SCADA之父：物理隔离没什么用

Faizel Lahkani对未来可能发生的类Stuxnet攻击敲响了警钟。

在黑客于去年12月攻破了乌克兰的电网之后，将SCADA系统进行隔离保护似乎成为了一种广受宣传的防御策略。

Faizel Lahkani是 SCADA技术方面的先行者，他认为，哪怕是在最好的情况下，将此类系统隔离也将成为不切实际的努力。

大多数SCADA系统从理论上讲都是物理隔绝的，但它们没有真的从网络上断开。由于系统配置不当、系统里有某个测试链接、有人架设了WiFi网络等各种各样的原因，物理隔离都有可能被绕开。

20年前，Faizel Lakhani 使用一台PDP-11，制造了电站公司历史上的第一个SCADA系统：Ontario Hydro。SCADA技术此后变得无处不在，从工厂配电到许多其它场景都有它的身影。不过，2010年，在让离心机过载的Stuxnet出现之后，人们才开始真正考虑SCADA安全问题。

“电力控制系统在设计过程中从来没有考虑过网络安全。它们的设计目的是管理校准器和电压电流，目前它们的功能也仅限于此。”

SCADA技术最开始基于的是陈旧的协议和通讯技术。系统被设计成是互相连接的，但在设计过程中从来没有考虑过连接到开放的外网。不过，由于过去15年内TCP/IP协议的巨大成功，所有老旧的东西都被清扫一空，包括SCADA系统。

“在互联网的世界中，几乎所有东西都是互联的。”

SCADA最开始使用的协议非常老旧，比如FDDI、Token Ring等，但“运气比较不错，网络没有使用TCP/IP协议”。

目前担任合法拦截技术公司SS8公司总裁、COO的Lakhani在推广公司新技术时表示，即使在最好的情况下，入侵也会导致控制被侵蚀，因此你需要一个可见层来进行检测。这项新技术属于入侵检测领域，面向企业，而不是公司以往的政府客户。

许多与SCADA设备相似的企业系统设计的时候没有考虑到防御当今的威胁。SS8的BreachDetect通讯分析技术可以被用于检测潜在的异常行为和遭入侵设备。SS8声称，该技术与其它类似技术 (比如思科的SourceFire、SIEM、大数据分析gong'j) 相比，能够提供更好的早期入侵检测率。

即使企业的网络流量都经过加密，SS8开发的工具也能够给出关键的信息。

“

加密技术当然会让内容分析更难，不过，通过融合深度数据包检测和设备及用户的上下文行为，的确能够为此带来一些机会。
本文转自d1net（转载）