工业控制系统中的网络安全：不断变化的威胁景观

跟随

7月26日 · 16 分钟阅读

[图片上传失败...(image-f4e6e6-1565710922476)]

[图片上传失败...(image-a23db6-1565710922476)]

到目前为止，在我的IT职业生涯中，我曾为多家化工厂和工厂工作或从事过工作。这些地点都有不同的运营，程序，文化和人。然而，在所有这些地方，同样的一件事是安全文化和技术，或缺乏安全文化和技术。

通常，我所在的地方都是大型跨国能源或制造公司所有，所有这些都有企业环境。在大多数这些地方，IT都是以瀑布式自上而下管理的。您知道类型：您需要向一些团队3个国家/地区提交服务台票证才能访问SharePoint或其他一些小问题。

在我之前的一份工作期间，我在化工厂工作，我的主要日常工作是管理非控制服务器和基础设施（办公室网络）。

由于这些方法，我经常不得不预先形成，网络安全分析师会考虑什么，琐碎和不必要的工作。这包括使用复杂，笨重的合规性应用程序，这些应用程序只会随着每次更新而变得更糟，繁琐且重复的“合规性”任务对于确保系统安全毫无作用，最后也是最极端的：在我执行的每项任务上写下毫无意义的评论为了“能见度”。

此外，几乎没有用户甚至是关于威胁的管理员培训，以及发布的少量安全培训涉及完全不相关或荒谬的威胁情景。

显然，这不是公司应该采取的保护系统的方法，特别是在网络破坏或控制系统受损的环境中，可能会使某人丧命。

“作为办公室网络的管理员，如果您犯了错误，用户将失去与YouTube的连接。如果隔壁的控制系统工程师犯了错误，有人可能会死。“

无压力。

---

安全从顶部开始

现在，让我们深入了解围绕企业和控制系统安全的混乱互动。让我们从网络安全的起源开始：在顶部。

我不打算进入整体“有人没有资格制定安全政策”的辩论，因为这篇文章侧重于技术方面。然而，这在大公司中是一个重新出现的方面：CIO和CISO只是因为他们所知道的人或他们在公司中的声誉而被雇用，而不一定是因为他们所知道的。

安全和IT知识应该从上到下传递，公司中从CIO到合同的夜间门卫的每个人都应该了解所有安全程序。由于开发计划和培训人员所需的费用，往往没有这样做。但是，公司可以通过简单地控制成本来解决成本问题。不要因为您是一家大公司，使用开源培训平台，聘请一些经验丰富的安全专业人员而不是仅在培训系统方面经验丰富的大公司，让供应商向您收取溢价。

毯子政策不起作用

无论企业或某些安全解决方案供应商告诉您，网络安全都没有一刀切的解决方案。每个团队，每个办公室和每项服务的安全性都不同。您根本无法购买产品，设置规则，并按“全部申请”。它不起作用。每个业务部门或团队可能有自己的方式来处理数据，日常操作和他们自己的安全实践。以下是我们在不同地点处理业务部门和团队之间标准化运营的更复杂问题的地方。这是公司政策的一个悖论，它可以拥有自己的职位。现在让我们假设公司的标准在每个网站上都不是100％相同，因为大多数网站没有。

以下是一些避免一揽子政策错误的例子：

• 为公司中的每个用户推出相同的身份验证策略
• 锁定所有可移动媒体
• 几乎任何其他包含“所有”一词的东西。

底线：巧妙地配置应用程序，使用备用身份验证，调整企业心态。

威胁无处不在

典型的威胁可能来自任何方向。大多数大型公司只关注其网络中的流量入口点，WAN连接，远程链接等。但是，威胁几乎可以来自任何地方。

以下是威胁在控制系统网络中传播的一些最常见方式：

• 来自外部威胁参与者的远程网络入侵，将有效负载释放到顶级网络，然后进入CSN。
• 网络钓鱼或任何形式的基于电子邮件的传递方法，包含特洛伊木马或蠕虫。
• 无线网络入侵，包含初始有效负载以危害单个计算机并将其用作滩头阵地以发起其他攻击。
• 感染公共，内部办公室网络或CSN相邻网络的有效负载，并通过自动数据传输系统无意中复制到CSN。
• 威胁行为者（或不知情的员工）通过可移动媒体感染机器的直接内部入侵。（这是可以直接感染CSN的少数攻击之一）。
• 远程射频入侵，其中射频系统受到损害，并被用作在相邻网络上发起其他攻击的滩头阵地。这些攻击还可能危及未直接连接到其他系统或网络的空中系统或系统。
• 运行蓝牙的设备远程受到攻击，并被用作在其连接的无线网络上发起攻击的中转站。这种攻击可能发生在任何地方，受害者会将受感染的设备带到工作中。
• 一种相对较新的攻击，涉及使用复杂的遥感设备通过完全无线和异地攻击来嗅探流过UTP电缆的流量。

由于这些攻击的性质各不相同，因此每种攻击都需要不同的缓解策略，因此一种适合所有解决方案的解决方案都不会起作用。大多数这些攻击都有一些共同之处：人。人是这些攻击中许多攻击的第一道防线和最后一道防线。赋予员工权力可以分为两类：培训和教育用户以及赋予IT员工权力。

防范威胁

在我们深入探讨网络安全的人性方面之前，让我们来看看技术内容。

请注意，针对这些攻击的缓解措施可能会有所不同。这里列出的只是我已经实现，模拟或已经实现的那些。

以下是适用于所有这些攻击的常见缓解措施：

• 可见性至关重要。网络管理员，系统管理员和安全分析师应始终能够了解他们负责的所有系统。所有数据都应流入一个大型数据池，然后可以通过各种工具进行挖掘或提取。我们需要摆脱电子表格和报告生成时代。应该放弃这些工具以实现“一站式”解决方案。这方面的一个例子是使用ELK堆栈和Grafana来收集设备和应用程序日志，并通过应用机器学习实时分析它们，以创建易于阅读的信息丰富的仪表板。大多数公司都有各种各样的不同产品，它们都试图与彼此交谈，花费大量资金，并提供有限的可见性。咳嗽 Solarwinds 咳嗽。
• 除了可见性方面，管理员应该能够看到堆栈的每一层，从前端应用程序一直到为运行应用程序的服务器提供电源的设备。同样重要的是，所有这些都应该在单个显示器上或至少在单个系统中进行。
• 将现代技术应用于安全性。可以看到整个堆栈的最重要原因之一是数据关联。机器学习可以应用于整个数据集，然后Kibana等软件可以显示相关结果，并为管理员或分析师提供更好的问题图像。这不仅有助于提高安全性，还有助于提高系统可靠性，同时还可以减少系统管理员的工作量。这方面的一个例子是：系统检测到数据中心空中处理程序的故障，这导致附近的服务器处理存储过热和热节流，因此，板载CPU降低了它的速度，这会影响存储的性能平台，反过来影响使用附加存储的应用程序的性能。
• 培训您的管理员和用户。开发定制培训计划，展示这些攻击，他们可以做什么，以及如何防范他们。
• 使用常识并关心安全性。这听起来像是一个没有脑子的人，但这是威胁行为者利用的最常见的攻击媒介之一。不要点击您不熟悉的链接，不要连接到打开的Wifi，请始终使用VPN。使用Malwarebytes for iOS或Android等产品保护您的移动设备。

现在，让我们来看看如何抵御上述攻击：

• 首先是WAN和外部连接安全性。有多种方法可以防止这种攻击，但最常见的方法之一是使用带有流量监控的托管防火墙，以及集成的IDS / IPS。防火墙也应该由知道他们正在做什么的人配置。将所有防火墙配置和规则保存在一个完全自动化的中央安全记录系统中也是一个好主意。（为了符合规范，不要让您的网络管理员通过手动编辑其他系统中的规则来忙于工作）。
• 接下来是网络钓鱼攻击。这可以通过几种方式来对抗。首先是教育您的用户。劳动力中的任何用户，无论其角色如何，都应经过严格培训，以抵御网络钓鱼和社会工程攻击。教导他们在点击链接之前始终检查链接，在讨论敏感信息之前始终验证手机上人员的身份，并报告可疑活动或电子邮件。另一种应该同时实施的方法是智能电子邮件过滤。应该有一些设备位于MX服务器和外部世界之间，能够利用深层检测技术来嗅探错误的链接，无效的URL目标以及传入和传出电子邮件的任何其他问题。
• 无线网络入侵更难以缓解。无线入侵可以来自任何地方，任何接入点，任何受损设备以及大量不同的攻击类型。在控制环境中实施无线网络时使用常识。如果可能，请勿将任何无线（Wifi或RF）连接到PCE。一些设施为其机械和储罐使用基于网格的传感器和仪器系统。如果可能，请避免使用此系统。如果需要无线技术，请确保通信已加密并使用WAP2-PSK Enterprise安全性，并且受保护的无线设置（WPS）不仅已关闭，而且如果可能，则在内核中禁用。始终监控无线网络并使用智能算法来检测可能的入侵。另一个对策是限制无线设备的广播范围，使得信号保持在设施的周边内。如果可能，也不要广播网络的服务集标识符（SSID）。
• 除非安全系统位于CSN和相邻的连接网络之间，监视入站和出站SMB，SCP，FTP和SSH流量，否则很难检测到复制的有效负载攻击。如果发生此攻击，安全链的一部分已经失败，因为有效载荷必须进入相邻网络。防止或检测此攻击有两个缓解步骤：第一个是使用上述扫描方法。我使用了一些工具，这些工具利用了几种不同防病毒产品的API来扫描在无菌和非无菌内部安全区域之间传输的传入和传出文件。如果发现威胁，管理员将收到警报，并且可疑的文件将被拦截和隔离。这也与应用层防火墙设备相结合，可以调节两个区域之间的流量。另一个缓解步骤是确保有效负载永远不会到达相邻网络。保护网络入口的所有点，修补系统并教育您的员工。
• 可移动媒体可能是一场噩梦。一方面，用户和管理员需要传输大文件（ISO，文档，供应商文件，诊断数据等），但另一方面，由于存在巨大的安全风险，CSN管理员根本不希望使用可移动媒体它构成。解决方案是智能化可移动媒体安全性，并使用可以缓解可移动媒体引起的安全问题的产品。其中一种产品是霍尼韦尔的中小企业系统或安全的媒体交换。

[##

针对USB威胁的工业网络安全防护

安全媒体交换（SMX）降低了工业网络安全风险和工业运营中断......

www.honeywellprocess.com](https://www.honeywellprocess.com/en-US/online_campaigns/IndustrialCyberSecurity/Pages/smx/home.html?source=post_page-----7ab01d12dee----------------------)

基本上，它使用便携式终端扫描可移动媒体，并使用特殊标记对其进行保护，指示已扫描并且在不安全的计算机上扫描后没有数据被修改。然后，用户将安全驱动器插入安装了SME软件的授权计算机，该计算机授权驱动器在已安全的情况下打开。

有趣的概念，但没有系统是完美的。仍有一些高级攻击向量可用于规避此系统（这些是高级主题，超出了本文的范围）。

• 对工艺控制基础设施的RF攻击在工业控制领域并不常见（至少在撰写本文时）。它们主要用于无线克隆安全徽章并对设施进行被动嗅探攻击。然而，现代工业控制系统越来越依赖于物联网或物联网技术和基于射频的网状通信，用于诸如机械健康监测，储罐液位指示和过程安全系统之类的系统。RF入侵的缓解步骤可能很复杂，但基本上涉及保护客户端，网格本身和网格中所有端点之间的流量。这可以通过强加密，双因素身份验证以及一些新系统（如MAC地址白名单）中包含的新RF安全措施来实现。
• 我在工作和安全审核上多次使用蓝牙攻击。蓝牙劫持（有时称为Bluejacking或Bluesnarfing）是最简单的攻击之一，如果您拥有适当的设备（大部分可以轻松构建或在线购买）。运行Windows或Linux的蓝牙设备等待发生。人们禁用你的蓝牙！没有理由在办公室计算机上安装蓝牙，实际上甚至不订购内置蓝牙的PC，如果这样做，则应用策略来禁用整个蓝牙堆栈。有许多方法可以远程唤醒或启用禁用或睡眠的BT模块。Blueooth堆栈在笔记本电脑和台式机上的工作方式允许攻击者在很短的时间内远程获取对计算机的完全访问权限。也，有些人会说，由于蓝牙范围有限，这种攻击已经减轻了。不是这样。凭借大约80美元的电子产品，我可以将我的Blueooth模块的范围提高到正常功率的10-20倍。所以请...。不要将这些东西连接到您的控制网络。
• 远程电缆嗅探攻击在某种程度上属于更为理论化的安全领域，但如果条件合适且攻击者已确定，则可能发生这种情况。这种类型的攻击的好处是从远程位置预先形成无线是不容易的（或便宜的）。它需要先进的设备和训练有素的安全专家（大部分时间都是如此）。减轻这种攻击非常简单：不要在任何地方使用UTP布线。此外，如果可能，请使用完全密封的ESD安全，接地网络机柜。另外，保持柜门和开口关闭。（如果你有空气系统，你应该已经完成​​了所有这些）。

---

物联网安全：它在哪里？

物联网设备在工业控制系统环境中变得越来越流行。霍尼韦尔，通用电气和艾默生等大型供应商正在其新型工业解决方案中使用物联网设备。在我们继续之前，我想指出一个事实，即用于工业环境的物联网设备与面向消费者的供应商（如Nest或Ring）提供的物联网设备不同。不同之处通常在于设备运行的软件和管理协议。例如，工业设备很可能不运行Zigbee控制协议，而是使用供应商或OEM提供的专有的，有时是加密的协议。

让我们首先看看消费者物联网产品，例如Nest Learning Thermostat。该设备控制您的A / C单元，并允许您通过Nest应用程序管理所有设备的设置。为了实现这一目标，该单位必须通过Zigbee或其他协议与互联网进行通信......等待一分钟，沟通？上网？没门。我的所有IOT设备都在防火墙后面，并且不允许任何设备呼叫回家，或者在本地网络外的任何地方发送流量。但这会带来一个问题：我们如何获得这些设备的更新？我们如何管理它们。我们适应，并迫使供应商适应。不幸的是，这是Nest失败的原因。他们似乎不理解物联网安全的概念，并使用一个我无法做任何事情的封闭协议。但是，对于其他设备，我可以使用本地IOT服务器，然后我可以通过单个应用程序或界面进行控制。除了安全性之外，这还有其他优点。如果您管理所有数据流，您可以使用您想要的任何软件（Kibana，Balena IOT等）查看数据。另一个好处是，您不需要下载600万个应用程序来控制一个房屋或建筑物。

过程控制IOT基础设施具有类似的安全问题。我看到许多供应商做的一件很常见的事情就是把所有东西放在云端。如果供应商询问您是否需要“托管云服务”或其他基于云的产品，以用于任何驻留或触及您的PCE的产品，请拒绝该信息。不要试图将流程控制基础设施融入云中。如果您出于任何原因需要向外界（设施外的任何地方）打开PCE防火墙，那么您做错了。现场没有PCE基础设施是没有充分理由的。现在，这是否意味着您只应将数据保留在本地？可能不是，因为大多数现代灾难恢复和BC策略都使用基于云的备份，但在设计过程控制系统时，请使用常识。

但是，您不应该在本地设施之外的任何地方拥有实时数据流（读取或写入）。注意：我知道有一些方法可以通过AWS，加密的私有连接等来缓解和保护云流量......我知道。但是不要喜欢你的PCE。保存办公网络的云迁移。

接下来，制定一个所有网站都采用的物联网策略。很多时候我一直在设施的问题，你的IOT程序指南在哪里，答案是.......“uuummm，我们没有？”该文件应该由安全研究人员和专家，物联网专家组成，由本地IT或PCE工程团队进行同行评审。IT应包括有关推出新IOT系统的所有政策和指南，供批准使用的供应商，以及使用IOT系统时应遵循的任何其他程序。

在将IOT系统实施到过程控制环境中时，应始终询问以下内容：

• 这些系统是否符合设施的物联网指南？
• 端点和端点到客户端流量的端点是否可以加密或保护？
• 终端本身可以得到保护吗？
• 这些设备是否符合企业数据处理要求和安全标准？
• 我可以修改无线接收器的TX和RX功率吗？
• 我可以隐藏物联网网格的SSID或任何其他网络标识符吗？
• 如何将数据传达给需要查看的操作员和人员？
• 设备可以安装在安全的位置吗？
• 我可以在我的工厂使用高功率HF或VLF RF系统吗？（这更多的是过程安全决策而不是安全决策，并且存在于其过程区域可能具有大量易燃气体的设施，例如炼油厂或化工厂）。

倾听你的员工

很多时候，我看到管理实施或不实施，只是因为它是供应商的“好主意”，或者是“企业IT需求的一部分”。我会在这里直言不讳：如果一个想法没有意义，就不要实施它。无论从哪里来。在大多数公司中，当地管理员和工程师负责设施的过程控制系统。管理层应始终倾听并评估其IT和工程人员的意见。保持开放的心态，并尝试从员工的角度看问题。我可以在此撰写完整的帖子，因为这是企业和小型企业环境中的一个重复出现的问题。

更昂贵并不意味着更安全

解决方案的成本与解决方案的安全性无关。很多时候，制造业和能源行业的心态是，更昂贵的总是更好，开源在企业环境中没有任何业务。这只是一种有缺陷的想法，这种想法源于供应商数十年的过度收费以及存在的不受控制的定价，因为没有人再推迟它。像霍尼韦尔和艾默生这样的大型控制系统供应商因此而臭名昭着。他们采用简单的技术，稍微修改一下，然后以10倍的开发和制造成本进行销售。安全性也受此影响。更昂贵和专业的一般心态意味着更安全的需要结束。

此外，公司应该开始为其控制系统采用开源软件和硬件。没有理由认为开源不应该在PCE环境中使用，只要它与其他所有东西都具有相同的高标准。在PCE中不使用开源的一个常见理由是，由于“资格原因”，它不能与其他供应商提供的系统一起使用。虽然在一些边缘情况下（在不同的系统可能导致问题的情况下）这是正确的，但是由合格的个人进行安装和设计应该可以缓解这个问题。大多数时候，只有供应商才能从客户那里挤出更多的钱。如果开源系统的控制协议是相似的，并且两者之间存在共同的API，

总而言之，要聪明地了解安全性，继续部署开源IOT平台，聘请合格人员设计安全程序，在威胁发生之前缓解威胁，并倾听/授权您的员工。

一如既往，感谢阅读。我重视评论和问题。

〜