如果我们不从过去的错误中加以学习,那么我们就会一如往常地重蹈覆辙。由于缺乏对生产制造行业IT运营环境和技术特点的了解,一个外包的IT部门近期因为错误的操作让价值数十亿美元的制造企业陷入了停产。我们应当从中学到什么呢?将IT安全业务进行外包是一种很常见的做法;几乎很少有企业能够负担得起一个专家组的支出,以维护一个安全环境使信息系统免受攻击。不过,外包并不意味着万事大吉,一个不了解制造业生产环境和技术特点的外包团队,很有可能最终给企业帮倒忙,不但没有节省运营成本,还带来了巨额的损失。在本文的真实案例中,该企业与IT外包公司签署了一份信息安全合同,其中一部分内容包括对所有的网络定期实施网络安全扫描,以查找出流氓软件和非法装置。但是蹊跷的是,信息安全小组并没有向公司及时汇报试验进度,甚至,每周都有多个站点的制造系统停产。可编程逻辑控制器(PLC)会莫名其妙地停止运行,并要求重启或者导致程序的重新加载,而且连接设备也会自动重置。系统停机一般发生在其正常工作时间后,但是生产制造行为却仍会持续一整天。这些站点认为虽然局部有些问题,但是还不足以确定停机原因。最后,终于有一个站点注意到了停机之前发生的“网络风暴”。术语“网络风暴”一般用于描述网络流量的瞬时拥堵,这种现象会拖慢网速和连接设备的运行速度。由于网络拓扑的设计和连接问题,或其他原因导致广播在网段内大量复制、传播数据帧,导致网络性能下降,甚至网络瘫痪。该外包的信息安全小组当时正在模拟这种非正常工作时间的网络风暴的侵袭,以确保该企业的IT系统能够应对此攻击。他们“竭尽全力”地履行职责,并且他们也没有向整个公司报告网络扫描情况,因为他们担心这会给网络入侵者一定的时间造成非法的设备脱机。
未使用任何隔离区
被关闭的站点并未通过隔离区(DMZ)将商业系统及生产制造系统分隔开来。隔离区是指介于商业/企业网络与执行实时关键任务的控制网络之间的IT网络。网络并没有通过DMZ建立直接连接,而且所有的通信都是通过服务器和数据库进行路由的。隔离区的每一侧都装有防火墙,有时还会在其内部创建一个独立的用户域名。隔离区、防火墙和间接通信是确保执行实时关键任务的控制网络及相关设备安全的最佳有效方法。“网络风暴”会袭击所有的PLC及嵌入式设备,因为其更高的网络流量是这些装置无法应对的。它们会溢出通信缓冲区,写入程序或数据存储器然后导致系统停机。幸亏这一过程最终没有导致实质性危害,但是,停机会对该企业带来每分钟数万美元的损失。
区分责任归属
当遭遇诸如“网络风暴”之类的问题时,企业IT部门通常的逻辑是:“既然如此,那么接下来会应该采取哪些措施避免受到这些攻击?”这种响应方案反映了一个问题:企业并未制定官方政策或规范来明确IT部门和控制部门的责任分工。企业的IT部门“拥有”网络和交换机,而控制部门“拥有”终端设备。控制网络并不属于IT部门所控制系统的一部分,它是由控制部门负责管理的。控制部门没有办法修复此问题,而IT部门也没有办法修复嵌入式设备。我们从这个案例中得到的教训是,区分整个隔离区中控制和IT网络责任的归属,应当是企业政策和规定中是必不可少的。此外,企业还应建立相关的规程和审查制度来监控站点是否合规。这家公司还算是幸运的,他们已经从已实际发生的攻击案例中吸取了教训。聪明的企业都会从这个案例中学习,如果它们还没有建立适当的企业政策和监督措施来保护实时关键任务控制系统,那么现在就应该制定了。“隔离区、防火墙和间接通信是确保执行实时关键任务的控制网络及相关设备安全的最佳有效方法。”