对关键基础设施和能源组织的攻击,正变得越来越频繁。这些能够访问数据、或者破坏运行技术环境的攻击,经过精心计算,非常复杂,而且不达目的不罢休。这促使能源组织,开始意识到现有网络漏洞,并寻求合适的方案以改善其安全状况,并防止未来可能发生的运营中断。
相较于信息技术领域,以工业控制系统(ICS)网络为对象的攻击,更有可能造成灾难性的后果。这些攻击危害人身安全、破坏物理设备,损失严重。据悉,仅2015年,网络犯罪给能源和公用事业公司造成的损失,平均高达1280万美元,除了金融行业,这是各行业中最高的,这也成为工业环境所必须面对的现实。
成本上升,与威胁数量的增加有关。根据ICS-CERT的报告,过去几年,以关键基础设施为对象的攻击大幅增加,2015年就比2014年增加了20.4%,但这些攻击事件并没有像以IT为对象的攻击一样被广泛报道,只是因为它们并不是面向大众的,所以仅为组织内人员所熟知。
在某些情况下,它们甚至可能直到几个月后才被确认为网络攻击。据2015 SANS ICS安全报告,34%受调查的工业企业相信,在过去一年,他们的系统至少被破坏2次以上,44%的企业甚至无法确定攻击源。
在工业领域,由于网络攻击的不确定性和缺乏透明度,使其不但难以预防和减轻,还难于理解。在乌克兰,黑客攻击了两个配电公司的系统,导致80,000用户断电。对关键基础设施的网络攻击,可能影响到每个人的日常生活。
2015年,网络犯罪给能源和公用事业公司造成的损失,平均高达1280万美元。图片来源:GE石油和天然气公司
为帮助指导组织机构,美国国土安全部近日发布了“有效保护工业控制系统的7个步骤”,该文件将实施应用白名单作为最有效的减轻潜在网络威胁的策略。在工业控制网络中配置应用白名单,以前经常被质疑,但是最近的创新以及向安全管理服务模型转移业务,使其更容易被接受,而且性价比也更高。
什么是应用程序白名单?
在IT环境下,应用程序白名单是一个行政程序,用于限制哪些应用程序可以在计算机上运行。与此类似,在运营技术(OT)和工业环境中,应用程序白名单运行在人机界面(HMI)计算机上,指定可以在工业控制网络中运行的应用程序。
在实物资产之上,强大的保护层为网络提供保护,可以检测和防止以恶意软件形式出现的网络攻击,这些攻击可能直接影响这些资产的运营。只有真正的固件代码,才能够运行在安全控制器平台上,这样应用程序白名单就可以保护服务器免受恶意软件和零日漏洞攻击。
应用程序白名单的缺点就是比较复杂,在组织内实施和维护成本较高。然而,更多的供应商,正在将其工程实施作为ICS系统投资的一部分,同时还提供网络安全解决方案。通过保护网络的ICS层,该技术非常有效,为供应商和工业用户提供了价值。美国国土安全部建议, ICS运营商与它们的供应商合作,以便为白名单的部署制定基线并对其进行校准,以确保安全设置和有效保护。
为确保应用程序白名单的成功,培训和教育必须贯穿于整个组织。为维持应用程序的白名单机制,运行人员必须了解网络漏洞以及哪些应用程序可以安全的运行在在网络上。具有工程和网络安全背景的运营人员将十分紧缺。
工业组织应更积极的提供培训和继续教育的机会,以便培养所需的员工,帮助非技术人员了解他们的行动是如何影响安全的。作为对需求不足的补充,很多厂商提供维护应用程序白名单服务。通过提供技术和专家服务来支持网络安全需求,有助于缓解人才缺口,对那些还没有成立相应部门来管理这些事物的企业来讲,尤其有益。
曙光:基于策略的控制
现在, ICS系统强大的网络安全战略,包括多层、基于策略的应用层控制,使工业运行人员可以通过只给受信软件和应用软件打开通道的方式,来消除系统攻击面。很多厂商都开发了白名单机制,以确定嵌入式控制系统中运行的软件进程的有效性,确保只有正版软件才可以运行。
这种全面的方法,通过防止恶意程序、恶意软件、或其它软件被视为安全风险软件进程的执行,保护系统免受攻击。所有这一切,对于保护关键基础设施或能源组织及其用户利益都非常关键,当这些风险更普遍、更具破坏性时,这一点尤为重要。
黑名单在网络安全防御中的局限性
传统的防火墙和反病毒软件,并不足以防范高等级攻击。在能源领域,过去主要的方法是黑名单,这已经成为病毒防护和入侵检测/预防的标准方法,但仍然不能应对不断演化的威胁,这些威胁正被操纵并逐步渗透到特定产业环境中。
黑名单依赖签名,来识别已知威胁,它们是威胁数据库的一部分,当其它没被列出的程序被允许运行时,这些已知威胁则被阻止运行。不利的是,对于那些还没有被识别出来的潜在零日漏洞威胁,并不能提供内在保护。这就使其无法跟上日益增长的恶意软件的数量。
一个被称为“黑暗力量(BlackEnergy)”的恶意软件,从2007以来,就活跃在能源行业。像流感一样,“黑暗力量”已经演化出多个变种,在复制传播方面,变得更为有效。在最近乌克兰黑客攻击事件中,发现了“黑暗力量3”的踪影,它可能是通过鱼叉式网络钓鱼进行传播。在这种情况下,变体包含一个杀死磁盘组件。据说黑客获得网络的访问权,一旦连接到网络上,它们就可以接替操作员站,来控制断路器开关、切断电源。黑名单将无法识别出“黑暗力量3”的变种,也就无法阻止其对网络的初次访问。
黑名单往往也需要频繁的服务器更新,以便与恶意软件增殖速度同步。老化的数字资产,如燃气轮机和压缩机控制,生命周期长达数十年,需要连续作业,这样它们比其它机器更容易受到攻击,因此需要在其频繁的维修周期中,进行定期更新和打补丁。
在完全停机或完全正常运行时,这些资产是最安全的。正因如此,频繁更新会带来更大风险,引入网络威胁。运行人员应该依靠受信应用程序,并通过白名单阻止其它非受信应用,而不是预防已知威胁。如果其它应用程序被确定是安全的,运营人员就可以修改白名单 必要时可以纳入或删除应用程序,而不需使资产离线。(作者:Dana Pasquali)