他山之石:解读NSA工控7步保护策略

他山之石,可以攻玉,与大家一同学习来自NSA的加强工控安全的七个策略。

0×00 译者注

工业控制系统(Industrial Control System, ICS),是由各种自动化控制组件以及对实时数据进行采集、监测的过程控制组件,共同构成的确保工业基础设施自动化运行、过程控制与监控的业务流程管控系统。工业控制系统通常指的是监视控制与数据采集系统(Supervisory Control And Data Acquisition, SCADA)、分布式控制系统(Distributed Control System, DCS)、可编程逻辑控制器(Programmable Logic Controller, PLC)以及过程控制系统(Process Control System, PCS)。

——《工业SCADA系统信息安全技术》

       这几年里面,工控系统安全和物联网安全随着网络安全这股大潮越来越热,有越来越多的研究人员参与到这个领域的研究。工控系统和物联网安全相比传统领域的主机安全,它更有可能对物理世界产生危害,也更容易受威胁。

       前几天翻到灯塔实验室的「工控安全与国家安全」http://plcscan.org/blog/2016/04/ics-security-and-national-security/,这篇文章从当前工控安全形势出发,高屋建瓴地阐述了在工控安全领域的政策制定上的一些值得思考的点,其中提到了出自NSA的这篇工控安全七步法。

       他山之石,可以攻玉。虽然这篇指南是基于美国本土的情况写成的,发布时间(2015年12月)距离现在有点久,但是其中大部分内容仍然适用于当下中国的工控安全现状,这里面的一些guidelines,同时也适合于企业的主机安全。

       关于译者:我目前跟随导师,进行信息安全领域的研究,研究方向是工控安全和IoT安全,所以我研究的出发点是在于信息安全,在关于工控系统的一些表述上,可能存在不严谨之处,还望指出和谅解。

0×01 引言

       通过网络入侵美国关键基础设施系统的频率正在不断增长。对于许多ICS工业控制系统)来说,问题不仅在于入侵是否发生,更重要的是入侵发生的时间。在2015年,厂商向ICS-CERT报告了295起入侵事件,截至现在还有更多事件未报告或未被发现。过去的若干起入侵事件已经证明了我们对手的能力,而网络安全事件的频率和复杂性也在增加。在物理边界建立一个简单的网络已经无法有效抵御入侵,保护ICS系统免受现代入侵威胁更需要精心策划并执行良好的战略,为网络防御团队提供快速有效的侦察、对抗和驱逐对手的机会。本文提出了七个具备可行性的战略,以应对当前ICS系统中普遍存在的脆弱面。

       如果ICS系统运维人员实施了本文中概述的策略,那么2014年和2015年报告给ICS-CERT的事件中的98%将被阻止,剩下的2%可以通过加强监控和快速响应来处理。

Image

0×02 七个战略

1.实施应用白名单

       应用程序白名单(AWL, Application Whitelisting)可以用于检测和阻止攻击者上传并执行的恶意软件。由于诸如数据库服务器和HMI(人机接口)等信息系统存在静态性,这一特性让应用白名单(AWL)成为可能。鼓励企业与供应商合作确定和校准应用白名单(AWL)。

例:ICS-CERT最近响应了一个入侵事件。在该事件中一种特定的恶意软件损害了其80%以上的资产。几乎所有的杀毒软件都没有检出该恶意软件,将样本上传到VirusTotal后,改恶意软件成功绕过了所有检测机制。最后,受害者不得不花费大量资金从头开始重建网络。而如果在一开始就实施了应用白名单(AWL),它将在恶意软件试图运行时就做到通知和及时阻止

2.确保正确的配置/补丁管理

        根据短板原理,攻击者会在入侵事件中定位企业生产环境中未修补漏洞的信息系统。建立以安全导入和实施可信补丁为中心的配置/补丁管理机制有效提高保持ICS(工业控制系统)的安全性。这样的程序将从科学定制的基准和企业资产清单出发,追踪需要进行升级、修复的信息系统。因为攻击者与HMI(人机接口)、数据库服务器和工作站中所使用的基于PC架构的设备具有相当的网络功能,它将优先考虑这些设备的修复/配置管理。受感染的笔记本电脑是一个重要的攻击向量。配置/补丁管理程序将限制外部笔记本电脑与ICS(工业控制系统)网络的连接,同时厂商应当使用来自可信供应商的笔记本电脑。配置/补丁管理程序还鼓励在安装更新之前,将任何更新初始安装到包含恶意软件检测功能的测试系统上。

案例:ICS-CERT响应了在发电设施上的Stuxnet(震网病毒)感染事件,根本原因是供应商的笔记本电脑受到感染

        下载用于控制网络的软件和补丁时应该基于最佳实践。采取相应措施以避免“漏洞”袭击:使用DNS信誉系统;从可信的供应商网站获取更新;验证下载的更新的真实性;坚持让供应商通过可信的通信渠道发布数字签名和(或)哈希,并使用它们进行身份验证;不要从未验证的源加载更新。

案例:HAVEX木马通过感染补丁来传播。通过可信的通信渠道获取补丁哈希值,例如邮件,由此用户即可验证恶意补丁不可靠。

3.减少你的攻击面

        将ICS网络隔离在任何不受信任的网络之外(尤其是因特网);关闭所有未使用的端口和服务。如果存在的业务需求或控制功能,则仅允许与外部网络进行实时连接。如果单向通信可以完成任务,则仅允许出战/入站数据;如果需要双向通信,则在网络上仅打开需要的端口。

例:截至2014年,ICS-CERT发现了82,000例能从互联网直接访问的工业控制系统硬件或软件。 ICS-CERT遇到许多因特网访问启用违规的时间,包括一家美国犯罪实验室,一座大坝,索契奥林匹克体育场和若干家水务公司。

4.建立一个可防范的环境

        规范的网络分区能降低入侵事件所带来的损失。 基于业务逻辑,将网络划分为若干分区,并限制不同主机间的连通,这可以防止攻击者在实现入侵后,扩大访问范围,进一步入侵核心资产。划分vlan的同时,应该要让正常的系统通信继续运行。分区降低了边缘系统入侵产生的危害,因为受入侵的系统不能用于进一步入侵其他网络分区的系统。网络分区提供的入侵遏制也使得事件清理成本显著降低。

例:在一个报告给ICS-CERT案例中,一位设施运维人员在进入3级设施时没有开启安全扫描,在退出时,进行安全扫描后检测到病毒。由于运维人员已经实施了网络的逻辑分区,只有6个系统处于危险之中。如果没有实施这种分区将有数百个主机处于威胁

        如果需要单向地从安全区域到较不安全区域传输数据,请考虑使用经批准的可移动介质而不是网络连接。 如果需要进行实时数据传输,请考虑仅允许单向传输,将允许数据复制,而不会使整个ICS(工业控制系统)面临风险。

例:在一个报告给ICS-CERT的案例中,由于计费单元需要计费数据一家管道运营商将公司网络直接连接到ICS(工业控制系统)。在被ICS-CERT通知不合规之后,该公司删除了该连接。 4天后,结算部门才注意到连接已经丢失,并在事后清楚地表明不需要实时数据。

5.管理身份认证

Image

       攻击者越来越重视掌控合法凭证的能力,特别是获得高权限帐户相关的凭据。通常来说,相比起利用漏洞或执行恶意软件,这些凭据让攻击者伪装成合法用户后,攻击者能够更容易地入侵ICS(工业控制系统)。企业可以从以下几个方面进行认证的安全管理:尽可能实现多因素认证;将权限严格限制为用户所需的权限;如果需要密码,请执行安全密码策略,强调复杂度;对于所有帐户,包括系统和非交互式帐户,确保凭据是唯一的,并至少每90天更改所有密码。

       必须分离企业和ICS(工业控制系统)网络区域的凭据,并将它们分别存储在可信存储区中。 不要在企业和ICS(工业控制系统)网络之间共享Active Directory、RSA 认证服务器或其他信任存储。

例:个美国政府机构在本地管理员帐户的环境中使用相同的密码。 这样一来,对手就可以轻松地横跨所有系统。

6.实施安全远程访问

Image

       一些攻击者能够通过发现模糊的访问向量,甚至系统运营商有意创建的“隐藏的后门”,有效获得远程访问ICS(工业控制系统)权限因为这些访问本质上是不安全的,所以企业应该尽可能地删除这些访问,特别是在调制解调器的远程访问。

       严格管理剩余必需的访问。 如果可能,利用单向无反馈的数据二极管技术,执行的“仅监视”的访问,而不是使用依赖软件配置或权限执行的“只读”访问;不允许持续性的远程连接;任何远程访问都应做到受操作员可控、时间可控、程序可控;供应商和员工提供同一套远程连接标准;如果可能,使用双因素身份验证,避免使用凭据相似或容易被盗的方案(例如密码和软证书)。

例:遵循原则可以防止BlackEnergy黑暗力量入侵BlackEnergy(黑暗力量)需要有效远程连接通信路径进行初始的入侵和渗透

7. 监视和响应

       针对现代威胁,我们的防御网络需要积极监测对抗渗透并做好快速执行应急响应的准备。企业应该考虑在以下五个关键场所建立监测计划:

  1. 在ICS边界监控异常或可疑通信的IP流量。
  2. 监控ICS(工业控制系统)网络中,为建立恶意连接或内容而产生的IP流量
  3. 使用基于主机的产品来检测恶意软件和攻击试探。
  4. 使用登录分析(例如基于时间和地点)来检测被盗凭据使用情况和不当访问,用电话快速验证所有异常情况。
  5. 监控所有帐户的操作,以检测访问到ICS(工业控制系统)的操纵。

Image

       应该制定针对入侵行为的应急响应计划,可能包括断开所有Internet连接;在适当范围内搜索恶意软件;禁用受影响的用户帐户;隔离可疑的系统;即时的全局密码重置。响应计划也可以指定入侵行为升级时采取的行动,包括事件响应、展开调查和进行公共事务活动。

       应该准备好一个用于快速恢复受入侵的系统的应急方案。

例:攻击者通过擦除硬盘驱动器内容,破坏了ICS(工业控制系统)网络中的Windows设备。最近对Saudi Aramco和索尼影业的攻击表明,这种计算机系统的快速恢复是将受攻击的信息系统恢复到运行状态的关键。

0×03 结论

       防御现代网络威胁要求企业采取有效措施,不仅要保护网络边界,更要保护内部。尽管没有系统是绝对安全的,但有效实施本文讨论的七个关键策略可以大大提高ICS(工业控制系统)的安全性。

0×04 解读

       在过去的一年中,工控系统和物联网安全的形势越来越严峻,卡巴斯基在2017年工业网络安全的报告中指出“Attacks on industrial systems are on the increase”(针对工业系统的攻击正在增加)。在2016年3月发生的伊朗黑客攻击美国大坝事件,8月发生的的Operation GHOUL (食尸鬼)行动事件表明,包括近期,在9月13日,Symantec公布了一组新的攻击行动名为“蜻蜓”。相当一部分攻击者都将矛头指向了ICS(工业控制系统),并以此威胁国家安全。

Image

       这份指导文件出台于2015年12月,但直至今日仍然能在很大程度上帮助我们降低入侵产生的损失,甚至是避免入侵。我们可以发现,NSA所提出的这七个安全策略总体上还是基于过去一直所研究的主机安全。这七个策略的覆盖面很广,但基本上还是以威胁为核心,贯穿了入侵的全过程。从入侵前的主动防御到入侵后的入侵容忍与应急响应,以及最后的系统重建方案,NSA都为企业提出了科学有效的建议,并提供的相关的案例。根据NSA提供的图表,我们可以发现,实施应用白名单机制和使用正确的配置/补丁管理,能够显著降低(38%)安全事件发生的概率

       主机安全与工控系统和物联网安全有一个很大的区别就是,由于工控系统和物联网设备的异构设计和低性能,很难在这些设备运行反病毒软件,虽然也有研究人员基于一些侧信道的方法做了一些工作,比如浙江大学的徐文渊教授团队通过学习设备的功耗来检测设备是否被入侵,但是窃以为这类方法的可靠性、准确性和误判率还有待考验,距离形成成熟的解决方案还有一定距离。所以目前阶段,采取隔离工控网络、严格管理凭证等手段,虽然无法从根本上解决工控安全,但正如NSA所说,做好这七步能够减少98%的攻击事件,剩下的2%基于更快速的应急响应和更严格的流量监控来解决。

Image

       同时,针对NSA工控安全七策略,灯塔实验室也指出,“美国NSA的“七招”不是万能解药,与美国相比,受国内体制、信息化与自动化发展的阶段、标准与技术的原创性等种种因素的影响,存在着明显的区别。因此,我们建议国内工控安全采取更直接、更有效的策略来控制工控安全风险。”

       对于企业来说,做好上述七策略基本上能够满足对工控系统的安全要求,但是,对于一些关键基础设施,可能还需要做的更多,比如提高主动防御能力和威胁捕捉能力、构建系统的入侵容忍标准和实现信息系统快速重建等,至于这些,就不在本文的讨论范围了。

1

发表评论

已有 1 条评论

取消
Loading...
css.php