wǎng)絡(luò)提供了生產(chǎn)力。但是,如果IT網(wǎng)絡(luò)和OT網(wǎng)絡(luò)因?yàn)槔账鬈浖驉阂廛浖鴣G失,對(duì)IT惡意軟件不敏感的傳感器進(jìn)行離線監(jiān)控,即使效率降低,也可以繼續(xù)運(yùn)行,直到IP網(wǎng)絡(luò)恢復(fù)。
具體來(lái)說(shuō),以色列做法的好處包括:
原始處理傳感器信號(hào)提供有關(guān)系統(tǒng)物理操作的直接真相。
過(guò)程傳感器監(jiān)控系統(tǒng)不受IT或OT意外網(wǎng)絡(luò)問(wèn)題、網(wǎng)絡(luò)攻擊(包括勒索軟件)或補(bǔ)丁管理疏忽導(dǎo)致的漏洞的影響、
作為過(guò)程異常檢測(cè),系統(tǒng)可以檢測(cè)任何異常,而不僅僅是惡意的網(wǎng)絡(luò)攻擊,這意味著即使是看起來(lái)像設(shè)備故障的復(fù)雜攻擊(如Stuxnet)也可以被識(shí)別出來(lái)。
我積累了一個(gè)數(shù)據(jù)庫(kù),其中記錄了近1200起控制系統(tǒng)網(wǎng)絡(luò)事件,這些事件導(dǎo)致1500多人死亡,直接損失超過(guò)900億美元。然而,通過(guò)網(wǎng)絡(luò)監(jiān)控,絕大多數(shù)都沒(méi)有被認(rèn)定與網(wǎng)絡(luò)有關(guān)。過(guò)程傳感器監(jiān)測(cè)將能夠識(shí)別許多這些事件作為過(guò)程異常。
通過(guò)實(shí)時(shí)監(jiān)測(cè),該系統(tǒng)本質(zhì)上是一個(gè)傳感器健康監(jiān)測(cè)系統(tǒng),因此也可以作為一個(gè)預(yù)測(cè)性維護(hù)系統(tǒng),可用于延長(zhǎng)維護(hù)間隔。
過(guò)程傳感器監(jiān)控系統(tǒng)檢測(cè)到基于windows的OT監(jiān)控系統(tǒng)無(wú)法識(shí)別的設(shè)備影響。
監(jiān)控傳感器需要負(fù)責(zé)該過(guò)程的工程師的參與。
監(jiān)控進(jìn)程傳感器提供認(rèn)證,否則認(rèn)證可能就不存在。
過(guò)程傳感器監(jiān)控系統(tǒng)適用于任何關(guān)鍵基礎(chǔ)設(shè)施,已安裝在水、電力、化學(xué)品和建筑控制中。
過(guò)程傳感器的監(jiān)控適用于所有基礎(chǔ)設(shè)施,因?yàn)樗鼈兌际褂眠^(guò)程傳感。這種解決多個(gè)行業(yè)的方法符合總統(tǒng)ICS計(jì)劃的意圖。例如,新的TSA網(wǎng)絡(luò)安全要求沒(méi)有解決潛在的管道故障,因?yàn)樗鼈兪腔诰W(wǎng)絡(luò)的,沒(méi)有解決進(jìn)程傳感器。截至2021年7月27日,美國(guó)最重要的管道之一遭到嚴(yán)重勒索軟件攻擊,美國(guó)運(yùn)輸安全管理局(TSA)采取緊急措施后,關(guān)鍵管道運(yùn)營(yíng)商報(bào)告了220多起網(wǎng)絡(luò)安全事件。但是,我不知道最近有管道斷裂或中斷的報(bào)道,這意味著220起網(wǎng)絡(luò)安全事件不是影響管道運(yùn)行的IT事件。然而,兩起事故造成了人員死亡和建筑破壞,美國(guó)運(yùn)輸安全管理局的網(wǎng)絡(luò)安全指導(dǎo)方針并沒(méi)有解決這兩起與網(wǎng)絡(luò)有關(guān)的管道破裂事故。
傳感器監(jiān)控可以應(yīng)用于特定的供應(yīng)鏈情況,如某國(guó)制造的變壓器的硬件后門,以確保進(jìn)入變壓器設(shè)備的傳感輸入不會(huì)被來(lái)自其他地方的“欺騙”信號(hào),因?yàn)橛布箝T繞過(guò)了所有的網(wǎng)絡(luò)安全保護(hù)。
鑒于最近JBS肉類加工廠關(guān)閉,傳感器監(jiān)測(cè)方法可以幫助食品工業(yè)證明繼續(xù)運(yùn)營(yíng)是合理的,因?yàn)楣S過(guò)程仍在繼續(xù)。
網(wǎng)絡(luò)安全的局限性
美國(guó)方法的缺點(diǎn)包括:
無(wú)論是IT還是OT網(wǎng)絡(luò)都不能提供過(guò)程的實(shí)際情況,并假定傳感器輸入是未受損害的、經(jīng)過(guò)驗(yàn)證的和正確的。
網(wǎng)絡(luò)監(jiān)控是一個(gè)永無(wú)休止的“打地鼠”問(wèn)題(例如,防御者想出了一個(gè)解決方案,攻擊者就會(huì)想出了一個(gè)旁路)。
即使是最好的網(wǎng)絡(luò)網(wǎng)絡(luò)安全也會(huì)被擊敗。
OT網(wǎng)絡(luò)既容易受到復(fù)雜網(wǎng)絡(luò)漏洞的影響,也容易受到一般網(wǎng)絡(luò)漏洞的影響。
OT網(wǎng)絡(luò)安全組織傾向于排除負(fù)責(zé)控制系統(tǒng)設(shè)計(jì)和運(yùn)行的工程師。
總結(jié)
由于對(duì)關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)的攻擊永無(wú)止境,而且往往取得成功,因此需要有一種更好的方法來(lái)保護(hù)控制系統(tǒng)及其監(jiān)視和控制的過(guò)程。2021年7月28日,總統(tǒng)發(fā)布了工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全(ICS)倡議,以促進(jìn)提供威脅可視性、攻擊指示、檢測(cè)和警告的技術(shù)和系統(tǒng)的部署。迄今為止,這是一種針對(duì)網(wǎng)絡(luò)威脅的基于網(wǎng)絡(luò)的方法。然而,通過(guò)保護(hù)網(wǎng)絡(luò)來(lái)保護(hù)關(guān)鍵基礎(chǔ)設(shè)施的現(xiàn)有方法并不奏效。以色列水務(wù)局認(rèn)識(shí)到這一需要,并正在監(jiān)測(cè)過(guò)程傳感器的電特性,因?yàn)樵歼^(guò)程傳感器信號(hào)是真實(shí)的,不容易受到網(wǎng)絡(luò)攻擊。希望美國(guó)政府、保險(xiǎn)公司、信用評(píng)級(jí)機(jī)構(gòu)和其他機(jī)構(gòu)能夠認(rèn)識(shí)到真正需要得到保障的是保證照明和供水的現(xiàn)場(chǎng)控制系統(tǒng)設(shè)備。
