一个严峻的缺口:一级现场设备的网络安全

工业控制系统网络安全如今主要集中于网络安全,努力很大程度上忽视了对工厂安全和可靠性至关重要的过程控制设备,让它非常脆弱,一位专家警告说。

在工业控制系统(ICS)网络安全公司Dragos和通用电气(GE)最近出版的一系列三篇白皮书中,这些公司提出了这样一个观点,即增加连接可以使工程和商业都有意义。“随着工业过程的发展,传感器提供了提高过程可视性的机会;数据集成和分析提高了我们对流程的理解;机器变得更有控制能力;[和]数据连接变得越来越可能。”然而,这些公司指出:“传统的企业网络安全可能与新兴的工业控制流程业务需求存在冲突。”

资讯科技(资讯科技)保安例如,建议隔离系统和信息,最小特权用户访问权限,和加密。“在IT安全领域,业务和IT安全之间建立了紧密的关系,因此,安全性是围绕业务需求精心构建的。在工业系统中,我们已经注意到一些冲突,这些冲突要么导致了次优安全性和脆弱流程,要么导致了以次优流程或不必要的安全费用为代价的良好安全。

这意味着什么,据公司称,是:“我们需要流程设计师和工程师之间更好的协作,以及有助于保护工业控制网络的安全团队。“工程师和设计师应与他们的安全团队合作,将非侵入式安全构建到集成电路中,"which will produce more value than relying simply on later bolt-on solutions." That will require engineers to understand these connectivity needs and cybersecurity threats,但它也需要工程师和安全专业人员之间的双向沟通和协作,谁应该根据工程和业务需求定制安全性。这种合作,他们注意到,尤其重要的是,在物联网(IIoT)的工业时代,它将融入工业操作环境。

对于约瑟夫·韦斯,注册专业工程师,他是制定标准的非营利组织国际自动化协会(ISA)的研究员,目前担任ISA控制系统网络安全董事总经理,鉴于IT和操作技术(OT)之间的融合,工程师和流程架构师之间的对话非常重要。Weiss是一位能源行业的资深人士,在金莎线上开户过去的几十年里,他帮助制定了多个电力行业的安全底漆和实施指南,首先作为电力研究所的专家,最近,作为国际电工委员会(IEC)和ISA制定网络安全标准工作组的成员。在采访中功率一月,Weiss说,"I believe the biggest overall problem control system/operations has with the cybersecurity community is that community's focus on ‘protecting the network,' rather than ‘protecting the operational systems/process.' "

集成电路安全责任的倾斜演变

该行业扭金莎线上开户曲的优先顺序根源于一段复杂的历史,维斯解释道。在其百年历史中,在没有基于互联网协议的网络的情况下,对电网进行了监控。当网络最终被采用时,他们提供了支持服务,在大多数情况下,控制系统网络安全继续以保护其监视和控制的控制系统和过程为中心。根据维斯的说法,9月11日之后,转折点到来,2001年,什么时候?由于高度重视安全,公司开始将网络安全从运营组织转移到IT部门。今天,他们属于OT组织。“在那之前,物理设备,如涡轮机,泵,汽车,保护继电器,他们的相关流程是相关技术组织的唯一责任。“当网络安全转移到IT部门(现在是OT部门)时,控制系统现场设备的网络安全责任(即,过程传感器,执行器,驱动器,工程设备从桌子上掉了下来

Weiss断言,这种开发的结果最终促进了IT方法优于工程方法。这个问题一直存在。“这可以从诸如为漏洞评级的公共漏洞评分系统(CVSS)等方法中看出来,将分数分配给影响ICS的缺陷。国土安全部的工业控制系统网络应急响应小组也可以看到这一点,他们对脆弱性进行了关键性的分配。然而,这两种方法都不能解决脆弱性对实际工厂设备和工艺的影响。也就是说,网络漏洞对特定泵的影响是什么?阀,马达,继电器,还有其他的呢?”

根据维斯的说法,这一术语中的混乱也根深蒂固,他说,“运营技术”已经成为一个相当模糊的表达,已经应用到所有非IT资产中。OT解决方案通常侧重于控制系统网络,而不是控制系统设备。”因此,不清楚工程师/过程架构师是否会认为自己是OT,”Weiss说。造成危险的一个原因是,它促使负责控制系统的工程师和技术人员缺乏对控制系统网络安全的认识。控制系统是具有复杂系统交互的复杂系统。一般来说,进行详细的系统交互研究,包括故障模式和影响分析(FMEA)。危害作业分析(HazOps),等等。这些分析中经常遗漏的是网络因素,”他指出。

网络安全方面的一个危险缺口

韦斯警告说:鲜明地,网络安全重点的历史性转变留下了一个根本性的缺口,使关键组成部分容易受到攻击。“国家标准技术研究所(NIST)将网络安全定义为影响保密性的系统之间的电子通信,完整性,或者可用性,”他解释说。与此同时,如今,发电厂的控制系统采用了商用现货人机界面(HMI)的组合。一般窗户,透过互联网规约(IP)网络,通常是以太网,与现场设备一起,例如过程传感器,执行器,和他们的现场级网络驱动。由于对网络的关注,网络安全已经演变成“通过识别IP网络中的恶意软件和网络异常,从上到下的方法”,这一过程通常被称为“网络异常检测”。这是因为,最终目标是确保数据没有受到损害。IT方法已经扩展到通过监控OT控制系统以太网网络来寻址控制系统。虽然他承认网络监控方法是“必要的”,但他说,保护控制系统和防止长期设备损坏“还不够”。

“这是因为网络监控既不能确保没有网络安全或认证的传统控制系统设备的网络安全,也不能确定具体的控制系统设备(如泵,阀门,汽车,以及继电器)易受网络攻击。因此,IT/OT方法不能支持可靠性或安全考虑,也不能对构成控制系统的系统系统进行网络安全。他说,是“一个棘手的问题”。

一个基本问题

理解这个问题的一个有用的方法是使用purdue模型来控制层次结构,这是一个逻辑框架,基本上将企业划分为多个区域(参见侧栏,“普渡模式正在演变“”。“在太多的情况下,网络安全重点一直集中在2-4级,因为这些级别通常使用商用现货(COTS)技术和以太网通信,”Weiss说。"This is the technology that most IT organizations (end-users and vendors) are familiar with and have available training and cybersecurity tools." However,2-4级的网络影响通常是“短期拒绝服务事件,除非它们被用于危害1级设备或0级流程。相反地,一级设备对操作和维护人员来说是众所周知的,但对IT和安全人员或政府决策者来说通常不是。

普渡模式正在演变

在20世纪90年代,T.J威廉姆斯,普渡大学应用工业控制实验室的研究员,提出了一种独特的方法来定义人在计算机集成工厂或企业中的位置,使用普渡企业参考体系结构的扩展解释,从本质上结合信息技术与制造过程的连接。

1。传统的普渡模式。资料来源:“设计和建造高效和安全的工业系统”,Kenneth Crowther(通用电气)罗伯特MLee(Dragos)2018年12月。

根据工业控制系统(ICS)网络安全公司Dragos和通用电气(GE)联合撰写的白皮书,普渡模型(图1)“旨在灵活。”将模型编码为标准,如ANSI/ISA-95,用于开发企业和控制系统之间的自动化接口(国际上也称为IEC 62264)。该模型还为控制系统安全标准(如IEC 62443和NIST SP800-82)提供了基础语言。公司注意到。“如果我们把企业看作是一个中央运行的、自顶向下的层次结构,它被分解为五个层次,那么它的基本思想(以及它最初提出的方式)是最容易理解的。”特别是随着工业向物联网(IIoT)的金莎线上开户发展,这些公司指出。

这五个层次及其功能总结如下。

水平0-Physical过程。这一层定义了实际的物理过程。

一级智能设备。这个级别包括感知和操纵物理过程的过程控制设备。这一级别的设备包括过程传感器,分析器,执行器,以及相关仪器。

两级系统。此级别封装控制系统,并提供控制器的监控。它包括监控和数据采集(SCADA)软件,人机界面(HMI)设备警报/警报系统,以及控制室工作站,所有这些都可以与一级系统通信。

3级-制造和操作系统.此级别中的设备管理控制设备操作,包括应用程序,服务,以及诸如数据历史学家之类的系统,可靠性保证,生产计划和报告,工程工作站,以及远程访问服务。这些系统通过“非军事区”(位于工业网络和企业网络之间的子网络)与级别4的系统通信,为可信网络添加额外的安全层。

四级-商业和物流系统。用于企业级别,这一级别涵盖了商业和物流系统,有时也被称为组织的IT部门。它包括报告,行程安排,库存管理、容量规划、运行和维护管理,电子邮件,以及电话服务。

在他们的白皮书中,Dragos和GE注意到,“许多人发现难以应用purdue模型的原因是,purdue模型的最初应用是在大多数生产系统在企业外部被隔离和弱连接时创建的。”因为现代工业系统“正在增加自主性(以机器为中心)”,已连接(数据移动,集成,并分析)这些公司建议,对于基于层次结构的模型而言,连接的“滑动规模”模型可能更合适(图2)。“随着我们不断发展的工业4.0集成金莎线上开户电路利用更多的IIOT技术,我们将处理连接需求,访问,远程控制,和数据共享。重要的是,这些需求推动了新的安全性,并与安全工程师协作部署,这些公司说:“由于工程师们无法协作领导安全解决方案,他们没有安全措施禁止这些需求,也没有安全措施进行部署。”

2.       The "sliding scale" of connectivity incorporates the entire Purdue Model spectrum,包括连通性较低的进程(在标尺左侧)。但它也整合了新出现的信息和技术机会,这些机会可以节省成本或从数据利用中获得额外收入。资料来源:“设计和建造高效和安全的工业系统”,Kenneth Crowther(通用电气)罗伯特M李(Dragos)2018年12月

今天,现代IT技术与ICS的融合使这个问题更加复杂。“[I]T越来越难区分1级,2,有时甚至是3个。“将Web服务器直接合并到控制器或执行器中会引出一个问题,即级别1,2,三,或者一些新的组合?”为此,Weiss认为理解什么是1级设备及其功能是非常重要的,然后认识到为什么一级设备的网络安全是一个问题。

例如,部分一级设备使用基本安全(密码保护)或无网络安全的嵌入式系统;许多现在是基于ip的或具有无线功能;许多人穿过多个层,将数据写回到第2层的系统中,三,或4;还有一些依靠物理安全,如故障保护跳线(写保护),位于危险区域。在后一种情况下,Weiss建议,事故期间,工人可能会沉默地进入危险区域;因此,设备可能使用不安全的方法连接。此外,现场通信协议,如有线和无线HART,PROFIBUS,基金会现场总线还有一些已经被证明是易受网络攻击的。

安全与保障的关系

这个问题的关键——一个不容易也不容易被广泛认可的问题——是1级设备的妥协,无论是有意还是无意,“可能影响过程的物理特性,从而造成物理损伤和/或人身伤害,并伴随长期后果。”对于Weiss,这就指向了一个常见的误解,即安全和安全是同义的。“他们不是。你可以在不安全的情况下实现网络安全。这是因为安全真的依赖于0级和1级设备,以及仪器网络,不是更高级别的IP以太网,”他说。“真正的安全和可靠性影响来自操纵物理,不是数据。”

韦斯列举了一长串重大灾害,其中一级现场仪器设备问题发挥了重要作用。仪器灾难的例子包括陶姆索克水库/大坝的破坏,德克萨斯城炼油厂爆炸,三英里岛核心融化。更现代的网络安全相关例子是Aurora漏洞,韦斯指出,这项技术使用网络(电子通信)将断路器与电网断开,并对连接到受影响变电站的任何交流旋转设备和变压器造成物理损坏。“没有涉及恶意软件,因此很可能不会被网络监控检测到,”他指出。Stuxnet的有效载荷还包括修改后的控制系统逻辑,不是恶意软件,他说。恶意软件可以造成影响,比如乌克兰的网络攻击——从几小时到一天的中断或停机。操纵物理会造成物理损伤,导致数月的停机,”他警告说。

合力

去年十一月,工业控制系统(ICS)网络安全公司Dragos和工业巨头GE宣布了一项合作,以加强工业威胁检测和响应,并使ICS所有者和运营商对ICS威胁形势有更全面的了解。的努力,这将涉及将GE的技术与Dragos ICS威胁检测和响应平台相结合,旨在解决几个关键的网络安全挑战:

工业资产所有者和运营商对集成电路和网络威胁环境的可视性有限,因为很多原因。其中包括“工程系统的总体复杂性,复杂的变更要求,缺乏监测规范/要求,他们补充道:“虽然日志记录和监控已经成为IT网络上的普遍做法,但[运营技术]网络所能获得的有限信息会降低运营商在检测可能存在的任何威胁行为的同时充分了解其环境的能力。”

该行业缺金莎线上开户乏能够有效检测和应对威胁的缺乏经验的ICS网络安全专业人员。

数字化正在增加风险。虽然诸如工业物联网和工业4.0这样的潜水员正在提高OT系统的数字化和互联性,并使数据分析能够提高整体设备效率和维护能力金莎线上开户,他们可以扩大敌人可能利用的“攻击面”。“ICS威胁的风险和后果从未如此之大。Trisis恶意软件针对SIS(安全仪表系统)最近强调了这一点,任何恶意行为对集成电路的物理影响都可能是灾难性的。

虽然倾向于公司推广解决方案,该合作的白皮书提供了很好的建议,可以帮助ICS所有者和运营商改革网络安全战略。

设计和建立生产和安全的工业系统:工程师如何利用普度模型,为IT安全专家的交流和发起合作创造基础。

设计和建造高效安全的工业系统:用于概念化和利用针对ICS的威胁的知识来定位业务,以适当地优先考虑安全创新的方法。

将弹性和保护相结合,为商业可行的工业系统提供最大的安全性:工程师如何提高他们对新兴安全能力的认识,以帮助改善与网络安全专业人员的对话,从而安全地实现增值的业务和工程需求。

阴暗的解决方案

更糟糕的是,根据维斯的说法,这是“网络取证或培训很少,以检测这些容易被误认为是意外事件或“故障”的问题。”

他强调的一个问题是过程传感器,它是一级设备,作为所有控制器和HMI的输入,安全可靠地监控和控制一个过程。“例如,监测涡轮机/发电机安全系统的温度传感器,以防止发电机在不稳定或不安全的条件下运行。这些过程传感器是系统运行的组成部分,不能绕过。如果温度传感器因任何原因不能工作,它可以防止涡轮重新启动,无论是自动的还是手动的。发电机可用性不足可防止电网重新启动。”

但是,尽管网络网络安全异常检测系统通常假定传统的过程传感器可以提供安全性,认证输入,没有网络安全,身份验证,或者一般都有足够的实时过程传感器取证,他说。这种遗漏也源于技术发展和网络能力之间的不匹配,导致安全专业人员检查数据包,而不是电信号,他解释说。在90年代末和2000年代,他说,随着越来越多的系统采用Windows,操作系统太慢,无法跟踪工程师通常依赖于根本原因分析来理解和监控振动过程的高频毫秒噪声。异常,以及其他标准。“所以,串行到以太网转换器供应商决定过滤掉所有的噪声,因为Windows无论如何都不能使用它。”

几乎没有解决这个问题的办法。迄今为止只有一家公司,以色列OT解决方案公司SIGA,通过实时检测电信号特征,解决1级遗留设备的有效性和认证问题,Weiss指出。许多其他集成电路公司正在关注数据包级别的传感器安全。只有Siga在原始信号水平上观察它,”他补充道。

现在,很明显,为了解决这个问题,需要更多的私人和公众的努力。韦斯说他已经反复警告过,在许多博客文章和采访中,以及对决策者和标准制定工作组的评论,即现有的网络安全和安全标准没有充分解决遗留现场设备及其网络的安全和认证漏洞。由于无法将网络异常与物理过程或设备的单个部件关联起来,他说:“很明显,基于网络的方法不能提供这些关键信息。”

最后,解决方案需要工程师之间的协作,设计师,以及安全专家。“除非网络威胁能明显损害安全和可靠性,我不相信行动真的会关心安全。这并不是说它不会感兴趣,因为有大量的高价值数据可能会受到损害。■

-索纳尔·帕特尔是一位权威助理编辑。