定义什么是工业控制系统,它们为何如此重要,以及保护它们的独特挑战。
欢迎阅读关于工业控制系统 (ICS) 网络安全的多部分系列的第一部分:ICS 安全简介。在第一篇博文中,我们将向您介绍这些系统是什么,解释它们为何如此重要,并概述保护 ICS 的独特挑战。
什么是工业控制系统?
工业控制系统用于管理、指导和调节自动化工业过程的行为。ICS 是一个涵盖多种控制系统的术语,但所有这些系统都有一些共同的基本特征。他们的工作是产生期望的结果,通常是维持目标状态或在工业环境中执行特定任务。他们使用传感器执行此功能以收集真实世界的信息。然后,他们将这些数据与所需的设定点进行比较,并计算和执行命令功能,以通过最终控制元件(例如控制阀)控制过程,以维持所需的状态或完成任务。
从恒温器到 SCADA
虽然远非复杂,但恒温器是大多数人都熟悉的简单控制系统的一个例子。它监控封闭空间内的温度,并打开加热或冷却装置以保持所需的温度。
另一方面是大规模、复杂的环境,需要多个不同的系统协同工作,以实现工业设备功能的自动化。广泛使用的 Purdue 参考架构模型将 ICS 划分为多个级别,我们将在本系列的后续博客文章中更详细地介绍这些级别。暂时,我们将ICS的组件总结如下:
- 传感器和执行器——操纵它们所连接的机械组件(例如阀门、开关、继电器)的设备以及向控制器报告现场数据的传感器。这是连接网络环境与物理世界的关键点。
- 控制器——从传感器接收输入并根据其编程调整执行器的设备。
- 本地监督系统——使操作员能够监督、监控和控制物理过程的系统。这些界面可能使用 Windows 等商品操作系统,但通常是更简单的设备,如触摸屏。
- 管理系统——工业控制网络顶层的服务器和工作站。作为所有 ICS 控制和监控的端点以及业务系统的连接点,这些系统对整个 ICS 环境具有广泛的可见性,通常跨越多个地理区域。
- 业务系统——企业级服务,使用 ICS 运营数据和遥测技术进行业务应用程序,如计费、建模、趋势和报告。这些系统不被视为工业控制网络的一部分。
为什么要关心 ICS?
工业控制系统基本上无处不在。您喝的水、告诉您何时停止和离开的交通信号灯以及为您用来阅读本博客的设备供电的电力都来自如果没有 ICS 启用的自动化流程就无法运行的服务。这些系统也是国家安全问题。美国国土安全部列出了 16 个关键基础设施部门,其资产和功能被认为对国家经济安全和公共卫生或安全至关重要,列出的每个部门都严重依赖 ICS:
- 化工
- 商业设施
- 通讯
- 关键制造
- 大坝
- 国防工业基地
- 紧急服务
- 能源
- 金融服务
- 食品和农业
- 政府设施
- 医疗保健和公共卫生
- 信息技术
- 核反应堆、材料和废物
- 交通系统
- 水和废水系统
在这些关键基础设施领域的每一个中,不同的工业控制系统都在不断地调节流量、打开和关闭断路器、监控温度水平以及执行许多其他功能。例如,疫苗生产目前是全球的主要优先事项,该过程中使用的 ICS 的批次控制功能对于制药公司的大规模生产工作至关重要。这些部门中任何一个部门的 ICS 中断都可能产生重大后果。在一线员工必须处理爆炸性或有毒物质的工作场所,系统故障可能导致严重伤害或死亡。
很容易理解为什么工业控制系统是组织良好的威胁参与者进行网络攻击的最高价值目标之一。这些团体的目标可能从盗窃知识产权到敌对民族国家故意造成损害,但 ICS 系统对任何工业化国家日常运作的重要性使它们成为任何希望造成最大损失的团体的理想目标以相对较低的资源成本实现中断水平。
对主要公用事业公司的攻击可能会严重影响大量人口,例如 2015 年对乌克兰三个能源分销公司的网络攻击,该公司在冬天的中心暂时切断了超过 200,000 名客户的电力超过三个小时。自 2016 年以来,还公开披露了三起对供水系统的攻击,对客户的健康构成直接风险。仅在 2015 年,美国水和废水行业就发生了 25 起网络安全事件,随后发生了这些攻击。
使问题更加复杂的是公用事业的有限预算,尤其是那些由较小城市运营的公用事业。农村公用事业公司经常缺乏雇用一名 IT 人员的预算,这使他们无法应对大多数类型的网络威胁。
ICS 网络安全的挑战
工业控制系统的一些关键特性使得它们在本质上比 IT 环境更具挑战性。一方面,这些是必须实时精确运行的确定性设备,安全层可能会阻碍它们的性能。如果 ICS 设备必须以 1/60 秒的精确间隔测量电流,它们就无法容忍后台运行的安全软件产生的潜在延迟。其次,ICS 的某些组件基本上一直在运行,它们的持续运行可能是组织驱动力不可或缺的一部分(例如,推动利润或维护健康与安全)。必须精心计划因对这些系统进行更改或安装更新而导致的任何停机时间,以确保将服务中断降至最低水平。
虽然它们可以处理复杂的工业应用,但工业控制系统具有内在的简单性:它们控制着它们设计的过程,仅此而已。随着时间的推移,这些系统有了很大的改进,但它们的发展路径与 IT 不同,它们的安全功能并没有像安全从业者所希望的那样受到关注。
继承的不安全感:ICS 沿袭
第一个工业控制系统是针对它们所经营的不同部门的要求而定制的。例如,工厂车间自动化的早期阶段依靠工业继电器、气动柱塞定时器和电磁计数器的机架来启动和停止电机。根本没有终端或网络连接,编程更改由车间的电气工程师进行,通过物理更改电路来更改程序。这些系统本质上是预定义的、不灵活的和停滞的,实施任何更改或对其进行维护都非常困难。
1975 年,随着第一款可编程逻辑控制器 (PLC) Modicon 184 的发布,实现了重大飞跃。该设备可以从运行供应商编程软件的个人计算机通过专有媒体和协议进行编程。用于对第一代 PLC 进行编程的主要通信协议是 Modbus(通过串行接口),于 1979 年推出。Modbus 现在是开源的,事实证明它非常可靠且易于使用,直到今天仍在使用,开发人员已将其调整为在 TCP/IP 网络上工作。不幸的是,这带来了一个重大的安全问题,因为 Modbus 请求和响应数据包是在未加密且未经身份验证的情况下发送的,并且使用已建立的方法很容易拦截、修改和重放它们。虽然现代 ICS 中目前使用了其他几种协议,但它们中的许多都有类似的漏洞。
然而,ICS 设备中固有的安全缺陷超出了通信协议。从安全的角度来看,那些被证明最易于使用和最耐用的设备自相矛盾地是最容易出现问题的设备之一,因为它们的使用寿命极长,因此它们缺乏实现所需的硬件、马力或编程安全功能。
由于 ICS 的实际应用种类繁多,还有大量不同的、通常是专有的系统构成了当今的 ICS 环境。大多数 IT 组织使用 Windows 等知名操作系统,因此很容易找到经验丰富的管理员。ICS 中使用的系统、协议和编程方法更加多样化,这是供应商坚持各自产品线的专有技术的结果。因此,每个 ICS 环境通常都是独一无二的,并且可能具有由具有不同优先级和专业技能的操作员运行的多个不同系统。
总之,重要的是要注意 ICS 从业者历来重视可靠性和互操作性。这是因为工业控制系统通常需要连续使用,在多供应商环境中提供长期使用寿命的关键功能。因此,当许多这些环境首次投入使用时,安全实践并不普遍,并且安全功能和实践近年来才开始集成到 ICS 系统中。
新的开口,新的威胁载体
随着世界各地的组织将更多的 ICS 功能暴露给他们的企业网络和云以提高业务和运营效率,他们在不知不觉中为他们的工业控制系统开辟了新的潜在攻击媒介。恶意行为者经常成功地访问公司网络,并且在许多记录在案的案例中,获得了对 ICS 环境的访问权,并造成了从微不足道到危及生命的各种破坏。
想要的:新员工,新想法
虽然这里提到的问题很重要,但它们与其他社会经济因素的融合,包括石油和天然气行业的收缩,为考虑职业转变的个人提供了机会。那些在工业环境中具有 ICS 工作经验的人拥有成为 ICS 安全从业者的坚实基础。在 2021 年 SANS ICS 峰会的主题演讲中,美国国家安全委员会负责网络和新兴技术的国家安全副顾问 Anne Neuberger 表达了让具有这种背景的人参与进来的重要性:
“在我上一份工作中,我的团队中有几个人来自公用事业部门,他们非常有价值,并且参与了每一次讨论,因为人们一直在说‘这很有用。’”
除了 ICS 中使用的不同工具集之外,专家们也有不同的思维方式,它们承担着不同的使命、文化和对 ICS 环境独特风险的理解。那些拥有 ICS 实践经验的人会带来丰富的知识,这些知识可以帮助开发出确保我们的工业基础设施安全所需的知情方法。
愿意将其专业知识应用于 ICS 领域的 IT 安全分析师也可以极大地帮助改善 ICS 网络安全状况。虽然 ICS 供应商开始将更多的安全性纳入他们的产品和技术,但掌握 IT 安全最佳实践的人对于现在保护 ICS 环境至关重要。例如,所有 ICS 协议最终都将得到强化和保护,就像 FTP 和 TELNET 在 IT 领域逐渐被 SFTP 和 SSH 取代一样。然而,在这些类型的改进出现之前,可以采用经过验证的 IT 安全实践来保护 ICS:网络分段与强大的外围保护以及强大的监控、检测和响应相结合。
在本系列的下一部分中,我们将进一步深入研究 ICS 网络安全的当前状态,检查最佳实践和架构标准,同时回顾从最近对 ICS 基础设施的攻击中吸取的宝贵经验。
