编者注
        本周实用SCADA安全博客请来了一位非常特殊的投稿人 - Mr. Santa Claus，北极一家大型玩具制造商的所有者和运营者。对Mr. Claus来说，这是一年内很忙的时期，所以我们非常感谢他与我们的读者分享他的网络安全故事。我们也感谢他有勇气公开分享他的工厂内发生的一起SACDA/ICS安全事件的细节。

Mr. Santa Claus的安全报告

       我通常不写博客，尤其是安全博客 - 我忙于管理我工厂的玩具生产、包装和运输。但是去年车间发生了一起严重的安全事故，让我、Mrs. Claus和工人们非常震惊。我意识到任何拥有关键自动化系统的人都需要严肃对待安全问题。我决定分享我们的故事，希望其他人可以从我们的错误中吸取经验。

       我也希望人们意识到，任何组织机构都可能发生网络安全事件。最后我想澄清那次事件泄漏给媒体后报纸上刊登的一些错误。

北极玩具工厂的工业控制系统

      一个多世纪以来，北极玩具厂车间包括三个主要的生产区，分别是玩具组装区、玩具包装区和玩具运输区（驯鹿和我做实际的运送工作，但是需要将包装贴上适当的标签，分类装入雪橇上的包里）。我们也有远程操作中心。

北极玩具生产和运输厂来源：Alaska Dispatch

       最初，Santa的车间的整个玩具系统是手工的，需要很多工人和夹纸板。生育高峰开始后，为了跟上产品需求，我们开始实现生产流程的自动化。那时，安全并不是我们考虑的部分。直到安全事件发生后我们才开始真正考虑安全。

       到了2011年，工厂老的自动化设备和新的PLC系统以及计算机开始联合工作。为了实现高收益的准时制生产，所有设备都进行了联网。同时，远程中心通过SCADA系统连接到主要的北极玩具厂设施。

       很明显，车间生产区需要从存储有淘气 / 乖名单的数据库服务器中获取信息。这些服务器内也有关于孩子们想要什么样的礼物以及他们住址的信息。为了使生产车间系统得到这些信息，每天早上工人们都用U盘把主要文件从主服务器上拷贝到车间。

       由于车间网络和办公网络没有相连，我们认为对车间进行了物理隔离，车间是安全的。事实证明，我们错了。北极玩具公司的系统没有一个是保护良好的。我们的办公网络与因特网之间有一个边界防火墙，但是车间里的控制器和计算机没有任何保护措施。很多机器从没打过补丁，而且有些机器已经很老了。例如我们有一台运行Windows NT的玩具组装工作站。很少安装杀毒软件，即使安装了，也是过期的。

玩具包装区开始出现异常

       就在2011年感恩节前夜（美国时间），我们第一次怀疑我们的玩具包装系统出现了异常。它并没有把一个玩具装进一个盒子里，而是把几个玩具装进同一个盒子里，其他盒子都是空的。起初我们认为是PLC的问题，但是无论我们怎样检查，梯形逻辑图看起来都没有问题。

当一些盒子包装完，里面却没有礼物时，我们知道出现了严重的问题。图片：Endopack, photos.com.

       然后我们发现存储淘气 / 乖名单的数据库服务器好像出现了问题。就像报纸上报道的那样，名单上的信息似乎被泄露了。

       直到一位聪明的员工指出，一个装有多个玩具的盒子被送给了淘气名单上的某人时，我们才把这两个问题联系到一起。这表示北极玩具工厂内至少有三个单独的区域出现了问题 - 办公IT系统、包装系统和运输系统。事情显然变得糟糕了！

网络安全专家SCADAhacker发现了蠕虫病毒：kAndyKAn3

       我们知道我们自己解决不了问题，所以我们联系了Joel Langill，也就是SCADAhacker，来建议我们怎样保护我们的运营。Joel迅速发现了名为kAndyKAn3的蠕虫病毒。他还确认该病毒已经感染了主要的办公数据库、包装和运输系统。

       幸运的是，蠕虫病毒并没有感染玩具组装系统。负责玩具组装的有先见之明的员工一个月前安装的试验用的工业防火墙起了作用。如果没有这个防火墙，这将会是一场真正的灾难。SCADAhacker后来告诉我们蠕虫病毒已经嵌入了PLC逻辑，这可能导致一些玩具被错误地组装。

        然后我们意识到我们的安全现状并没有达到我们所处的动荡时期应有的标准。作为一个备受瞩目的目标，SCADAhacker让我们明白我们需要实施纵深防御策略。

       “我很幸运能与Mr. Claus合作，以基于风险的方法向他解释生产系统网络安全。威胁并不像攻击那么明显。这个案例中，一位无辜员工的非蓄意或意外行为差点造成一场灾难。幸运的是，我们可以及时行动，保证今年礼品的配送和纵深防御策略的实施。”

       Joel Langill, SCADAhacker.com

       像我之前指出的那样，北极玩具厂的多数人都认为我们是安全的。我们有自己的边界防火墙，而且车间也经过了物理隔离。但是恶意软件就是通过一张圣诞音乐CD（Celine Dion的）潜入我们系统的。这是一年中我们最忙的时期，如果我们没有发现恶意软件，或者病毒已经感染了玩具组装PLC的话，可能意味着我们必须要取消圣诞节！

Santa和员工的SCADA安全学校

       此次安全漏洞事件之后，我的员工和我都开始学习控制系统的网络安全知识。我们开始阅读有关的标准（如IEC/ISA 62443；以前的ANSI/ISA-99）和工业博客，实用性的SCADA安全。我们与SCADAhacker合作完成了咨询和系统设计，现在我们开始朝实施纵深防御策略努力。

       我们已经很大程度的意识到，使用U盘传送数据的策略实际上是使我们变得不安全了，而不是更安全。通过U盘将AV更新和修补程序送车间有难度，所以员工们很少这样做。我们现在意识到物理隔离网闸只是一个神话，就像复活节兔子一样。 

当员工确认12月24日的发货都已经准备好时，Santa在阅读标准的白皮书。图片：Steve Cukrov photos.com

       展望未来，我们相信，任何员工无需成为安全专家就可以安装和维护系统安全是很重要的。包括安装无需车间停车的在线安全设备。毕竟车间的任务艰巨；我们没有时间停车来进行打补丁。孩子们不会同意26号过圣诞节！

       感谢您的阅读。记住，安全漏洞能发生在我们工厂，它就有可能发生在任何工厂。

       我们希望您的所有系统都是安全的！