有效保卫工业控制系统的七个步骤

美国人得出的结论是：攻击者的能力已被证明，网络事件的频率和复杂性正在持续增加。

以今年的例子来看，美国主要燃油管道运营商殖民管道公司（Colonial Pipeline）遭到了网络攻击，不得不关闭整个燃油管道输送系统以控制威胁的传播，科洛尼尔（Colonial Pipeline）供应占美国东海岸燃料消耗量45％。由于受勒索软件攻击而停止了运营，这再次证明了基础设施面对网络攻击是何其脆弱。

Colonial Pipeline网站上发布的声明。大致意思是：5月7日公司得知成为网络安全攻击的受害者，并确定此事件涉及勒索软件。作为应对策略该公司主动使某些系统脱机以降低威胁，本次威胁暂时停止了所有管道的运行，并影响到某些IT系统。

Colonial管道是美国最大的成品油管道，一个5,500英里（8851公里）的系统，用于将超过1亿加仑的汽油从德克萨斯州休斯敦市运送到纽约港。

据彭博社和《华尔街日报》报道，网络安全公司FireEye的Mandiant事件响应部门正在协助调查，该攻击可能与名为DarkSide的勒索软件有关。

美国网络安全和基础设施安全局（CISA）表示，正在就此情况与Colonial及其跨部门合作伙伴进行接触。并鼓励每个组织采取行动，加强其网络安全状况，以减少遭受此类威胁的可能性。

美国燃料管道被黑客攻击后，世界肉类加工企业巨头JBS也在近日被“黑”，北美地区和澳大利亚的部分工厂受到影响，据报道美国的肉类批发价格应声出现上涨。

从机器吃的燃料，到人吃的食品，都是关乎我们衣食住行的，而信息化带来便利之时，也是其安全隐忧凸显之日，两起安全事件足以在美国引发恐慌，以工业控制系统为主的关键信息基础设施的脆弱性由此凸显，而工业控制如何有效保卫呢？其实，说着容易做着难，其实在早前NIST已经给出过一些建议，我相信殖民管道公司是没有按照NIST建议工作的。

美国很多安全专家认为网络入侵美国的关键基础设施系统的网络攻击干扰事件越来越频繁发生。对于许多工业控制系统（ICSs）来说，不是入侵是否会发生的问题，而是何时发生的问题。

传统的工业控制保护的认知明显是不够的，若想保护ICSs免受现代威胁需要精细的、良好的安全策略，优秀的策略将为网络防御团队提供快速、有效地检测、提供了对抗和驱逐攻击者的机会。

NIST提出七种策略，认为在建造控制系统时若可以实现，可以对付常见的可利用的弱点。

1、实现白名单策略

应用白名单（AWL）可以有效检测和阻止由攻击者上传的恶意软件的执行尝试。工业控制系统，如数据库服务器和人机界面（HMI）计算机的操作相对固定的性质，使运行AWL成为理想的选项。需要运营商与供应商合作，找准基线进行校准，进行最优的AWL部署。

2、合理配置，及时更新

明确资产，需要梳理资产清底数，才能更好的跟踪需要哪些补丁。优先处理在HMI、数据库服务器和工程工作站角色中使用的“PC”机器的补丁和配置管理，攻击者显然对这些IT常规的设备具有显著的网络攻击能力。受感染的笔记本电脑就是一个重要的恶意软件载体。规范的管理程序将限制外部笔记本电脑与控制网络的连接，最好为供应商提供自己公司已知安全的笔记本电脑。规范的程序鼓励先测试系统安装更新。包括先对更新进行恶意软件检测功能，再安装在实际运行的操作系统上。系统入侵者往往瞄准那些未打补丁的系统。以安全输入和可信补丁的实现为中心的配置和补丁管理程序，将有助于保持控制系统更加安全。

3、缩小攻击面

将ICS网络与其他任何不可信的网络隔离，尤其是互联网。关闭锁定所有未使用的端口。关闭所有未使用的服务。如果有定义的业务需求或控制功能，只允许实时连接到外部网络。如果单向通信可以完成任务，则使用光分离。如果双向通信是必要的，那么在受限网络路径上使用单个开放端口。

4、构建防御环境体系

如果需要从安全区域到不安全区域的单向数据传输，请考虑使用经批准的可移动介质而不是网络连接。如果需要实时数据传输，请考虑使用光电隔离。允许获取数据而不使控制系统处于危险之中。

5、加强身份管理认证

攻击者如今越来越关注如何获得合法凭证，来伪装成合法用户进行工业控制系统的攻击，特别是特权账户相关的凭证。攻击者获取合法凭据后伪装成合法用户，则留下更少的可供审计的记录和证据，这样减少利用漏洞或执行恶意软件。采用多因素认证，实现特权用户权限最小化。

实现安全密码策略，长度、复杂度合乎要求。对于所有账户，包括系统和非交互式帐户，确保身份鉴别凭证是唯一的，并至少每90天更换所有密码。为企业网络和控制网络区域各自分配独立的认证凭据，并将它们存储在各自独立的信任存储中。不要在公司和控制网络之间共享ActiveDirectory、RSA ACE服务器或其他信任存储。

6、加强远程访问安全

攻击者在获得远程访问控制系统、寻找模糊的访问攻击、甚至有内部系统操作员有意创建“后门”使攻击更加有效。尽可能消除这种访问，不允许供应商远程持久连接进入控制网络。要求任何远程访问都是由操作员控制的、时间限制，并且提供类似于“锁定、标记输出”等功能。对于供应商和雇员的连接使用相同的远程访问路径，不允许双重标准。如果可能的话，使用双因素认证，避免两个认证方式存在相似容易被冒用的情况。

7、监测与应急响应

当发现入侵活动时，需要一个有效的应急预案。

应急预案可能包括断开所有互联网连接，运行适当范围的防恶意软件，禁用受影响的用户账户，隔离可疑系统，并立即全部进行密码重置。应急预案也可以定义升级触发和执行，包括事件响应、调查、分析、报告等。

虽然没有100%安全的系统，最佳实践策略可以大大提高ICSs的安全状态。

防御网络对抗现代威胁需要积极监测黑客攻击渗透，并迅速执行应急响应。可以考虑在以下五个关键点建立监测计划：

1）观看异常或可疑通信的ICS边界上的IP流量；

2）监视控制网络内的恶意连接或内容的IP流量；

3）使用基于主机的产品来检测恶意软件和攻击尝试；

4）使用登录分析（示例时间和地点）来检测被盗的凭证使用或不正确的访问，用电话短信验证所有异常；

5）监视管理账户动作以检测访问控制操作。

以上文字翻译自美国NIST文章，本文英文原文由美国国土安全部、联邦调查局、国土安全局的专家完成，翻译过程中部分采用意译，以及由于本人能力水平有限，难免存在舛误，不到之处请方家多多海涵。

最近，我整理了一些有关工业控制安全的文字，其中整理了有关DCS的四个思维导图，只不过是在不断提醒网络运营者能够提升安全意识，使安全意识付出行动，最终采取技术和管理措施，提升安全防护水平。网络安全是非传统动态的，是魔与道永无休止的抗争。