3種方法保護遺留基礎設施安全
眾所周知,遺留裝置(Legacy)仍將繼續在關鍵基礎設施的持續性和穩定性方面起到重要作用,尤其是在工業控制系統(ICS)中。數字政府中心最近的一次調查研究發現, 70% 的受訪機構依賴遺留基礎設施維持運轉。
德勤會計師事務所和MAPI的另一份報告《先進製造中的網路風險》,強調了保護遺留控制系統的重要性。報告顯示,現代工業控制系統比其前輩容易保護得多。對 200 多家制造企業的調查發現,過去一年裡, 40% 的受訪企業都受到了網路事件的影響,最大的風險存在於遺留ICS中。
遺留基礎設施是什麼?為什麼遺留基礎設施需要受到保護?
與智慧電網或智慧工廠之類現代智慧企業中所用的最新先進裝置相反,遺留裝置通常頗為老邁,有些甚至已存在了20年、30年,甚至更久時間。這些裝置依然能用,有時候因為升級換代所需的巨大資本投入而往往沒被替換。某些情況下,因為通訊協議的問題,此類系統甚至理解不了IP協議(網際協議),可能使用某些專有通訊機制。如此一來,更新工作就更令人絕望了,因為不僅控制系統裝置需要更新,整個網路基礎設施都要推倒重來。
另一個巨大的挑戰是,某些老舊控制系統執行的是過時的作業系統或應用軟體,不再受其製造商支援,甚至整個軟體開發社群都無視了這些作業系統或應用軟體的更新。 此類系統漏洞裸奔,對攻擊和漏洞利用程式完全開放 。更糟的是,它們有時候還不支援安全套接字層(SSL)和/或傳輸層安全(TLS)協議,通訊通道本身毫無身份驗證和加密保護。類似的,即便支援SSL或TLS的裝置,其版本也大多過時且沒打補丁。
甚至即使有軟體升級或補丁可用,也解決不了最終的問題,因為有些系統根本就不升級。其間阻礙包括這些系統所處位置的偏遠性和難以到達性,還有升級流程的複雜程度。而且,對關鍵基礎設施而言,僅僅是升級過程造成的那一點點停機時間,也是不可接受的。
以上不利條件造成了這些系統面對漏洞利用毫不設防的現狀,一旦被入侵,將極其難以檢測和緩解。漏洞利用不僅能令這些控制系統無法繼續正常操作,還會對整個工業運營造成嚴重而災難性的打擊。
保護遺留基礎設施的3種方法
1. 保護終端
終端包括多種控制系統裝置,比如遠端終端單元(RTU)、可程式設計邏輯控制器(PLC)、智慧電子裝置(IED)等等。這些終端只允許操作所需的通訊訊息可以接入。排除通訊通道中所有不必要的流量可以防止終端暴露在漏洞利用或攻擊的威脅之下。
工業控制系統領域有個通行的理念:沒壞就別修。只要控制系統按預期執行,軟體升級或維護就有可能帶來讓系統不穩定的風險。然而,另一方面,升級系統以防止漏洞或協議異常的需求又總是存在的。這種情況下,協議異常檢測防火牆,或者說深度包檢測防火牆(因為不僅僅檢視資料包頭,還檢視深藏在資料包裡的協議訊息內容以應用過濾規則),就是隻允許安全有效的協議訊息抵達終端裝置而減輕修復軟體漏洞需求的必備方法了。
裝置級防火牆保護遺留終端裝置不沾染惡意流量和非必要流量示意圖
2. 保護網路
很多情況下,遺留裝置本身所用的網路通訊協議就是不安全的。即便確實有某種程度上的安全,也頂多是SSL或SSH的弱化版本,可被輕易突破或利用。保護這些通訊通道以防止中間人攻擊非常重要,這樣才可以避免對控制系統的任何危險影響。通道保護的方法之一,是通過 IPSec VPN 隧道來加密通訊。面向單個或多個控制系統終端的VPN閘道器,可以確保這些訊息被幾乎不可破解的強演算法加密。
至於不支援IP協議的終端,比如傳輸Modbus、Profinet或類似協議訊息的遺留序列裝置,設定將序列資料轉換為TCP/IP訊息的邊界終端伺服器,應能在資料傳輸前保護IP網路安全。很多方法都能達成所需的安全,SSL和 IPSec VPN 是最主流的。
邊界防火牆保護遺留網路不受惡意流量和中間人攻擊影響示意圖
3. 監視網路和終端
即使終端和網路都已安全,仍需持續監視網路,查詢影響安全穩定狀態的任何改變。網路和控制系統總在不斷髮展變化中,新的威脅和漏洞持續湧現。網路自身也在不斷膨脹,越來越多的通訊裝置融入網路,隨之引入各種安全漏洞。有必要設定一套系統持續跟蹤網路中所有資產(或者通訊裝置),近實時地發現可能是潛在威脅的新裝置。這一資產發現系統應覆蓋IP和非IP通訊,比如序列裝置。
至少,確保符合行業特定標準(如 NERC CIP、NIST 800、IEC 62443 等)的審計機制,有助於保持控制系統的安全和可用性。
德勤與MAPI出的《先進製造中的網路風險》報告原文地址:
ofollow,noindex">https://www2.deloitte.com/us/en/pages/manufacturing/articles/cyber-risk-in-advanced-manufacturing.html