网络入侵预防:睡眠者醒了!

你的网络很容易受到入侵者的攻击。最近发布的一系列漏洞和漏洞证明,传统的阻止它们的方法是不够的。下面介绍如何利用自动化过程的稳定性来保护控制网络。

AW 557侵入10.

如果你有一天早上醒来的消息怎么办,有人刚刚发表了进入的监督控制和数据收购(SCADA)系统?如果研究人员在四个流行的SCADA系统到互联网上发布了34个漏洞,那么这个清单包含了一些?您是否准备抵御入侵者的控制网络?

总部位于俄亥俄州哥伦布市的Kenexis Security Corp.的首席顾问布莱恩•辛格(Bryan Singer)认为,如果你的公司和大多数公司一样,可能不会。大多数生产设施都在使用传统的网络安全保护措施,这依赖于跟上最新的威胁并阻止它们。不幸的是,去年夏天的Stuxnet病毒感染和今年3月发生的更多事件证明,这种策略不再安全。制造商需要用一种深度防御策略来取代它,这种策略建立多条防线,不仅可以阻止已知的威胁,还可以主动搜索入侵者。

安装有效,多层防御现在比以往任何时候都更重要,因为安全漏洞不再通过受控通道一次运行一两个或两个。就歌手和其他安全顾问而言,今年3月下旬已经发生了醒来的噩梦情景。星期一,意大利研究员Luigi Auriemma在Bugtraq电子邮件列表中发布了34个SCADA漏洞的列表。致歉的事情,几天前,一个基于莫斯科的安全公司名为Gleg在其Agora Scada + Exploit包中发布了11个未被剥夺的SCADA漏洞。

因此,歌手说,在供应商甚至开始产生补丁之前,大量漏洞和漏洞已经流通了一段时间。在早上搜索互联网上的互联网,新闻破裂了,“我在很短的时间内发现了几十个,”他报道。“这些控制系统可直接在互联网上访问,并且我们有一些活动的漏洞资料代码。”

即使这些漏洞和漏洞引起了自动化供应商和安全公司的注意,用威胁特征和补丁加强控制网络也需要时间。开发补丁不仅需要花费时间,而且还需要进行测试,以确保它们可以安全地实现。据加拿大不列颠哥伦比亚省兰茨维尔工业控制系统专用防火墙开发商Byres Security Inc.的首席技术官Eric Byres报道,在阿斯利康进行的一项研究中,这家制药公司能够安全地将补丁部署到其整个工厂的所有系统的最快时间是31天。

部署不同的防御

由于修复漏洞需要花费这么多时间,所以目前对保护工业控制系统的思考涉及多层保护。“该策略占您网络装甲中会有脆弱性的概率,”Exida.com LLC安全服务总经理John Cusimano(Exida.com LLC总经理)excea.com LLC董事总经理介绍,这是一家位于Sellersville,Pa的安全咨询公司。“通过多层和不同的技术,该战略规定了其他机制,以防止威胁到达目标。“这个想法是构建他们的网络,以便关键系统从大多数威胁中删除了许多层。

Singer at Kenexis thinks that the best way to implement a defense-in-depth strategy is to follow the ISA99 Manufacturing and Control Systems Security standard being developed by the International Society of Automation (ISA) in Research Triangle Park, N.C. “There is a lot of good guidance [in the standard] for understanding and describing your environment from a security perspective,” says Singer, who is co-chair of the committee.

该标准中概述的区域和管道模型将网络划分为可以相互独立保护的区域。然后,数据通过仔细控制的管道在区域之间流动,并在它们跨越边界时进行检查。因此,一旦进入网络,没有人可以自由访问网络中的任何地方。

辛格说,在标准的14份文件中,有两份已经出版,其他的还在等待中。“我们还发布了两份技术报告,”他补充道。随着ISA99的各个部分被批准和发布,位于日内瓦的国际电工委员会(International Electrotechnical Commission)已经将它们国际化为IEC 62443。

与ISA99型号一样,IEC 62443不能用作仅仅是艾迪达的Cusimano。“供应商的参考架构需要调整”真实“应用程序,并且必须在现场控制系统上非常仔细地执行数据收集,”他说。

Cusimano的客户之一,一家南非石化公司,在2009年12月蠕虫病毒关闭了两台OPC(一种通信标准)服务器时,吸取了惨痛的教训。在工程人员重建服务器期间,操作员不得不在部分失明的情况下运行工厂8个小时。幸运的是,该工厂能够在不损失生产的情况下恢复,但事故使管理层相信要分割网络,并着手实施多层次的防御计划。

该计划包括建立一种机制来安装所有可用的软件补丁,并根据供应商的建议部署防恶意软件。与此同时,技术人员正忙于删除不必要的文件共享,清除所有不必要的应用程序的控制网络,如Microsoft Outlook和Internet Explorer。他们还将电缆锁定在使用过的端口上,禁用或阻止访问未使用的USB和以太网端口,并寻找积极搜索入侵者的监控技术。

监控网络流量

今天可用的各种监控技术利用控制环境拥有的重要优势。“与IT(信息技术)系统相比,他们日复一日地稳定,”Byres解释道。“用户通常不会安装新应用程序,并且没有大量意外的流量。我20年前委托的系统今天可能有类似的交通模式,然后他们已经回来了。“这种高度稳定性使其易于监控和控制流量。

这也使得在现有的两种基本安全策略中采取更激进的策略变得可行。这个更严格的原则——没有明确允许的就被拒绝——提供了比其他更严格的安全,反恶意软件使用的更流行的原则——没有明确禁止的就被允许。

然而,这是一种权衡。位于马萨诸塞州萨德伯里的SystemExperts公司的安全与合规主管菲利普•考克斯指出:“尽管访问控制更加严格,但网络没有那么灵活。”“如果有人安装了应用程序,它就不会工作。”新的应用程序和升级需要有人重新配置操作系统、防火墙和其他工具上的安全设置,以允许它们运行。

因为重新配置既既困难也不是必要的控制网络,所谓的被称为“白名单”的技术正在获得普及的衡量标准。许多自动化供应商正在开发技术,该技术将网络流量与批准的应用程序和文件列表进行比较,并且仅允许那些在白名单上运行的技术。“与黑名单技术不同,白名单采用锁定所有已知的良好流量并阻止所有不信任的一切的方法,”ABB Inc.的Cyber​​ Security团体负责人N.C.

然而,布兰德尔敦促资产所有者继续使用反恶意软件配合白名单。他说:“有了白名单,他们就可以用更少的资源消耗和侵入性的方式使用反恶意软件技术。”然而,它保持着另一条重要的防线。

正在为控制系统安全开发的另一套监控和预防技术是内容检查。从IT空间开发的电子邮件检查中借用概念,控制系统的防火墙开发人员正在设计用于检查尝试在控制网络中跨越边界和检查点的数据的工具。“You allow it to pass only if the data are formatted according to the specifications, and if it’s for a specific function such as reading data, and if it’s is going to a specific device, and so on,” says Byres, a developer of such products. “You tighten the criteria down so that a worm like Stuxnet won’t be able to write to the PLCs (programmable logic controllers) it wants to.”

检查您的日志

利用保护控制网络中自动化过程稳定性的另一种方法是实现称为安全信息监视(SIM)的技术。在这种技术中,SIM软件检查整个系统中存在的各种日志以进行异常活动。“理论上,你可以用手做,”SystemExperts的注释Cox。“但实际上,您需要某种类型的自动机制来筛选通过任何相当大的网络上的流量。在过去几年中,内置相关引擎内置的智慧已经好得多了。“

有效使用监控工具的最大障碍是资源。除了正确安装和配置和配置的工具外,任何监控方案都需要致力于它以确保该过程正在运行,调整规则,因为情况发展,并解释被收集的数据。

作为某种情况,COX叙述了添加剂制造商的经验,要求他的公司负责其早些时候从基于Bedford,基于MASS.的RSA的EMC Corp的安全部门安装的Envision安全监测系统。软件正在运行,公司支付必要的维护费用,“没有人在做任何事情,”Cox解释道。该公司有很多其他IT卫生,但没有人真正调查监测系统正在产生的异常和警报,这是ISO 27000安全审计发现的事实。

另一个问题是该公司尚未获得其投资的全部利益。为了在网络中竖立几种活跃的防御线,COX一直在逐步添加寻找异常活动的检查点。例如,他配置了系统,以查找他发现包含关键信息的一组数据库服务器的活动目录中的登录失败。“在自动化环境中,系统被编程为与其他系统登录和交谈,”他指出。“不应该有任何失败。”

因此,失败表明存在需要调查的问题。有时,他们捕捉到一些简单的东西,比如意外损坏的文件。但有时,它可能是一个防盗报警器,考克斯说。他报告说,自从他开始为这家添加剂制造商配置和监督监控系统以来,该软件已经向公司发出了至少三个重要事件的警报,这些事件需要负责监控网络的人的注意。

事实上,据德克萨斯州普莱诺的英维思运营管理公司控制系统安全项目经理Ernie Rakaczky称,尽管该软件存在缺陷,但松散的安全是去年Stuxnet成功的最重要因素。他说:“在一次有针对性的攻击中,工厂网络通常不会在一天之内遭到破坏。”“在这些攻击中,通常会有人通过多种方式收集信息。”监视网络的人可以看到初始探测产生的异常,并对其进行防御。

因此,Rakaczky认为,良好的网络安全需要有人能够注意和调查这些异常情况。他说:“在网络安全方面,成功的90%取决于你管理好你已经到位的东西,而不是你已经到位了多少。”

给某人责任的另一个原因 - 是否雇员或承包商 - 是向任何防御增加监测层需要时间。SystemExperts的Cox一直在与加件制造商合作超过一年,他估计他只有20%进入该项目。

崎岖的vpn

如果这些和其他监控技术将为防御深度安全方案添加可靠的保护层,则硬件必须可靠。对于许多安装,这意味着硬件必须足够坚固,以抵御工业环境。这对曼联的公用事业基于Harrington Park,N.J.这家公司使用各种通信技术,如调制解调器,租用线路,干式对和许可的收音机管理23个州的300多个州的远程现场网站。

因此,工程人员寻找工业级硬件,该硬件将支持防火墙和加密的虚拟专用网络(VPN),保护其SCADA网络中的各个区域。“在过去,我们使用昂贵,所需的特殊技能来配置和经常失败的办公室网络级产品的混合结果,”keith kolkebeck,Systems工程项目经理。

然而,当他在菲尼克斯在米德尔敦的凤凰城联系美国在菲尼克斯敦的菲尼斯联系人的测试中,他的搜索产生了果实。由柏林,德国,德国,德国,小型,工业评级的凤凰子辅助安全技术创建和开发模块有助于基础设施中所需的保护层。根据Torsten Roessel,Innominate的业务开发总监,他们通过防火墙和完整性监控提供LAN级安全性,以及通过VPN流量的防火墙控制的远程连接。

有状态防火墙——跟踪网络连接(如TCP流和UDP通信)的状态的防火墙——应用从中心服务器上的模板配置的规则。这些规则可以限制获得授权的个人访问的类型和时间,这些人可以从不同的地点登录和验证自己。“通过向管理员发送警报,完整性监控可以保护文件系统免受可执行代码的意外修改,例如由stuxnet衍生的恶意软件,”弗兰克·迪克曼(Frank Dickman)说,他是芝加哥的一名工程顾问,参与了该项目。

由于两个原因,电器可观且透明地执行工作。首先,它们的双向通信在100 MB / s以太网网络上创建了无可感知的延迟。其次,它们连接到它们正在保护的设备,并假设其媒体访问控制(MAC)和Internet-协议(IP)地址。因此,根据Dickman的说法,安装不需要对网络配置进行更改,这具有允许技术人员在没有特殊的IT培训的情况下安装一个技术人员。

正如Dickman和其他人所发现的,有许多工具可以用于实施深度防御策略。企业必须意识到这一需求,并下定决心增加保护措施。

2011年2月,相关特征——网络攻击使石油和天然气公司受害
阅读功能文章,访问
//www.myenum.com/news-8338

订阅Automation World的RSS提要获取专题文章

更多的在家里