關于工業(yè)控制系統(tǒng)保護的常用方法
關鍵基礎設備系統(tǒng)網(wǎng)絡攻擊干擾事件越來越頻繁,對于許多工業(yè)控制系統(tǒng)來說,網(wǎng)絡入侵不是是否會發(fā)生的問題,而是什么時候會發(fā)生。國外的烏克蘭停電事故,最近的委內(nèi)瑞拉停電事故都帶來了嚴重的社會影響。這些事件證明了攻擊者的能力,網(wǎng)絡安全事件的頻率和復雜性正在持續(xù)增加。傳統(tǒng)的工業(yè)控制系統(tǒng)保護認識,比如絕對的隔離帶來絕對的安全,沒有人會攻擊工業(yè)控制系統(tǒng)等,這些認知顯然是錯誤的,也是不合時宜的,針對工業(yè)控制系統(tǒng)的保護,常見的有幾種策略,則可以對付常見的可利用的弱點。
1. 使用應用程序白名單策略
應用白名單可以有效檢測和阻止由攻擊者上傳的惡意軟件的執(zhí)行。工業(yè)控制系統(tǒng)的生產(chǎn)環(huán)境的主機操作相對比較固定,而且主機操作系統(tǒng)老舊,和外網(wǎng)隔離,部署需要經(jīng)常升級的耗費資源多的殺毒軟件不現(xiàn)實,這些現(xiàn)實情況使得運行應用白名單成為可能。部署應用白名單時,需要和供應商合作,建立基線進行。
2. 安全配置,及時更新補丁
系統(tǒng)入侵者往往發(fā)動攻擊時經(jīng)常利用未打補丁的系統(tǒng)。比如臭名昭著的勒索病毒和挖礦病毒,都利用445端口。如果在病毒爆發(fā)時,就封閉445端口,則可避免很多不必要的損失。優(yōu)先處理工程師站,操作員站,數(shù)據(jù)庫服務器的補丁和配置,可以有效增加攻擊者的攻擊難度。在現(xiàn)實情況中,對于更新和配置,需要在測試機上進行,測試合格后,在部署到實際運行的操作系統(tǒng)上。
3. 縮小攻擊面
將工業(yè)控制系統(tǒng)與其它不可信的網(wǎng)絡隔離,尤其是互聯(lián)網(wǎng)。關閉不使用的端口和服務。如果需要單向通信,則可部署單向網(wǎng)閘。如果必須使用雙向通信,則在受限的網(wǎng)絡路徑上開發(fā)單個端口。
4. 構建防御環(huán)境
將網(wǎng)絡劃分為邏輯分區(qū),并限制主機間的通信路徑,可阻止攻擊者擴大攻擊訪問范圍,同時允許正常的系統(tǒng)通信繼續(xù)運行。這樣,即使一個區(qū)域被攻擊,其余區(qū)域也不受影響,降低損失。
5. 身份鑒別管理
攻擊者在攻擊時,需要獲得合法的用戶憑證,偽裝成合法的用戶對工業(yè)控制系統(tǒng)進行攻擊,可提高操作的權限,也可留下較少的記錄和證據(jù)。
采用多因素認證,實現(xiàn)特權用戶權限最小化。用戶口令要設置安全策略,長度,復雜度要求,并且口令強制更改日期,盡可能的強化管理。
6. 安全的遠程訪問
建議采用VPN的方式進行遠程訪問,尤其是第三方接入工業(yè)控制系統(tǒng)網(wǎng)絡中時。使用堡壘機,可以有效監(jiān)控接入的各類操作和時間,實現(xiàn)有效的監(jiān)管和追蹤。
7. 監(jiān)控與應急響應
對于現(xiàn)代威脅要積極監(jiān)控,今早發(fā)現(xiàn)黑客攻擊滲透,并迅速執(zhí)行應急響應,切斷攻擊鏈,保護工業(yè)控制系統(tǒng)。
沒有100%的網(wǎng)絡安全,但是采用有效的策略可以提升攻擊難度,提升系統(tǒng)的保護狀態(tài)。