保護關鍵基礎設施，你需要知道什么是設計缺陷

J.M.Porup Charles

工業控制系統（ICS）安全專家告訴我們，打補丁在大多數情況下都是無用的。

Dragos的工業控制系統（ICS）安全專家Robert M. Lee曾是美國國家安全局的分析師，他在遞交給美國參議院的一份書面聽證報告中指出，給ICS的安全漏洞打補丁在大多數情況下都是無用的，有時候甚至是有害的。“補丁、補丁、補丁”已成為IT安全領域的盲目信條，但在工業控制系統中用的很少，因為傳統設備往往在設計上就是不安全的。

參議院委員會聽說過信息技術（IT）和運營技術（OT）安全之間存在巨大差異，但很少有人知道IT安全領域的經驗對于工業安全來說幾乎無用。“運營技術”是個新詞，它的出現使得工業網絡和系統有別于傳統的以業務為中心的信息技術。

Curricula公司的首席執行官Nick Santora曾擔任過北美電網監管機構（NERC）的關鍵基礎設施保護（CIP）網絡安全專家，他認為，“有兩種不同的思路。在IT安全領域，看重的是業務。而在OT領域，處理的是那些不能出問題的關鍵任務。比如說你不能因為服務器宕機了，就一時沖動地去斷電。

Lee告訴參議院，要想保護好電網等關鍵的OT基礎設施，需要采取不同的方法。Lee說：“我們的任務是不同的，因為它涉及到物理特性，因此只關注惡意軟件的預防或者打補丁并不能真正擊敗那些人類犯罪分子。惡意軟件并不是威脅。鍵盤另一邊的犯罪分子才是威脅。”

很多想當然的東西其實都是錯的

Lee的報告顯示，來之不易的IT安全教訓并不適用于OT領域，試圖以“企業IT方式”來管理OT安全是有害的。Dragos在提交給參議院的一份報告中總結說，在2017年發布的所有ICS相關補丁中，有64%沒有完全解決風險問題，因為組件在設計上就是不安全的。

Dragos的報告說，更糟糕的是，一些大供應商在最近幾個月里遭遇了安全漏洞，業務出現中斷而導致公司損失慘重。在工業控制系統中，給一個制造小部件或者水泵打上補丁要比重新啟動辦公桌面PC復雜得多，OT網絡不能承受停機事件。

補丁或者基本的網絡安全環境也難以抵御那些來自民族國家的犯罪分子，他們每天到處刺探美國和世界各地的關鍵基礎設施。保持OT監控工作站能夠很好地運行打過補丁的Windows 10，及時進行更新，這將有助于防御大部分隨機的惡意軟件，但很難防御高級持續性威脅（APT）的入侵。

Lee指出：“工業威脅形勢在很大程度上是未知的。不論是私營企業還是政府部門針對核心業務網絡威脅所采用的方法，以及對這些威脅的理解都不適用于工業領域。”

但Lee也強調說，不能因為這樣就感到絕望了。良好的網絡安全環境仍然是防止隨機惡意軟件感染的基本要求。他說，“ICS每年至少有6000例特有的感染，每一種感染都會引起運營問題，在極少數情況下，還會引發與安全有關的問題。”

保護IT網絡并將其與OT網絡分離是最好的做法。但是，如果一個OT網絡從一開始設計時就是不安全的，那么怎么保護這類網絡呢？

假設你正在運行一個打好了所有補丁的Windows 10 HMI（人機界面，例如控制終端）。所有端口都關閉了。你也遵循了正確的準則，確保Windows應用程序是安全的。Veracity工業網絡公司應用工程總監Thomas VanNorman評論說，“問題在于協議不是這樣的。”協議把ModBus和PLC（可編程邏輯控制器，工業致動器）連接起來。我可以使用一臺惡意計算機連接到該PLC，修改這些寄存器，因為這是一種未經認證的協議。如果攻擊者能夠訪問到這個層面，那么一切都完了。”

保護工業控制系統

如果IT安全領域的很多經驗不適用于工業領域，那么，我們該怎樣保護關鍵基礎設施的安全呢？答案可以歸結為威脅建模。攻擊傳統的ICS基礎設施不但成本高而且非常耗時，只有民族國家的犯罪分子和有組織的犯罪活動才會這么干。

在很多情況下，小型私人公用事業公司面對的是民族國家的攻擊者，這些攻擊者甚至把這些公司的網絡當成了訓練演習的場所。Lee告訴參議院，很多工業領域的小運營商對自己的網絡知之甚少，這就是我們今天面對的現實。

Scythe的創始人兼首席執行官同時也是Grimm公司的董事長Bryson Bort評論說：“我們的地緣政治對手肯定在這方面進行了嘗試。這些事情需要時間，要有足夠的耐心而且是長期活動，埋好‘炸藥，這樣當民族國家要發起攻擊時，這些‘炸藥就會爆炸。”

Lee說，對于那些主動入侵工業控制網絡以追求政治利益的犯罪分子，唯一的解決辦法是人們自己去抓住他們。在ICS領域，任何自動的、反應式的監控都不能取代積極的人類防御，這些防御者會主動去發現自己網絡上的那些人類惡意活動。

他認為，這個過程是從良好的威脅情報開始的：誰是積極破壞工業控制網絡的人類犯罪分子？他們的動機是什么？他們的目標是誰？他們是怎樣進行交易的？

在Lee提交給參議院的書面聽證報告中，Dragos分析指出，目前主要有五個活躍的組織瞄準了ICS網絡，包括宣稱對烏克蘭電網發起2015年和2016年攻擊的組織，以及首次想通過ICS惡意軟件要人命的Trisis。

有一點是清楚的：對工業控制系統的攻擊越來越嚴重。

越來越惡劣的ICS攻擊

一開始時是Stuxnet。美國和以色列聯手開發的惡意軟件摧毀了伊朗的離心機，但隨之而來的破壞使得這一破壞軟件站在了新聞的風口浪尖上，這是世界上第一起民族國家對工業控制系統的攻擊。其他國家也紛紛效仿。

2015年對烏克蘭電網的攻擊是第一次確認能夠破壞電網配電的攻擊。這導致22.5萬人斷電。2016年，同一犯罪組織又對烏克蘭電網發動了更為復雜的攻擊，Dragos報告稱之為“有史以來第一個設計并部署用于攻擊電網的惡意軟件框架”。Dragos的報告總結道，這個被稱為“崩潰覆蓋（Crash Override）”的惡意軟件框架是僅次于Stuxnet的惡意軟件，專門“為破壞物理工業過程而設計和部署的”。報告指出，很容易調整崩潰覆蓋框架來攻擊美國和歐洲的電網。

2017年，隨著Trisis的發現，形勢變得更糟。Lee告訴CSO：“Trisis惡意軟件專門用于殺人，這遠遠超出了我們的預想。”Trisis惡意軟件以工業安全系統為目標，而工業安全系統旨在發生工業事故時保護人類的生命。

2017年是ICS安全的分水嶺，人們開始意識到在此類攻擊面前并非束手無策。也就是說，Lee警告不要過分夸大電影情節里的那些威脅。他說，情況很糟糕，但總是可以解決的。

糟糕的媒體報道讓情形變得更糟

躲在暗處的一名黑客向核電廠發送了一封網絡釣魚電子郵件。然后切換鏡頭，威脅道：核爆炸！

專家說，這是不會發生的。不過，這可能是一部有趣的好萊塢電影。

把這些威脅的實情傳達給公眾對于平和地討論工業領域的漏洞是非常重要的。Bort呼吁媒體關注2013年發生在紐約北部Bowman大道大壩的泄露事件，該事件讓人們感到震驚，上了新聞頭條——“伊朗黑客破壞紐約大壩引起了白宮的警覺”。

但有一個問題，Bort說：“那座大壩其實就是一堵土墻，它沒有機械部件。除了知情者之外，沒有人知道這一事實。每個人都關注好萊塢式的威脅。”

他說，攻擊者設法攻破了Bowman大道大壩的監控系統，僅此而已。

無論是Lee還是Bort都強調說，民族國家的犯罪分子的確會威脅到關鍵的基礎設施，但讓我們保持正確的態度，做好工作，而不是無緣無故地把自己嚇死。進行這項工作意味著知道你的對手是誰，并在你自己的網絡里抓住他們。

獲得更好的威脅情報

前美國國家安全局分析師Lee告訴參議院委員會，私營企業能夠比情報界獲得更好的威脅情報，促使OT安全部門通過安全審查，以查看機密威脅情報——這并不是非常有用。

Lee在書面聽證報告中說：“對入侵分析的關注導致私營公司就能夠做出非常有競爭力的情報報告，而且在很多情況下，遠遠優于類似的政府機密報告。簡單地說，收集與網絡威脅相關數據的最佳地點是在被攻擊公司的網絡中。”

Lee告訴委員會，與在美國國家安全局相比，處理同樣的問題，他認為在私營企業能夠獲得更好的威脅情報。Lee在接受CSO采訪時說：“在美國國家安全局，我們的任務是研究民族國家怎樣進入工業控制系統。很明顯，我們自己收集的情報僅僅限于這種威脅場景。”

盡管政府希望解決脆弱的關鍵基礎設施所造成的國家安全問題，但包括Lee在內的技術專家表示，更多的政府干預可能會適得其反，例如鼓勵加強監管等。

合規可能是有害的

一項一項地進行檢查，以確保符合最低安全基準，這樣做能夠防止隨機惡意軟件感染，但在有目的的民族國家攻擊面前毫無用處。更糟糕的是，太多的合規措施可能是有害的，因為這會產生虛假的安全感。因此，Lee和其他專家敦促應推遲進一步的監管，讓業界去發展自己的最佳實踐。

一方面，很多ICS網絡現在甚至還沒有滿足最低標準要求。Lee在其書面聽證報告中說：“有一些工業網站，包括北美的，其內部部門甚至從來沒有調查過網絡。我知道有一些小型電廠、水廠、天然氣公司、煉油廠、風電場和制造業網絡，甚至都沒有最基本的安全措施——盡管它們對于現代文明至關重要。”

另一方面，OT系統面對的是來自民族國家的對手，防范這類威脅需要有積極的監控和事件響應計劃，這遠遠超出了任何合規措施的要求。

要想開發一個能夠在ICS網絡上搜尋民族國家攻擊者的強大的OT安全計劃，需要受過訓練的網絡安全專業人員，并有相匹配的管理支持和預算。網絡安全技能嚴重短缺， OT管理層也不太了解這方面的知識，讓這一目標顯得遙遙無期。

IT遇上OT

IT安全部門仍然難以理解OT系統面臨的獨特挑戰，但更為引人注意的是傳統工業運營商對這種理念的反應——工廠在運行了40年之后，現在，地球另一端躲在暗處的神奇的黑客居然能讓工廠停機！

Santora談到了他在NERC的審查工作。他說：“我們飛到不同的公司，有些人會狠狠地詛咒我們，說‘我不相信任何這種安全的東西，純粹浪費時間，這些東西不是真的，它不會發生在我們身上。”

他說，網絡安全非常新奇，而且不直觀的本質讓老一代工業工人感到可怕。“這是一種難以預料的風險，有時候人們甚至害怕談論它。”

如果只能聘用安全專家的話，那么聘用網絡安全專家以更新的視角來充分發揮他們幾十年的經驗，這似乎是可行的。據估計，到2020年，全球安全專業人員缺口將高達200萬人。由于工業企業通常支付的薪水要低得多，因此，高端人才不太可能去OT公司尋求職業發展。

要想解決這一問題，可以把有才能的畢業生放在OT安全崗位上，通過獎學金或者實習生制度幫助他們完成學業以換取他們安心工作。或者干脆給他們更高的薪水。無論哪種解決方案，聯邦政府都不太可能把小電廠列為國家安全問題，然后提供財政支持來保護這些資產。

Bort說，“如果我們說這是一個國家關鍵的基礎設施問題，那么你就不能指望某個小鎮來出錢解決這個問題。”從短期來看，從IT安全部門招聘可能是解決之道。

ICS村？

過去幾年里，Def Con和RSA的ICS村為安全人員提供了使用真實ICS設備的機會。ICS村的組織者VanNorman和Bort告訴CSO，打破OT安全神話，幫助IT專家更好地理解OT所面臨的挑戰是促使他們這樣做的原因。Bort說：“我們允許有人去實際接觸和破解不同的平臺，這樣他們就可以開始這方面的工作了。”

每個人都聽說過nmap關閉天然氣管道的故事，但是VanNorman說，OT系統并不像很多人想象的那么脆弱，也遠沒有那么復雜。“如果你只是去碰碰它，它不會破裂的。”

ICS村致力于彌補IT與OT之間的差距，曾成功地抓住了一名黑客。

CSO資深作家J.M. Porup自從2002年獲得IT第一份工作以來，便一直是一名安全極客。

原文網址

https：//www.csoonline.com/article/3260624/critical-infrastructure/insecure-by-design-what-you-need-to-know-about-defending-critical-infrastructure.html