众所周知,遗留设备(Legacy)仍将继续在关键基础设施的持续性和稳定性方面起到重要作用,尤其是在工业控制系统(ICS)中。数字政府中心最近的一次调查研究发现,70%的受访机构依赖遗留基础设施维持运转。

德勤会计师事务所和MAPI的另一份报告《先进制造中的网络风险》,强调了保护遗留控制系统的重要性。报告显示,现代工业控制系统比其前辈容易保护得多。对200多家制造企业的调查发现,过去一年里,40%的受访企业都受到了网络事件的影响,最大的风险存在于遗留ICS中。

遗留基础设施是什么?为什么遗留基础设施需要受到保护?

与智能电网或智能工厂之类现代智能企业中所用的最新先进设备相反,遗留设备通常颇为老迈,有些甚至已存在了20年、30年,甚至更久时间。这些设备依然能用,有时候因为升级换代所需的巨大资本投入而往往没被替换。某些情况下,因为通信协议的问题,此类系统甚至理解不了IP协议(网际协议),可能使用某些专有通信机制。如此一来,更新工作就更令人绝望了,因为不仅控制系统设备需要更新,整个网络基础设施都要推倒重来。

另一个巨大的挑战是,某些老旧控制系统运行的是过时的操作系统或应用软件,不再受其制造商支持,甚至整个软件开发社区都无视了这些操作系统或应用软件的更新。此类系统漏洞裸奔,对攻击和漏洞利用程序完全开放。更糟的是,它们有时候还不支持安全套接字层(SSL)和/或传输层安全(TLS)协议,通信信道本身毫无身份验证和加密保护。类似的,即便支持SSL或TLS的设备,其版本也大多过时且没打补丁。

甚至即使有软件升级或补丁可用,也解决不了最终的问题,因为有些系统根本就不升级。其间阻碍包括这些系统所处位置的偏远性和难以到达性,还有升级流程的复杂程度。而且,对关键基础设施而言,仅仅是升级过程造成的那一点点停机时间,也是不可接受的。

以上不利条件造成了这些系统面对漏洞利用毫不设防的现状,一旦被入侵,将极其难以检测和缓解。漏洞利用不仅能令这些控制系统无法继续正常操作,还会对整个工业运营造成严重而灾难性的打击。

保护遗留基础设施的3种方法

1. 保护终端

终端包括多种控制系统设备,比如远程终端单元(RTU)、可编程逻辑控制器(PLC)、智能电子设备(IED)等等。这些终端只允许操作所需的通信消息可以接入。排除通信信道中所有不必要的流量可以防止终端暴露在漏洞利用或攻击的威胁之下。

工业控制系统领域有个通行的理念:没坏就别修。只要控制系统按预期运行,软件升级或维护就有可能带来让系统不稳定的风险。然而,另一方面,升级系统以防止漏洞或协议异常的需求又总是存在的。这种情况下,协议异常检测防火墙,或者说深度包检测防火墙(因为不仅仅查看数据包头,还查看深藏在数据包里的协议消息内容以应用过滤规则),就是只允许安全有效的协议消息抵达终端设备而减轻修复软件漏洞需求的必备方法了。

设备级防火墙保护遗留终端设备不沾染恶意流量和非必要流量示意图

2. 保护网络

很多情况下,遗留设备本身所用的网络通信协议就是不安全的。即便确实有某种程度上的安全,也顶多是SSL或SSH的弱化版本,可被轻易突破或利用。保护这些通信信道以防止中间人攻击非常重要,这样才可以避免对控制系统的任何危险影响。信道保护的方法之一,是通过 IPSec VPN 隧道来加密通信。面向单个或多个控制系统终端的VPN网关,可以确保这些消息被几乎不可破解的强算法加密。

至于不支持IP协议的终端,比如传输Modbus、Profinet或类似协议消息的遗留串行设备,设置将串行数据转换为TCP/IP消息的边界终端服务器,应能在数据传输前保护IP网络安全。很多方法都能达成所需的安全,SSL和 IPSec VPN 是最主流的。

边界防火墙保护遗留网络不受恶意流量和中间人攻击影响示意图

3. 监视网络和终端

即使终端和网络都已安全,仍需持续监视网络,查找影响安全稳定状态的任何改变。网络和控制系统总在不断发展变化中,新的威胁和漏洞持续涌现。网络自身也在不断膨胀,越来越多的通信设备融入网络,随之引入各种安全漏洞。有必要设置一套系统持续跟踪网络中所有资产(或者通信设备),近实时地发现可能是潜在威胁的新设备。这一资产发现系统应覆盖IP和非IP通信,比如串行设备。

至少,确保符合行业特定标准(如 NERC CIP、NIST 800、IEC 62443 等)的审计机制,有助于保持控制系统的安全和可用性。

德勤与MAPI出的《先进制造中的网络风险》报告原文地址:

https://www2.deloitte.com/us/en/pages/manufacturing/articles/cyber-risk-in-advanced-manufacturing.html

声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。