物联网时代的SCADA网络安全威胁
随着工业物联网(IIoT)得到更多的关注和应用,监控与数据采集(SCAD)系统的传统角色正在发生改变。SCADA系需要适应这种变化。
监控和数据采集(SCADA)系统以及包括人机界面(HMI)、楼宇管理系统(BMS)、制造执行系统(MES)和计算机维护管理系统(CMMS)等在内的范围更大的工业控制系统(ICS)都是专有的技术,通常来说都会与企业信息技术(IT)基础设施隔离开来。这些系统最初并不是为网络安全设计的。
ICS传统的控制和安全的角色已经扩展到包括为工厂和过程提供信息,或对来自ERP以及其他企业系统的指令做出响应。根据国家基础设施保护中心的关于“确保安全转移至基于IP的SCADA/PLC网络”的规定,这会让ICS系统面临潜在的网络威胁。
时下对于物联网(IoT)以及与之密切相关的工业物联网(IIoT)或者工业4.0之间的网络连接的关注,为数据聚合战略和态势感知带来了巨大的潜在好处。如果IIoT装置使用互联网协议(IP),将增加暴露在网络威胁下的机会。
IIoT的变革打乱了传统控制室的角色,使其朝用于监视和控制功能的可移动装置转化方向变化。例如,正在出现的具有IIoT功能的ICS的情境式HMI组件,为生产和维护单位提供了产能方面的提升,同时扩展了ICS的应用领域。然而,它也扩大了网络威胁管理的范围。
NIST的网络安全支柱有四个元素:识别、保护、检测和应对。
网络安全的支柱
现代的ICS平台供应商将网络风险和弹性管理纳入到ISO9001质量流程中去用于研发和生产。其目的是让内部和外部上报的漏洞做到透明管理,并快速采取行动,尽可能减少给客户造成的风险。
美国国家标准技术研究所(NIST)已经提供了一个架构,对于系统地识别一个机构的重要资产、识别威胁以及确保重要资产安全方面具有非常重要的价值。该架构具有四个元素:识别、保护、检测以及应对。
识别与鉴别
资产和数据流的详细清单对于ICS建立正常行为的基准很重要。工业网络可以很大很复杂,而工业协议又有别于企业IT网络所用的协议。使用简单网络管理协议(SNMP)对网络设备进行寻址和监控的自动化工具提高了详细清单的效率和精确性。
控制系统感知的清单和监控工具是建立可靠的ICS基准的重要因素。使用可以为ICS、PLC以及其他控制元素之间通讯建立起基准模板的技术来监控ICS是至关重要的。理想中的这个系统应该可以做到:
·使用无源传感器从网络数据流中提取元数据;
·动态地建立组件的视觉清单以及连接图;
·学习ICS并为正常的运行提供统计学以及行为方面的描述;
·推荐预防性行为;
·根据需要启动应急响应。
IIoT装置通常使用无线技术进行通讯。通用IT网络与ICS网络之间的区别是使用静态IP。随着工业网络变化得与更广泛的互联网连在一起,健康监控系统会寻找变化的或者重复的IP和MAC地址、设备或电缆移动以及未经授权的连接。增加了通过具有动态IP连接的无线接入点所连接的移动式传感器,整个环境会变得更加复杂。
保护正在消融的边界
在最近举行的一次技术峰会上,Centrify公司区域经理Mike Ratte讨论了当今的网络安全境况。“我们需要识别是新的边界”,他指出,几乎一半的被攻击的情况是因为认证不严格;黑客将所有级别的用户都设定为目标,包括享有特权的用户;基于边界的传统的安全措施已经不够了;应当将安全的基础建立在基于情境的政策上。这个战略很适合正在消融的ICS边界,其已经享受了开放连接带来的好处,因此也将会受益于企业安全专业人士。
据统计,63%的数据外泄涉及安全性弱的、默认的或被盗的密码,在ICS网络威胁的排名中认证管理排名靠前。通过被盗的或丢失的移动装置物理访问的可能性增加了对强有力的认证管理的需求。工业网络通过防火墙、虚拟私人网络(VPN)以及交换机实现了第一层防护。
ICS供应商必须对配置文件加密、对于异常连接尝试提供监控、使用例如HTTPS的安全协议、并且提供与微软动态目录整合在一起的高级用户权限。ICS可以采用强大的识别管理系统。使用动态目录作为核心的识别管理资源库,一个ICS用户可以通过一个登陆账号使用所有的应用。