灾难性事故可能是工控系统不安全的后果。可以采取4个步骤来提高整个系统的网络安全性。虽然网络安全长期以来一直是任何行业的主要关注点,但普遍的共识是,攻击只会导致专有数据丢失、成为间谍活动的受害者和停机威胁。然而,2017年的Triton(也称为Trisis或HatMan)攻击显示了严重攻击的另一个方面:潜在的灾难性事故的可能性。下面我们来看看常见的攻击类型、防范措施和改进方法。传统上,工业控制系统(ICS)被设计为在独立的控制网络上独立运行,很少有人能够预见到网络安全带来的威胁。然而,随着工业领域其他技术的发展——包括智能传感器、无线网关、远程管理系统、虚拟化、云计算、智能手机和各种商业智能需求,这些工业系统不受外界干扰的可能性将越来越大而且更严重。变小。对工业控制系统的第一个外部攻击实例是2010年的Stuxnet,该脚本旨在破坏运行离心机的工业控制器的脚本。随后是2013年针对电网和电力公司的Havex攻击;通过它收集了大量数据用于间谍活动和破坏活动。2015年出现了两种威胁:BlackEnergy破坏了工作站上的数据和文件并导致乌克兰严重停电,IronGate在公共资源上被发现并具有与Stuxnet相同的功能。Industroyer还在2016年对乌克兰造成了严重破坏,其中恶意软件擦除数据并对网络进行分布式拒绝服务(DDoS)攻击,导致乌克兰电网关闭。Triton攻击于2017年被发现。它的发现可能避免了一场灾难。该恶意软件可以感染Triconex安全控制器,允许黑客更改安全参数。恶意攻击会使工业设备的安全设置失效,甚至会引发化工厂爆炸等灾难性事件。了解攻击源为了对抗网络安全威胁,第一步是了解攻击者可能来自哪里,因为攻击者通常使用侦察作为第一步来衡量和了解目标在特定时间段内的脆弱性。从长远来看,组织可能会使用攻击向量分析来识别攻击者可能使用的不同方法,或者他们可能倾向于使用的系统。所有这些都需要基于企业资产的业务影响分析中出现的风险。用户可以采用多种现成的评估工具,利用它们将关键资产与非关键资产区分开来并合理化,然后对其进行差距评估。攻击者的常见切入点包括:来自外部网络、互联网和通过企业资源规划(ERP)软件、网关、数据和文档存储库以及在线历史数据库进行远程连接的入站攻击;防火墙和网关配置不当;用户通过被盗或伪造的凭据访问业务工作站和控制计算机;针对生产系统的物理攻击,在大多数情况下是针对人机界面(HMI)、工程师和操作员工作站以及实际过程安全控制器;针对控制网络并使用工业通信协议发现网络上的其他设备并传播恶意代码的横向网络攻击;专注于使用个人身份信息来诱骗内部人员授予访问权限、无意中打??开网关并运行脚本的社会工程攻击。网络安全预防措施每种类型的攻击都有其自身的预防措施。通常可分为以下8种。1.隔离和分段:使用工具和合格人员对控制网络进行全面的违规评估通常可以发现许多未受监控的接入点,这些接入点在遵循标准做法保护控制网络时经常被忽视。这些威胁可能源于:不受限制地访问工程/操作员工作站;过时的恶意软件检测;未经保护或审核的第三方应用程序和连接器;从控制网络导出数据时缺少隔离区(DMZ)或数据隔离;连接到公共区域的重要资产。2.管理用户访问控制:此任务包括采取措施限制未经授权的访问以及跟踪和停止与未经授权的访问相关的任何活动。这包括:强化未经授权人员的访问;制定行政政策并按严格的时间表对其进行更新;在整个企业中启用多因素身份验证;白名单,添加预先批准的地址、位置和基于端口的警报,以识别访问系统的人员;更改所有密码和密码默认值,并定期更新用户密码。3.补丁频率:所有控制和安全设备必须定期更新到最新的固件版本。虽然常规非侵入式修补是所有关键控制器的方法,但至少应在每个年度维护周期中进行一次。4.运行验证检查:通过程序、逻辑和可执行验证检查,确保对逻辑、代码和脚本的更改是授权人员的有意更改。模拟验证环境可以帮助监控对逻辑和参数的任何不必要的更改,此外还可以帮助操作员在设备上进行培训,而不会冒实际物理系统的风险。工具可用于自动检测逻辑级别的任何更改,并且可以在受控环境中执行任何此类更改,并保留备份副本,以防控制器或系统受到损害,以便可以恢复。5.提高物理安全性:考虑到最近的网络安全威胁,一些控制系统供应商现在正在他们的控制器上配置物理锁,以防止在控制器上执行任何其他操作而无需首先通过物理安全层。代码。6.网络安全培训:网络安全威胁的一个关键部分来自攻击者,而这些攻击者往往依赖工厂人员的失误。如果所有利益相关者都到位并意识到他们的责任,就无法充分实施网络安全措施。这包括培训人员如何识别攻击、如何保护他们的个人身份信息以及如何保护自己免受攻击。应向所有级别的管理人员、执行人员、操作技术(OT)系统管理员和用户提供此培训。7.制定事件响应计划:在偶尔的情况下,奇怪的错误或疏忽为潜在的攻击者打开了大门,网络安全实施工作需要包括一个可行的计划,供人员应对安全漏洞或威胁。使用。这些计划一旦制定,就需要通过定期培训加以实践,并提供给所有负责人员,以确保在发生安全事件时迅速采取行动。8.持续更新资产登记为了降低风险,保持所有列出的操作技术资产的最新记录,包括交换机、路由器、防火墙、各种网络服务、监控和数据采集(SCADA)软件、历史服务器、控制器或任何Internet协议(IP)可寻址设备,所有这些都可能允许攻击者找到空间来利用非托管系统。可以监控网络以获取最新版本的资产清单,同时可以使用各种工具来监控补丁和任何漏洞。改善网络安全的4个步骤为工业系统启动网络安全计划并不像乍看起来那样艰巨,也不需要巨额投资。在权衡防止可能的损害时,企业不考虑投资网络安全是荒谬的。与任何成功的企业范围举措一样,网络安全需要内部拥护者来捍卫其事业并帮助企业采用必要的政策和程序。在大多数情况下,最好的方法是定义业务网络的所有者并控制业务网络的网络安全。网络安全必须是全厂范围的举措。它可以通过4个阶段来实现(如图1所示):图1:工业网络安全需要成为一个全厂范围的计划,涉及设计和框架、差距评估、实施和审计方面的协作。阶段1:设计和框架设计网络安全管理系统是最全面的阶段,需要投入最多的时间和精力。许多网络安全咨询公司致力于帮助公司设计网络安全基础设施、政策和程序。此任务包括识别与网络安全相关的所有系统和人员、定义他们的角色、定义他们的访问和控制权限,以及围绕这些参数制定策略以确保安全操作。网络安全设计阶段需要利益相关者的大力内部推动和支持,以确保其成功完成。第2阶段:差距评估评估阶段主要涉及审查网络安全设计并根据业务影响识别潜在漏洞和风险。解决并更新设计中已识别的差距。可以使用经验丰富的人员和各种工具来执行评估,这些工具可以在网络级别嗅探数据包并识别系统中的异常行为和漏洞。第三阶段:实施评估阶段主要包括审查网络安全设计,并根据业务影响识别潜在的漏洞和风险。解决并更新设计中已识别的差距。可以使用经验丰富的人员和各种工具来执行评估,这些工具可以在网络级别嗅探数据包并识别系统中的异常行为和漏洞。第1阶段:设计和框架这部分是网络安全政策、程序和实践的实施。在此阶段,外部帮助通常有助于加快实施过程并确保标记列表。实施的关键方法是系统加固。第4阶段:审计审计网络安全,包括全面渗透测试等任务,以确保网络安全实施达到预期结果。专业审计公司通常会处理这项工作并帮助确保可靠的网络安全。对于新的实施计划,这部分需要最大的外部专业知识。但是,如果内部网络安全审计团队在所有阶段都接受过培训,则该团队可以利用其学习和专业知识来审计公司内的其他工厂和设施。
