黑帽大会:SCADA系统安全就像一颗“定时炸弹”-阿里云开发者社区

开发者社区> 狼人2007> 正文

黑帽大会:SCADA系统安全就像一颗“定时炸弹”

简介: 通过对120多个管理发电厂、炼油厂和其他关键国家基础设施的网络和系统的安全进行评估分析,Red Tiger Security公司发现了数以万计的安全漏洞、过时的操作系统和未经授权的应用。 Red Tiger Security 是一家专门从事国家关键基础设施安全的公司,其创始人兼首席顾问Jonathan Pollet在周三的黑帽大会2010上指出并分析了此次评估(这项评估历经了九年的时间)。
+关注继续查看

通过对120多个管理发电厂、炼油厂和其他关键国家基础设施的网络和系统的安全进行评估分析,Red Tiger Security公司发现了数以万计的安全漏洞、过时的操作系统和未经授权的应用。

Red Tiger Security 是一家专门从事国家关键基础设施安全的公司,其创始人兼首席顾问Jonathan Pollet在周三的黑帽大会2010上指出并分析了此次评估(这项评估历经了九年的时间)。Pollet说,维护关键基础设施的公司必须提高其安全性。

Pollet说,“我希望我们的消息可以给大家一些警示。”

虽然运行监控和数据采集系统(SCADA)的公司经常声称这些系统是安全的,因为他们与外部世界是断开的,并被许多物理和技术安全控制所包围,但是,Pollet的评估分析结果显示事实正好相反。

Pollet说,一些设施在计算机上运行Windows 95,并且运行设施所需的关键机器还安有未经授权的软件,从点对点应用到游戏到色情。

Pollet说,许多未经授权的软件中含有主要缺陷,其中包括用于连接到互联网的下载程序。我们还发现许多应用程序被连接到游戏软件的服务器、成人影片目录脚本和网上约会服务数据库。在一个设施中,安全专家发现其核心运作机器安装有流行的Counter Strike游戏,它还连接到一个外部服务器。

“不需要零日漏洞,” Pollet说,“已经有很多方式能使系统陷入风险。” 联邦政府近几年来越来越多的考虑关键基础设施和SCADA系统的安全性问题。由McAfee公司和美国战略与国际研究中心(CSIS)发表的一份报告指出,许多发达国家的关键基础设施的安全问题亟需改善。该报告调查了600名IT和安全管理人员,三分之二的受访者承认,他们的SCADA系统已连接到IP网络或互联网,存在一些没有解决的安全问题。

Pollet发现,一些中央SCADA系统可以通过它们所连接的业务系统来访问。其他的攻击是由配置问题、防火墙程序不当和安全系统维护不善导致的。Pollet称SCADA系统和业务系统之间的区域为非军事区(DMZ),一个“无人地带”,其中企业IT专业人士不知道如何管理SCADA系统操作数据,而SCADA运营商则认为其他人在管理基础设施。大约有一半的安全漏洞(18000个)在中间层被发现。

许多漏洞包含在Web服务器、业务应用程序,以及和它们连接的数据库服务器上。大多数系统都遭受常见错误,容易受到SQL注入、跨站点脚本和拒绝服务攻击。超过一半的系统(62%)在基于微软的操作系统上运行。红帽Linux系统占11%。

更糟糕的是,Pollet发现漏洞向公众披露的时间与控制系统操作人员发现这个漏洞的时间相差近一年(330天)。在某些情况下,运营商甚至会花更长的时间来部署一个修补程序,因为一些系统不容许脱机,而其他的设施太重要而不能去冒险安装补丁程序(可能会破坏关键程序)。

北美电力可靠性公司(NERC)维护关键基础设施保护标准,独立组织国际自动化协会维护类似的标准(ISA S99)。Pollet说,这两个标准提供了一个共同的安全框架,可以用来改善设施的安全。

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
《工业控制网络安全技术与实践》一2.1.3 SCADA 系统未来的技术发展
本文讲的是工业控制网络安全技术与实践一2.1.3 SCADA 系统未来的技术发展 ,本节书摘来华章计算机《工业控制网络安全技术与实践》一书中的第2章,第2.1.3节,姚 羽 祝烈煌 武传坤 编著 译更多章节内容可以访问云栖社区“华章计算机”公众号查看。
1018 0
黑帽大会:SCADA系统安全就像一颗“定时炸弹”
通过对120多个管理发电厂、炼油厂和其他关键国家基础设施的网络和系统的安全进行评估分析,Red Tiger Security公司发现了数以万计的安全漏洞、过时的操作系统和未经授权的应用。 Red Tiger Security 是一家专门从事国家关键基础设施安全的公司,其创始人兼首席顾问Jonathan Pollet在周三的黑帽大会2010上指出并分析了此次评估(这项评估历经了九年的时间)。
1028 0
Hadoop大象之旅002-安装CentOS操作系统
Hadoop大象之旅002-安装CentOS操作系统                                   老帅    上一章中,我们已经准备好了VMWare虚拟机环境,这一章,我们就在虚拟机中安装操作系统。
1240 0
阿里云服务器ECS远程登录用户名密码查询方法
阿里云服务器ECS远程连接登录输入用户名和密码,阿里云没有默认密码,如果购买时没设置需要先重置实例密码,Windows用户名是administrator,Linux账号是root,阿小云来详细说下阿里云服务器远程登录连接用户名和密码查询方法
3497 0
阿里云服务器端口号设置
阿里云服务器初级使用者可能面临的问题之一. 使用tomcat或者其他服务器软件设置端口号后,比如 一些不是默认的, mysql的 3306, mssql的1433,有时候打不开网页, 原因是没有在ecs安全组去设置这个端口号. 解决: 点击ecs下网络和安全下的安全组 在弹出的安全组中,如果没有就新建安全组,然后点击配置规则 最后如上图点击添加...或快速创建.   have fun!  将编程看作是一门艺术,而不单单是个技术。
4623 0
基于Hadoop生态系统的一种高性能数据存储格式CarbonData(性能篇)
CarbonData在数据查询的性能表现比Parquet好很多,在写一次读多次的场景下非常适合使用;社区比较活跃,响应也很及时。目前官网发布版本1.3.0与最新的spark稳定版Spark2.2.1集成,增加了支持标准的Hive分区,支持流数据准实时入库等新特性,相信会有越来越多的项目会使用到。
3453 0
阿里云服务器安全组设置内网互通的方法
虽然0.0.0.0/0使用非常方便,但是发现很多同学使用它来做内网互通,这是有安全风险的,实例有可能会在经典网络被内网IP访问到。下面介绍一下四种安全的内网互联设置方法。 购买前请先:领取阿里云幸运券,有很多优惠,可到下文中领取。
9515 0
+关注
狼人2007
个人对技术的追求:代码少而精捍;思路清晰美观;可扩展好维护;技术驱动商业; 人生格言:只要你有信念,有追求,并且坚持,那你一定比随波逐流,行得远行得正...
3528
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
文娱运维技术
立即下载
《SaaS模式云原生数据仓库应用场景实践》
立即下载
《看见新力量:二》电子书
立即下载