工业网络安全

导航ICS安全:第1部分

几乎现代生活的每一个方面都依赖于工业控制系统(ICS)的不间断功能。ICS保持照明,确保清洁饮用水,并提供其他关键基础设施流程。

必须保护ICS不受所有网络事件(意外或恶意)的影响,因为此类事件的物理后果对公共安全以及任何工业实体保持运营和竞争力的能力构成重大威胁。

什么是IC?

IC是一种常规术语,包括几种类型的控制系统。这些控制系统可以在离散的制造,过程自动化,能量和运输垂直方面找到,其中许多是经营关键基础设施。IC包括控制部件的组合(例如,电气,机械,液压,气动),该组合在一起起作用和控制物理过程。

工业控制系统基础

虽然OT和它既需要保护其系统和数据妥协,但每个组都倾向于以不同的优先级不同地接近系统。

例如,ICS控制工程师可能会犹豫是否升级设备,即使这将提高他们的网络安全前景。这是由于关注于保持稳定的正常运行时间,并在其他优先级(如运行最新和最好的固件)之前度量性能特征。在OT的网络安全讨论中,这三个当务之急往往占据主导地位:安全、质量正常运行时间

许多工业设备运行的是较老的、极易受攻击的Windows版本,这些版本没有经过加固或打补丁。操作人员经常觉得他们不能将这些系统进行例行维护以提高安全性,因为它们对电厂或服务的整体运行至关重要。在某些情况下,通常在IT环境中使用的安全漏洞扫描在OT环境中使用太具有破坏性。

即使组织可以克服这些障碍,网络安全也是运行ICS环境的运营团队的相对较新的学科。他们可以选择延迟在安全问题上行动,因为对安全,质量和正常运行时间真正担忧。虽然这些担忧是可以理解的,但是对关键基础设施的网络攻击正在升级。

ICS的3类

工业组织在自动化设备方面有选择。例如,必须分发一些系统以便能够操纵物理上彼此的仪器。其他人是本地化的,对多个子系统的监督,用于大量控制点在近距离内管理。大多数IC在以下类型的系统之一运行:

  1. 分布式控制系统(DCS):管理和自动化一个过程中的数千个控制点。通常在石油和天然气精炼厂、化工、制药和发电厂发现。
  2. 可编程逻辑控制器(PLC):充当工业计算机,并通过传感器接收的输入来制定决定,例如转动电机。
  3. 监控和数据采集(SCADA):集中管理,监视器和控制通常传播数千英里的远程现场设备。

工业网络威胁景观

工业运营商必须了解像网络钓鱼和恶意软件一样的常见对抗性策略,但他们也需要了解专门为损害IC而设计的新兴战术。

那么,威胁攻击究竟是如何设法进入脆弱的ICS的呢?这取决于网络安全项目有多成熟。例如,如果一个行业组织没有将基本的变化监控作为其网络安全计划的一部分,攻击者就会有更多容易下手的目标。例如,攻击者可以在工业网络内逗留不被发现,窃取数据并获得特权账户的访问权。另一方面,一个类似的组织有一个高度成熟的程序,监控他们的设备和网络,增加了对手的风险,最初的访问和侦察活动将被发现,在损害可以做之前。

故意vs意外&内幕vs underider威胁

如果您读过关于关键基础设施网络角质的标题,则协调的全国范围内攻击可能是首次想到的。虽然有意的局外人威胁对公共安全产生了严重的风险,但并非ICS内部执行的所有网络攻击都是动作电影的东西。

根据这一点2019年DBIR,30%的网络安全事件是内部威胁的结果。内部威胁可以来自人们被支付的人,以参与间谍或不满的员工,旨在造成金融损失或运作损害。在许多情况下,网络事件可能是人类错误的结果。意外内幕威胁可以看起来像员工,配置不正确的开关导致停机时间或甚至通过密码缺席打开的密码泄露机密信息。

真实世界ICS违规

2015年12月,在一个寒冷的冬夜,三个不同地区的23万多乌克兰人突然停电。一次有组织的袭击摧毁了30座公共变电站。

对这家公用事业公司来说,这次攻击似乎很突然,但它是网络犯罪分子在六个月的时间里精心策划的结果。他们使用了钓鱼、键盘记录、VPN劫持、拒绝服务、修改固件等多种手段。

由于朝向智能和未来技术的转变,来自Cyber​​Actacks的保护系统比以往任何时候都更为关键。在工业环境中的优先安全性将意味着易受这些威胁的机器的安全性,质量和正常运行时间增加。

在导航ICS基础知识的下一个系列中,我们将介绍如何构建您的网络安全计划。

想了解更多关于这个话题的信息,请阅读这篇文章白皮书从旅行或看他们的安全状况博客。