GARTNER OT Security Model & Architecture - OT ICS SCADA Cybersecurity - Industry 4.0
緣起
2013 年,「工業 4.0」一詞被刻畫為描述下一次製造業革命,該革命透過使用網路實體設備、物聯網、雲端基礎架構,來擴展超連接世界中的當前自動化系統,和數據交換流程與機器學習技術。從廣義上講,工業 4.0 是以各領域垂直應用業為中心的應用,更廣泛的數位化轉型趨勢,該術語也適用於工業市場,例如製造業、能源、公用事業、石油和天然氣、採礦、建築,運輸、物流和醫療保健。
在工業 4.0 興起之前,工業市場中的組織一直在運行營運技術(OT)功能,以在監視、生產和物流功能領域,管理其工業設備。與大多數工業組織中,普遍使用的資訊技術(IT)功能不同,OT 環境中的網路安全實踐還不成熟,並且已經落後於 IT 環境至少 5 到 10 年。
隨著這些工業組織開始擁抱工業 4.0,他們開始意識到,隨著工業過程開始採用現代數位技術,必須逐步改進 OT 安全管理框架,從而給工業過程帶來更多風險。
2017 年 12 月,一家中東石油和天然氣石化公司,被名為 TRITON 的惡意軟體,關閉了其工廠營運,該惡意軟體,專門針對其 OT 環境內的安全系統攻擊。此類攻擊並非異常, 2018 年,ICS-CERT(以 US CERT 為首)收到了針對世界各地,各種工業組織的網路安全攻擊的報告。
如果工業組織要採用工業 4.0,來提高其在市場中的競爭力,則對他們而言,在其 OT 環境中採用良好的網路安全做法很重要,並且使其 OT 安全框架與相關框架和標準(例如NIST)保持一致也很重要。網路安全框架,ISA / IEC 62443 和 NERC-CIP 標準。IT 安全行業在過去二十年中,開發的一些最佳實踐,也可以適用於 OT 環境的應用。
ICS 安全性與 IT 安全性之間的差異
OT 安全通常涵蓋圍繞過程控制系統(PCS)、分佈式控制系統(DCS),以及監督控制和數據採集(SCADA)環境的安全控制,這些環境也統稱為工業控制系統(ICS)環境。
ICS 環境可以很簡單,例如與連接至一小組繼電器和儀表的可程式邏輯控制器(PLC)的工程工作站一樣簡單,也可以與管理數千個工業設備的命令中心,之中的高度冗餘和分佈式系統一樣複雜。跨多個場域的 IoT(IIoT)設備。ICS 環境還將利用常見的 IT 系統和設備,例如身份驗證伺服器、IP 網路交換機、防火牆,以及運行用於管理 ICS 設備的工程軟體的 PC 工作站。
儘管大多數工業控制系統,都利用乙太網和 IP 的協議,但是有許多類型的工業協議,使以一致的方式,應用安全控制變得更加困難。諸如通用工業協議(CIP)、Modbus、MTConnect、DNP3、Profinet 和 EtherCAT 之類的協議,是出於不同目的而建構的,並且與傳統的 IP 協議相比,它們通常面臨更大的攻擊媒介。
ICS 環境和 IT 環境中安全管理之間,最關鍵的差異是由於與 IT 系統相比,工業流程的操作優先級存在重大差異。主要區別在於:
人身安全是重中之重
工業環境是高度管制和監視的環境。原因是,如果設備和設備未以最佳方式運行,則可能導致嚴重的人身傷害或實體環境損壞。對設置的任何篡改,都可能導致工業過程中的一系列級聯故障,進而導致創建不安全的環境。因此,對網路安全攻擊進行監視,對於工業環境非常重要,以確保對可能導致災難性結果的任何修改工業環境的嘗試進行快速檢測和響應。
非常重視可用性和完整性
大多數 IT 安全控制從本質上,將重點放在數據的機密性上,以確保適當保護財務記錄或密碼等敏感資訊。在工業環境中,主要重點是可用性。監視和生產設備必須一直運行,並且這些設備的操作參數,必須在一定範圍內,才能提供預期的結果。任何安全管理框架,都必須考慮此重點。下一個主要重點是環境配置的完整性,因為它們都經過了微調,可以在最佳條件下運行,在這種情況下,即使是很小的未經授權的更改,也會導致對業務和營運的嚴重影響。
不中斷自動化工作流程
在製造業中,廣泛採用自動化,以實現最佳生產週期。在製造工廠中,對生產機器進行了調整,以確保將製造的零件,從一個零件傳遞到另一個零件的延遲很小。任何試圖干預生產週期的安全管理人員,都必須考慮到,對特定機器的任何破壞,都可能對下游造成嚴重影響,並且需要制訂適當的響應程序,來處理安全漏洞,而又不會對生產週期產生不利影響。
時間緊迫性的重要性
如前所述,對生產機器進行了高度調整,以實現最佳生產產量。 這種優化還可以在整個製造工廠中執行,其中相互通信的設備之間的等待時間受到限制。 在引入監視不同工業網路之間流量的安全設備時,重要的是,此類活動不要在網路通信中,引入額外的等待時間,因為它會影響高度調整的環境。
利基通信協議
在過去的二十年中,IT 行業瞭解到,眾所皆知的協議(如乙太網、DNS、HTTP、FTP 和 SMTP,以及 SSL)中存在著多年的漏洞。隨著發現漏洞,並使用這些協議,將補丁佈署在伺服器、客戶端和設備中,IT 行業花了很多年時間,來完善和修復這些協議。
在 ICS 環境中,它還應該可以預料,在自動化和工業協議中也將存在漏洞。使得 ICS 環境更加困難的是,補丁無法輕鬆地應用於工業設備。
難以到達的設備,舊設備和相容性測試的複雜性等挑戰,通常會導致組織選擇,將工業流程的可用性,優先於修復漏洞的情況。
大多數 ICS 系統,都不是為處理異常而設計或開發的,由於運算能力有限,因此大多數 ICS 系統都被開發為,對特定命令做出響應,並提供處理異常的能力非常有限。大多數 ICS 製造商,將 ICS 系統設計為,在系統收到特定命令時,以特定響應進行對應,但是如果命令格式不正確,則係統可能會不穩定地發生。這與大多數 IT 系統設計和開發,來處理作為標準設計的一部分的異常形成對比。
電腦設備的壽命與 ICS 環境的壽命一致
IT 領域是一個相對快速變化的環境。平均而言,每使用 3 到 5 年,IT 資產就會進行實體更換。在使用中,每年至少一次修改 IT 資產(透過補丁程序管理或配置更改)。相比之下,ICS 資產,通常會在 10 到 20 年的時間內被替換。對於大多數 ICS 環境,通常會使用一些較舊的 ICS 資產,這些資產使用,並依賴於不提供安全補丁和更新的舊軟體組件(例如,不受支持的操作系統版本)。具有極高可用性要求的互連舊式 ICS 設備的複雜性,也使更改測試非常困難。
遺留設備的這些挑戰,意味著無法以與 IT 環境中,所解決的相同方式,來處理 ICS 環境中面臨的安全性問題。在大多數情況下,必須圍繞此類易受攻擊的資產,建立解決控制措施,而不是固定或更換資產。
下表還總結了 OT 和 IT 環境之間的其他差異。
對 ICS 環境的威脅
ICS 環境面臨與 IT 環境不同的營運挑戰,並且它們往往是由不同的威脅參與者針對的。 ICS 環境主要與國家贊助的攻擊者的攻擊有關;一些組織還面臨駭客主義者的關注,他們可以將 ICS 視為具有重大影響的目標;另一方面,金融威脅參與者,幾乎沒有動機攻擊 ICS 環境。
ICS 環境最常見的安全威脅類別,包括:
‧系統破壞:國家贊助的攻擊者,或駭客主義者團體,造成損害或營運停機,以實現特定的結果(例如,政治或社會言論、網路戰等)。
‧惡意軟體:系統感染,從 IT 環境傳播到 ICS 環境,這可能導致性能影響,或 ICS 環境服務中斷。在許多情況下,這是影響 IT 設備的,以 IT 為中心的惡意軟體的意外結果。例如,有時惡意軟體會傳播到 ICS 設備,這些設備依賴於無法輕鬆打補丁的舊系統。
‧數據洩露:出於商業間諜目的竊取了敏感資訊。 ICS 環境中發生的數據洩露的案例,可能包括工廠的生產量和時間表,提供最佳生產的機器的工廠佈局,或 ICS 環境中的使用模式。此類攻擊通常由國家贊助的攻擊者,或資金雄厚的公司競爭對手執行。
OT 安全事件的影響,按行業分類
製造業
收入損失、生產力影響、生命損失、知識產權損失
能源/公用事業
國家安全利益、生命損失、環境影響、知識產權損失
礦業
收入損失、生命損失、知識產權損失
施工
收入損失、生產力影響、生命損失
衛生保健
生命損失、個人數據丟失、聲譽損失
減輕安全問題面臨的挑戰
大多數在 ICS 環境中,著手安全改進過程的工業組織,在管理可能影響其環境的安全問題時,面臨著巨大的挑戰。他們面臨的一些挑戰包括:
‧舊版 ICS 資產:一些 ICS 資產已使用多年,因此,組織擁有可操作的 ICS 設備的情況很普遍,這些設備不再具有任何可用的更新,或對某些底層軟體/韌體組件的支持。某些 ICS 設備基於不具有網路或遠端安全風險預期的設計,因此 ICS 資產可能依賴於使用硬編碼密碼,甚至不使用密碼。由於這種做法的複雜性和風險,以及與目前的支持團隊和供應商進行計劃和協調的挑戰,因此透過更換 ICS 資產來解決這些風險,可能並不可行。
‧資產跟蹤:要瞭解 ICS 環境的安全風險,必須對所有 ICS 資產進行完整清單清點,例如資產的實體位置、軟體/韌體版本、智慧電子設備(IED)的供應商/型號,遠端終端單元(RTU),可程式邏輯 ICS 環境中的控制(PLC)和人機介面(HMI)。此外,還應記錄 HMI 和管理工作站的網路資訊、通信流、協議和體系結構。
如果沒有對這些資產的充分瞭解,就不可能製定減輕計劃來解決,原本應切實可行的安全改進措施(例如如何在 ICS 環境中使用資產,如果沒有詳細瞭解其位置和地點,則無法修補/升級具有已知漏洞的資產)。
‧第三方和遠端存取:大多數工業組織都設置了遠端存取,以允許其員工或第三方支持供應商,透過 VPN 的遠端存取,或撥號調製解調器連線,來遠端存取 ICS 資產。
在大多數情況下,遠端存取與共享的登錄憑據一起使用,以供遠端人員存取 ICS 設備。遠端存取服務通常不設計為,具有多重身份驗證,強大的邏輯進出、特權進出管理或網路控制,以管理第三方人員,或檢測,透過遠端存取通道,進行的惡意活動。
對於在許多地方都具有 OT 環境的組織而言,也可能會遇到物流方面的挑戰:如果它們在許多地方,都具有單獨的遠端進出點,則很難以一致的方式控制使用者進出使用系統。
‧工業 4.0 消除了氣隙設計:隨著工業 4.0 的採用,隨著 ICS 與 IT 環境之間整合度提高的商業價值,「氣隙」假設在許多組織中逐漸被淡化。隨著 IT 環境中的攻擊,更有可能感染到 ICS 環境中,增加的連接性,當然會大大增加 ICS 環境的風險級別。這意味著組織必須花費更多的時間,來實施必要的安全控制,以監視 ICS 環境中發生的攻擊。
‧種類繁多的專業ICS供應商,協議和設備:儘管市場上有 6 至 8 個主要 ICS 供應商,但有數千名 ICS 供應商在 ICS 市場的各個專業領域工作,從主要 ICS 供應商到小型 OEM 供應商。ICS 硬體的廣度,要求安全專傢具有深入的行業知識,並且瞭解可以破壞和保護 ICS 設備的不同方式。
從安全管理的角度來看,與一大批供應商一起,實施一致的網路安全交付模型非常困難,因為他們在應對其產品系列的網路安全問題時,將具有不同的成熟度。
‧延遲挑戰:引入的每個安全控制,都可能對性能產生不利影響,這可能會對 ICS 環境中,時間緊迫的流程產生重大影響。網路或安全設備,可能會給網路連接,增加額外的毫秒延遲;端點代理在執行即時監視時,可能會增加 CPU 工作量;網路掃描活動可能會影響 ICS 設備和網路的性能。因此,重要的是透過正確選擇安全控制,來設計最佳結果,並在正確的設置中佈署它們。
‧身份和訪問管理(IAM)挑戰:在 IT 環境中,通常透過中央身份驗證和訪問服務,來管理應用和系統的訪問控制。這為他們在系統上的操作提供了個人責任,並且使撤職人員的訪問權限被撤消。特權訪問管理(PAM)也用於 IT 環境中,從而為對系統的管理訪問,提供強大的控制。
但是,大多數 ICS 環境很少使用 IAM 服務。有時這與可用性的權衡有關(例如,業務優先級,以確保營運商不會因操作員的身份驗證失敗,而停止 OT 流程);也可能是由於整合許多專業和舊版 OT 技術的複雜性。
OT 安全最佳實踐
在接下來的幾年中,將會有越來越多的網路安全法規影響 ICS 環境,尤其是對於關鍵基礎架構。NERC-CIP 正在為美國電力行業關鍵基礎設施,推出最低的安全標準,並且類似的法規可能會在歐洲和澳洲等國家建立。
NIST 特殊出版物 800-82 Rev 2,為 ICS 環境提供了一套全面而結構化的安全控制。當前立即關注的關鍵領域是:
‧ 資產管理
‧安全的網路架構
‧物理和邏輯訪問控制
‧ 配置管理
‧補丁管理
‧事件響應
‧網路攻擊模擬
‧業務連續性和災難響應
‧身份管理
‧權限訪問管理
‧安全訓練
開始 OT 安全之旅的組織,應採用 NIST 文檔中規定的控制措施,這是確保 OT 環境安全的關鍵基本基準。
ICS 環境的關鍵安全控制
除了 NIST 特別出版物 800-82 Rev 2 手冊中規定的最佳實踐之外,DXC 還建議組織對 ICS 使用以下安全控件,因為它們是針對 ICS 環境的強大預防和偵查控件。
‧被動網路監視和掃描:OT 網路監視產品,可以為 OT 環境提供詳細的資產管理、威脅檢測和漏洞管理功能。這些產品需要在 ICS 網路中佈署無源掃描器,以觀察 ICS 資產之間的所有 OT 網路流量,並在 ICS 環境中,辨識此類資產的詳細資訊。資產詳細資訊和漏洞資訊,可以從網路標頭中獲取,或透過被動攔截網路流量,在 ICS 資產之間發送的元數據。該產品還可以監視 ICS 資產之間的通信,並就潛在威脅發出警報。
‧強大的遠端訪問權限:工程師和供應商人員,只能使用多重身份驗證,連接到 ICS 環境,並且應該透過特權訪問管理平台,進行連接,以便每個人只能管理他們有權訪問的 ICS 資產。
‧使用者白名單:ICS 資產和流程通常只需要很少的更改,並且使用者交互最少即可運行。使用者白名單,在諸如 ICS 之類的靜態環境中非常有效,因為不需要頻繁的更改,就需要管理干預。使用者白名單控件也非常適合,因為它們不需要定期簽名或模型更新,因此不需要 Internet 訪問。透過準確配置,允許哪些進程運行,白名單控制可防止新軟體,能夠在 ICS 工作站上執行,這對於消除多種類型的惡意軟體非常有效。
取得良好 OT 安全成果的最關鍵因素,是改變 OT 環境中的營運文化。
‧微分段:微分段是網路的控件為基礎,該控件對同一邏輯網路中,系統之間的網路流執行訪問控制。微分段有效地隔離了,連接到網路的所有未知設備,並要求將策略應用於新加入的設備,然後才能與其他設備進行通信。
良好的微細分控件,佈署了機器學習技術的使用,以監視異常的流量行為,例如異常數據包大小的傳輸、異常時間的流量訪問,或對以前從未見過的網路接口的訪問。
微細分在 ICS 環境中效果很好,因為它可以提供精細的保護和檢測控制,而無需佈署其他終結點代理。端點產品的佈署可能具有挑戰性,因為 ICS 環境通常使用著,各種各樣的端點設備。
‧使用者和實體行為分析:UEBA 是一種控件,可提取身份驗證和使用者/應用活動日誌,描述使用者和實體的使用行為,並使用分析方法執行異常檢測。配置文件著眼於 5 個特徵:使用者、主機、應用、網路流量和數據儲存庫。 UEBA 是 ICS 環境中的有效檢測控件,因為操作活動具有高度的結構性和可預測性,因此可以輕鬆檢測異常行為(例如惡意活動)。
OT 安全性的最重要方面
成功獲得良好 OT 安全成果的最關鍵因素,可能是改變 OT 環境中的營運文化。OT 環境中的工程人員經常將安全性,視為需要解決的不便之處。在任何環境中有效的安全措施,都需要改變方法,並且員工必須瞭解良好安全措施的價值。這將要求 OT 員工瞭解傳統的 OT 做法,可能必須採用新的處理方式,以達到安全的姿勢。
同樣,IT 安全團隊需要瞭解,OT 上下程序中,不同的安全優先級。美國空軍前 C4IIC 的 DCIO 少將 Robert Wheeler,在 2018 年 9 月表示,即使關鍵基礎設施感染了惡意軟體,該關鍵基礎設施的營運商,也必須繼續操作環境而不關閉環境。這在 IT 環境中是無法想像的,多年來,最佳實踐一直在倡導相反的方法。
OT 和 IT 團隊的文化變革,對於開發緊密的安全營運流程非常重要,因此它們可以一起工作,並快速解決安全問題,而不會影響營運和業務。
為此,重要的是要清楚地確定 OT 安全的利益相關者。OT環境的業務負責人,應對環境中的安全風險和問題負責,通常,IT 安全團隊需要成為促進者,以支持 OT 業務管理風險。預計這種安排,將在大多數工業組織中流行很多年,除了少數幾個必須建立和營運獨立的 OT 安全團隊的組織。
結論
瞬息萬變的威脅格局,工業組織內部數位化轉型的興起,以及工業 4.0 革命極大地影響了組織,管理其 OT 環境安全性的方式。為了提高競爭力並響應市場需求,工業組織必須採用新的數位方式交付服務。
在此類行業中斷中,安全始終是關注的焦點,但是只要在轉換過程中,讓利益相關者意識到風險,就可以對其進行管理。儘管大多數工業組織中的 OT 安全管理還不成熟,但降低安全風險的流程和技術,卻在快速發展中。
多年來,IT 安全部門和工業組織在計劃,和解決其 OT 安全優先事項時,都可以從 IT 安全功能中受益。工業組織不應讓安全問題,成為阻礙其在數位時代蓬勃發展的障礙。
關於作者
TM Ching 是澳洲和紐西蘭的首席安全技術官,負責 DXC 在整個地區的網路安全策略、願景和執行。他與客戶和內部團隊緊密合作,以確定未來的技術發展和中斷,並為客戶和 DXC Security 制訂路線圖,以實現服務就緒,以應對這些技術變化。
Peter Dowley 在資訊技術領域,擁有 25 年以上的經驗,其中包括 15 年以上的網路安全經驗。 Peter 曾擔任過一系列高級安全顧問,並被公認為安全體系結構,和技術風險方面的專家。他曾在澳洲和中東工作,專注於能源和公用事業部門,以及金融服務部門的網路安全。
沒有留言:
張貼留言