从殖民地管道裂口工业网络安全经验

随着对工业界的网络攻击持续增加，关于避免和减轻入侵的影响，我们有很多要学习的。来自网络安全提供商Verve Industrial和Keyfactor的专家提供了他们的见解。

大卫格林菲尔德内容总监

2021年5月13日,

不久前，在大多数行业的网络攻击主要发生在幕后。该公司，其系统被攻破很少去公众了解事件，如果这些事件的信息是有史以来公开讨论，这通常是年后的事件，一些具体的细节超出了攻击的本质被不断揭示。

但这种情况正在被改变，因为网络攻击变得更加肆无忌惮，并在大威胁公众。例如，在2021年2月5日，我们了解到在Oldsmar的，佛罗里达州，水处理设备远程访问侵入控制系统有关从雷蒙德詹姆斯体育场在坦帕13英里在超级碗刚刚两天后举行。

作为一个行业观察者，Oldsmar Hack的更令人震惊的方面之一是唯一停止它的唯一令人耳志操作员，他们注意到了对设施的控制系统进行了一些不寻常的变化。虽然允许远程访问此系统，但显然没有使用用户身份验证或高级安全方法来限制未经授权的用户的访问。因为注意到这些变化的运营商没有关于他们的警报 - 他刚刚碰巧注意到所做的变化是异常的 - 假设设施没有有效的异常检测或入侵技术也是不合理的。

听到这一点“自动化世界回答你的问题”播客，在远程连接越来越多的使用情况下，控制系统的网络安全。

本周早些时候，网络犯罪团伙DarkSide声称对损害殖民管道公司——美国最大的燃料管道之一——负责。因此，美国东部各州正在经历由殖民地管道供应的燃料中断。虽然我们还不知道DarkSide是如何破坏Colonial Pipeline网络的所有细节，但我们知道这是一个勒索软件攻击，涉及从该公司的it网络窃取近100gb的数据。Colonial发布的信息显示其OT(操作技术)网络没有受到影响。

建议行业

考虑到行业的网络攻击持续上升，该公司网络安全研究主管罗恩•布拉什(Ron Brash)表示神韵工业该公司强调了五大重点领域，以帮助工业企业减轻影响其运营的网络入侵威胁。他说:“政府关闭的财务影响可能是巨大的。”“网络现在需要成为所有灾难恢复计划的主要组成部分，必须成为管理重点的更大领域，即使对那些不认为自己是自然目标的组织来说也是如此。”

罗恩·布拉什，在神韵工业网络安全的见解主任。他对有效聚焦工业网络安全的建议是：

意识到工业网络安全不是它与ot，原样操作可能会受到系统两侧的攻击的影响。“组织需要努力将这两个组织在一起带来保护整个系统。计费和定价系统和操作所需的数据是关键过程，就像操作泵和阀门的SCADA网络一样重要。IT-OT景观的可见性和保护是保护业务的关键，“他说。

在工业企业最大的安全漏洞往往是在管理和安全维护。“防火墙可能存在，但人员调整规则设置为允许远程访问和创建的服务器上，围绕关键保护层路线;修补政策可能存在，但人工作业，常常标准没有给出操作的紧迫问题得到完成;与可能存在的标准安全配置，但例外是由用户进行调整，新的软件是允许的，并且端口被打开，留在安全结构的差距，”布拉什说。“但是往往]有这些差距的无中心的知名度。”

他还指出，在勒索软件攻击的情况下，可靠和及时的备份可以显著减少停机时间。“但是这些备份是最新的吗?”他们恢复得快吗?如果没有管理，你以为自己拥有的备份可能无法在紧急情况下准备好，”他说。

快速反应和恢复至关重要。Brash说，公司可以拥有的真正优势是跨端点采取行动的直接能力 - 以阻止恶意软件的传播。“这一点综合检测和响应行动允许工业组织显著减少传播和成本的勒索软件攻击“。

制定一个有意识关机的计划。刷解释，具有用于“自觉关闭”一个计划，以避免入射OT同时平衡损失是重大事故的可接受的替代。“事故喜欢殖民危机已经成为关键基础设施网络安全领域的新规范。”“因此，组织应该接受充分的培训，并准备通过一个明确的程序来处理这类事件。”

奶油指出的能力将所有系统的安全状态整合到公共数据库中跟踪和确保保护保持是至关重要的到强有力的网络安全保护。“用户必须打补丁、分段、加固配置，确保适当的备份，并限制最低权限的访问，”他说。“这些核心、基本的安全要素可能决定着你是否会成为受害者。”

了解为什么工业物联网时代需要新的安全范式。

物联网设备安全

克里斯·希克曼，Keyfactor的首席安全官。该公司首席安全官克里斯•希克曼(Chris Hickman)表示，威胁行业的网络攻击的普遍增加突显出这样一个事实:“安全不能是事后才想到的，而是需要在每一步都进行设计和计划。重点，用于防止多云企业和IOT供应链中的网络中断和安全机器认同的加密技术供应商。“良好的安全性很少是可逆的，特别是当涉及到IoT设备时。它需要建立在核心基础上，并计划超过它所保护的产品的预期寿命。“

Keyfactor产品管理副总裁马克·汤普森强调了三个常见的错误，这三个错误涉及物联网设备安全，以及如何避免:

硬编码凭证到设备：Thompson说，一些物联网设备由于硬编码凭证而受到限制。“当制造商在固件中嵌入密码或共享密钥，以帮助简化开发或大规模部署时，这是一个常见的结果。如果(这些密钥)意外泄露，未经适当授权的威胁行动者或个人可以访问整个设备。”为了避免这个问题，Thompson建议在整个部署中任何连接的设备或应用程序之间使用强大的相互身份验证。马克·汤普森，在Keyfactor产品管理副总裁。
未签名的固件：根据Thompson的说法，许多物联网设备使用无符号固件上市。此问题只有更多的设备连接和需要固件签名。“强烈建议，设备制造商用紧密控制的代码签名证书签署固件，只允许访问授权人员，”他说。“另一个关键步骤是保留所有代码签名活动的内部审计跟踪。使用可信的公钥密钥对是最有效的方法，可以在启动设备或安装固件更新之前检查设备固件，并有能力检查和验证设备的签名。“
弱认证和加密:“实施与设备用例应用匹配的强大加密密钥和算法对于加强其长期安全性至关重要，”汤普森说。“同样重要的是确保足够的熵来产生加密密钥;主要生成中的随机性是通过此过程的优先级。“

阅读更多关于周围的趋势在自动化技术的嵌入式网络安全。