cookieOptions = {...}; .物聯網時代的 SCADA 網路安全威脅 - 3S Market「全球智慧科技應用」市場資訊網

3S MARKET

2020年6月24日 星期三

SCADA Security Explained So Easy - Cyber Security



源:CEC 作者:Ed Nugent 

隨著工業物聯網(IIoT)得到更多的關注和應用,監控與數據採集(SCAD)系統的傳統角色,正在發生改變。SCADA 系需要適應這種變化。


監控和數據採集(SCADA)系統,以及包括人機介面(HMI)、樓宇管理系統(BMS)、製造執行系統(MES)和電腦維護管理系統(CMMS)等在內的範圍,更大的工業控制系統(ICS) 都是專有的技術,通常來說都會與企業資訊技術(IT)基礎設施隔離開來。這些系統最初並不是為網路安全設計的。

ICS 傳統的控制和安全的角色,已經擴展到包括為工廠和過程提供資訊,或對來自 ERP 以及其他企業系統的指令做出響應。根據國家基礎設施保護中心的關於「確保安全轉移至基於 IP 的 SCADA/PLC 網路」的規定,這會讓 ICS 系統面臨潛在的網路威脅。

時下對於物聯網(IoT),以及與之密切相關的工業物聯網(IIoT),或者工業 4.0 之間的網路連接的關注,為數據聚合戰略和態勢感知,帶來了巨大的潛在好處。如果 IIoT 裝置使用網路協議(IP),將增加暴露在網路威脅下的機會。

IIoT 的變革打亂了傳統控制室的角色,使其朝用於監視和控制功能的可移動裝置,轉化方向變化。例如,正在出現的具有 IIoT 功能的 ICS 的情境式 HMI 組件,為生產和維護單位提供了產能方面的提升,同時擴展了 ICS 的應用領域。然而,它也擴大了網路威脅管理的範圍。

物联网时代的SCADA网络安全威胁

NIST的網路安全支柱有四個元素:辨識、保護、檢測和應對。

網路安全的支柱
現代的 ICS 平台供應商將網路風險和彈性管理,納入到 ISO9001 品質流程中去用於研發和生產。其目的是讓內部和外部上報的漏洞,做到透明管理,並快速採取行動,盡可能減少給客戶造成的風險。

美國國家標準技術研究所(NIST)已經提供了一個架構,對於系統地辨識一個機構的重要資產、辨識威脅,以及確保重要資產安全方面,具有非常重要的價值。該架構具有四個元素:辨識、保護、檢測以及應對。


辨識與鑒別
資產和數據流的詳細清單,對於 ICS 建立正常行為的基準很重要。工業網路可以很大很複雜,而工業協議又有別於企業 IT 網路所用的協議。使用簡單網路管理協議(SNMP),對網路設備進行尋址和監控的自動化工具,提高了詳細清單的效率和精確性。

控制系統感知的清單和監控工具,是建立可靠的 ICS 基準的重要因素。使用可以為 ICS、PLC,以及其他控制元素之間通訊,建立起基準模板的技術,來監控 ICS 是非常重要的。理想中的這個系統應該可以做到:

· 使用無源感測器從網路數據流中提取元數據

· 動態地建立組件的視覺清單以及連接圖

· 學習 ICS 並為正常的運行提供統計學,以及行為方面的描述

· 推薦預防性行為

· 根據需要啓動應急響應。

IIoT 裝置通常使用無線技術進行通訊。通用 IT 網與 ICS 網之間的區別,是使用靜態 IP。隨著工業網變化得與更廣泛的網連在一起,健康監控系統會尋找變化的或者重複的 IP 和 MAC 地址、設備或電纜移動,以及未經授權的連接。增加了通過具有動態 IP 連接的,無線接入點所連接的移動式感測器,整個環境會變得更加複雜。


保護正在消融的邊界
在最近舉行的一次技術峰會上,Centrify 公司區域經理 Mike Ratte 討論了當今的網安全境況。「我們需要辨識別是新的邊界」,他指出,幾乎一半的被攻擊的情況是,因為認證不嚴格;駭客將所有級別的用戶都設定為目標,包括享有特權的用戶基於邊界的傳統的安全措施已經不夠了應當將安全的基礎建立在基於情境的政策上。這個策略很適合正在消融的 ICS 邊界,其已經享受了開放連接帶來的好處,因此也將會受益於企業安全專業人士。

據統計,63% 的數據外洩涉及安全性弱的、默認的或被盜的密碼,在 ICS 網威脅的排名中,認證管理排名靠前。透過被盜的或丟失的移動裝置實體訪問的可能性,增加了對強有力的認證管理的需求。工業網路透過防火牆、虛擬私人網(VPN)以及交換機實現了第一層防護。

ICS 供應商必須對配置文件加密、對於異常連接嘗試提供監控、使用例如 HTTPS 的安全協議、並且提供與微軟動態目錄整合在一起的高級用戶權限。ICS 可以採用強大的辨識管理系統。使用動態目錄作為核心的辨識管理資源庫,一個 ICS 用戶可以透過一個登陸賬號使用所有的應用。

按此回今日3S Market新聞首頁

0 意見: