SCADA Security Explained So Easy - Cyber Security
 |
來源:CEC 作者:Ed Nugent
隨著工業物聯網(IIoT)得到更多的關注和應用,監控與數據採集(SCAD)系統的傳統角色,正在發生改變。SCADA 系需要適應這種變化。
監控和數據採集(SCADA)系統,以及包括人機介面(HMI)、樓宇管理系統(BMS)、製造執行系統(MES)和電腦維護管理系統(CMMS)等在內的範圍,更大的工業控制系統(ICS) 都是專有的技術,通常來說都會與企業資訊技術(IT)基礎設施隔離開來。這些系統最初並不是為網路安全設計的。
ICS 傳統的控制和安全的角色,已經擴展到包括為工廠和過程提供資訊,或對來自 ERP 以及其他企業系統的指令做出響應。根據國家基礎設施保護中心的關於「確保安全轉移至基於 IP 的 SCADA/PLC 網路」的規定,這會讓 ICS 系統面臨潛在的網路威脅。
時下對於物聯網(IoT),以及與之密切相關的工業物聯網(IIoT),或者工業 4.0 之間的網路連接的關注,為數據聚合戰略和態勢感知,帶來了巨大的潛在好處。如果 IIoT 裝置使用網路協議(IP),將增加暴露在網路威脅下的機會。
IIoT 的變革打亂了傳統控制室的角色,使其朝用於監視和控制功能的可移動裝置,轉化方向變化。例如,正在出現的具有 IIoT 功能的 ICS 的情境式 HMI 組件,為生產和維護單位提供了產能方面的提升,同時擴展了 ICS 的應用領域。然而,它也擴大了網路威脅管理的範圍。
NIST的網路安全支柱有四個元素:辨識、保護、檢測和應對。
網路安全的支柱
現代的 ICS 平台供應商將網路風險和彈性管理,納入到 ISO9001 品質流程中去用於研發和生產。其目的是讓內部和外部上報的漏洞,做到透明管理,並快速採取行動,盡可能減少給客戶造成的風險。
美國國家標準技術研究所(NIST)已經提供了一個架構,對於系統地辨識一個機構的重要資產、辨識威脅,以及確保重要資產安全方面,具有非常重要的價值。該架構具有四個元素:辨識、保護、檢測以及應對。
辨識與鑒別
資產和數據流的詳細清單,對於 ICS 建立正常行為的基準很重要。工業網路可以很大很複雜,而工業協議又有別於企業 IT 網路所用的協議。使用簡單網路管理協議(SNMP),對網路設備進行尋址和監控的自動化工具,提高了詳細清單的效率和精確性。
控制系統感知的清單和監控工具,是建立可靠的 ICS 基準的重要因素。使用可以為 ICS、PLC,以及其他控制元素之間通訊,建立起基準模板的技術,來監控 ICS 是非常重要的。理想中的這個系統應該可以做到:
· 使用無源感測器從網路數據流中提取元數據;
· 動態地建立組件的視覺清單以及連接圖;
· 學習 ICS 並為正常的運行提供統計學,以及行為方面的描述;
· 推薦預防性行為;
· 根據需要啓動應急響應。
IIoT 裝置通常使用無線技術進行通訊。通用 IT 網路與 ICS 網路之間的區別,是使用靜態 IP。隨著工業網路變化得與更廣泛的網路連在一起,健康監控系統會尋找變化的或者重複的 IP 和 MAC 地址、設備或電纜移動,以及未經授權的連接。增加了通過具有動態 IP 連接的,無線接入點所連接的移動式感測器,整個環境會變得更加複雜。
保護正在消融的邊界
在最近舉行的一次技術峰會上,Centrify 公司區域經理 Mike Ratte 討論了當今的網路安全境況。「我們需要辨識別是新的邊界」,他指出,幾乎一半的被攻擊的情況是,因為認證不嚴格;駭客將所有級別的用戶都設定為目標,包括享有特權的用戶;基於邊界的傳統的安全措施已經不夠了;應當將安全的基礎建立在基於情境的政策上。這個策略很適合正在消融的 ICS 邊界,其已經享受了開放連接帶來的好處,因此也將會受益於企業安全專業人士。
據統計,63% 的數據外洩涉及安全性弱的、默認的或被盜的密碼,在 ICS 網路威脅的排名中,認證管理排名靠前。透過被盜的或丟失的移動裝置實體訪問的可能性,增加了對強有力的認證管理的需求。工業網路透過防火牆、虛擬私人網路(VPN)以及交換機實現了第一層防護。
ICS 供應商必須對配置文件加密、對於異常連接嘗試提供監控、使用例如 HTTPS 的安全協議、並且提供與微軟動態目錄整合在一起的高級用戶權限。ICS 可以採用強大的辨識管理系統。使用動態目錄作為核心的辨識管理資源庫,一個 ICS 用戶可以透過一個登陸賬號使用所有的應用。
按此回今日3S Market新聞首頁
按此回今日3S Market新聞首頁
0 comments:
張貼留言