|
更多全球網絡安全資訊盡在E安全官網www.easyaq.com E安全7月21日文 雖然定期打補丁對IT網絡而言是不可爭議的好建議,這也是抵御Petya和WannaCry攻擊的主要建議之一����,但大多數公司并未將此建議落到實處��。 修復IT系統非常困難���,修復工業控制系統(ICS)更加困難。工控系統數年來一直控制著復雜的機械��,每天24小時無休止運行,具備的維護窗口有限�,并且依賴的自定義軟件通常使用老舊的Windows版本(Windows已不再提供技術支持)�。打補丁也可能會使系統崩潰���,而在ICS/SCADA領域���,可靠性和正常運行時間是重中之重�。也正因為此才出現
“不出現問題不修復”的情況,這不難理解�����。未修復的軟件�����,無論是可編程邏輯控制器(PLC)中易受攻擊的附件或SCADA工作站中老舊的Windows版本,長期以來均未得到修復���。 
如果任憑這種情況繼續發展,未修復系統帶來的風險將擴大到人們無法接受的程度。2016財年���,美國工控系統網絡應急響應小組(ICS-CERT)響應了290起網絡事件,處理了305個漏洞��,但是該數據可能會起誤導作用�����,因為大多數工業組織機構缺乏技術和人力檢測入侵事件����。因此�,許多事件并未上報。此外�,與法律強制要求報告消費者數據泄露事件的零售和金融服務機構不同���,法律并未強制要求工業組織報告ICS入侵事件��,因為這樣做可能會面臨起訴。 另外�����,專門操縱ICS設備的自定義���、自主惡意軟件(例如最新發現的Industroyer/CrashOverride)將大大降低攻擊運營技術(OT)網絡必需的專業水平���。試想一下�,如果一起攻擊借助破壞性Industroyer/CrashOverride有效載荷傳播Petya/WannaCry…后果將不堪設想��。這就是ICS系統如此重要的原因所在��。 那么,如何改進ICS安全過程,更好地適應OT組織機構的現實需求,相關建議如下: ICS網絡的設計往往并未考慮安全問題,IT網絡亦是如此����。多年來��,越來越多的大型黑客攻擊和法律激發企業和IT領導者將網絡防御作為戰略業務的當務之急。一旦企業和IT領導轉變概念,安全文化氛圍發生變化,首席執行官和董事會會重新評估安全的重要性����,并愿意給予響應資金支持����。 如今����,網絡事件更加透明,信息共享更為普遍,這有助于促成更好的應對新方法���。ICS修復過程發生此類轉變的時機已成熟。同時由于正常運行時間的硬性要求���,以及未經全面測試就采用ICS補丁的風險��,
OT組織可能會發現修復ICS系統十分痛苦,甚至根本無法實現,這一點不足為奇��。但是���,工業互聯網首席執行官需與工業自動化廠商以及系統構架師合作升級未來聯網的ICS環境����,將基本安全和修復能力融入到網絡運行結構中�。 當公司冥頑不化,或拒絕采取基本的安全預防措施,美國可通過使用《薩班斯法案》(Sarbanes-Oxley Act)和消費者數據保護法這類法律作為建立安全基準的主要手段�。 但是�����,網絡安全政策專家查德克拉克也承認,“監管”通常“污穢不堪”����。因此���,與其懲罰公司����,不如提供稅收優惠政策或聯邦補貼鼓勵公司采取網絡安全舉措��,并升級關鍵信息基礎設施��。 遺留的OT資產和協議缺乏基本的安全功能,例如強大的身份驗證功能�����。隨著工業組織采用數字化舉措(例如工業4.0和智能電網優化運營)�����,這在消除IT和OT網絡間傳統“物理隔離”的同時��,也擴大了攻擊面�����。如果更新過時的系統不實際�����,工業組織可以采用緩解控制,降低關鍵資產的攻擊風險和影響��,最佳做法包括: 采用實時監控和異常行為檢測措施���,快速檢測并響應OT網絡中的可疑活動�����。 定期評估OT網絡漏洞��,例如直接聯網、流氓設備�����、OT和IT網絡之間的非管理連接����,或使用明文密碼等。 對網絡進行分段和分區��,阻止OT網絡攻擊橫向活動�����。
由此可見�,OT安全威脅真實存在�����,并且修復ICS/SCADA系統的復雜性使OT安全復雜化���。當談及修復ICS網絡��,IT安全行業有許多值得借鑒的地方,重要的是要適應這些過程滿足OT組織的獨特需求��,而不是簡單的不遵守傳統IT修補之類的過程���。
|
