网络安全:为工业控制系统安装补丁的正确方式

正如最近媒体头条所报道的,网络安全破坏已经造成了企业的重大损失、客户信任的丧失以及对组织公信力的伤害。

仅2014一年,黑客就从金融服务公司JP摩根大通银行盗取了超过七千六百万条记录,从医疗保健提供商Anthem公司盗取了超过八千万条客户记录。

2013年和2014年两年,由于目标数据泄露,所造成的网络安全相关费用就超过一亿六千二百万美元。

尽管对于任何工业领域,由于数据泄露导致的财务费用都令人吃惊,但是在能源领域尤其严重,仅仅停机一个小时,由于无法生产所造成的损失就可能达到成百上千万美元,甚至还有可能对整个企业的生产造成巨大的损害。

网络安全风险:运营与声誉

能源公司正在加速实施全面的网络安全程序和政策。尤其是石油和天然气组织,其管理和发电工业有所不同,正面临着由工业控制系统漏洞所造成的巨大风险。

例如,据某石油和天然气公司估算,如果某个控制系统的人机界面(HMI)故障,导致系统停机两天而无法进行生产,给组织造成的损失预计高达一千两百万美元。

这个计算权衡了等待下一年安装网络安全保护措施而不是马上实施所带来的风险。考虑到没有实施安全程序所造成的运营和声誉损失,在网络安全问题上能源企业确实容不得半点延迟。

一般情况下,能源工业所用的控制设备比商业网络的设备要落后一些。在商业环境中,系统已经完成软件、硬件的升级换代,可以有效的应对目前的攻击,而这些攻击一般针对过时的系统或网络中的粗心错误。

  

给工业控制系统漏洞打补丁


很多大规模泄露的根本原因在于:网络上残存的、未打补丁的设备成为整个网络的漏洞。对于工业控制系统(ICS)而言,给网络打补丁不仅仅是升级iPhone的APP,或者是升级个人电脑的软件那么简单。

补丁管理是一项耗时的行动,为了能够确实起到应有的作用,必须进行完整的运行测试。通过仿真工厂环境,对补丁管理进行验证,这有助于能源企业以一种有效的方式来管理补丁,确保系统的运行并保护系统免受最新已知漏洞的拖累。

自助式补丁管理

自助式补丁管理是根据自己的时间安排,利用反病毒方案来实施整个打补丁流程。如果使用的是微软操作系统,那么他们依赖微软及防病毒软件提供商所提供的补丁,亲自进行测试、确认,并完成最后的更新。

根据工厂规模大小,该项工作有可能是一项繁重的任务。如果一个工厂,控制网络上只有5台计算机,那么在每台计算上分别手动实施更新,是可行的;在某些地区的工业设施,控制网络上可能会有多达85台计算机。如果逐个升级,不仅升级过程需要耗费大量的时间,而且会增加过程的风险。

如果人工管理补丁并确保所有的计算机系统都得到升级,那么自助式补丁管理实施者将会承担100%的风险。如果补丁意外需要系统停机,那么该公司就会由于这些非计划停机减少收入。而且,很多“自助式”方法需要USB驱动将补丁拷贝到每个计算机系统。

据雷神公司和波耐蒙研究所最近所做的一项关于安全行为的调查研究,超过半数(52%)的调查响应者在过去三个月中,曾经将别人给他的USB插入到计算机中。

在石油、天然气和发电领域内,始终存在的一个担心是:潜在的、来自内部的攻击风险。使用别人的USB设备,或者将其遗留在某个不安全的区域,可能会使内部不相关人员控制可移动设备。将被盗用的USB设备连接到控制网络,可能会将恶意软件引入到网络中,从而对系统和运营造成巨大的损害。

当用户转而依赖可信的安全服务提供商,这些服务商可以采取必要的措施,确保在整个升级服务实施的过程中,他们的供应链是安全的,这样就基本上可以消除风险,并将其责任从自助实施者转移到服务商身上。

经验证的补丁管理


当选择第三方补丁管理方案时,用户可以选择一揽子解决方案或者综合服务。供应商根据操作系统软件以及硬件,搜集工厂设施所必须的补丁,并将一揽子升级补丁分享给工厂运行人员,并由其自行实施升级。

这种选择降低了识别升级补丁所需要的工作量,将其打包并按时升级。但是,用户仍然负有责任,需要在部署实施前,测试这些补丁并消除任何潜在的负面影响。

未经测试的补丁,在工业控制环境下是不稳定的。因为没有测试,运行人员就无法预测特定系统会如何响应处于“原始”状态的补丁。在2014年,为工业控制系统发布的操作系统补丁中,每12个就有10个需要针对实际的工业环境进行修改,以避免并发问题、停机、或新的漏洞。

经验证的补丁管理,能够在虚拟的现场环境下,或者是实验室中所模拟的工厂环境下运行补丁,以便在补丁真正实施前识别出可能存在的任何不兼容问题。这样就使得运行人员,可以确定需要何种替代方案来确保运行时间,保护系统免受网络安全攻击。

■图中所示为一个经验证的补丁管理系统,正在某网络资产保护测试实验室中进行测试。这个过程可以确保控制系统网络在正式实施补丁升级以后能够保持在线和安全。

虽然在供应商的培训帮助之下,进行虚拟测试,要比不测试更有效,但是在功能上仍然存在一定的局限性,因为有时虚拟环境并不能暴露出在工厂环境下的所有问题。

安全的外部实验室环境,具有实际可用于测试的硬件和软件,是确保工业控制系统每月获得经验证补丁的最佳途径。这个过程有助于确保工业控制系统的安全及最新版本,这样恶意软件和恶意攻击就不能操控系统漏洞。
  

失败的补丁策略


能源公司已经感受到失败的补丁管理策略所带来的负面影响。在某个能源公司,其HMI使用的是过时的操作系统,供应商不再为其提供持续的补丁升级服务。

恶意软件入侵该系统,从而影响到生产。除了产量的降低及被动停机外,公司还需要启动调查程序,确定造成停机的原因,这又会需要更多的人力,进一步降低了生产率。

为了避免此种情况的发生,企业应该利用经验证的补丁管理系统,定期对系统进行升级管理,同时还应管理过时的软件和硬件;预防式的生命周期管理能够避免费时、费力、费钱的被动停机。
  

保护互联设备


随着更多的技术应用于工厂环境,也就更迫切的需要验证安全组态和补丁,以确保稳定可靠的控制系统网络。工业环境下互联设备的安全,不同于保护商业数据中心的安全。

此外,工业企业必须明白,信息技术(IT)和运营技术(OT)在实施强大的网络安全策略所面临的挑战以及两者之间的差异。OT安全领域应当与当前所存在的传统IT检测系统有根本的区别。

就像其它工业一样,ICS的网络安全,很有可能会逐步过渡到托管型服务实践,而不是组织内部或供应商提供的解决方案。随着工业企业越来越重视网络安全,他们必须认识到成功的补丁管理是安全以及高产企业的基石。(作者:Dana Pasquali)
(0)

相关推荐

  • 工业控制系统安全解决方案

    背景概述 "没有网络安全就没有国家安全,没有信息化就没有现代化."一句话道出了网络安全在国家社会.经济.民生.工业.教育.医疗等等各个领域的重要性,网络空间安全已经成为了继国家海. ...

  • 核电工控系统网络安全浅析

    核电站作为未来世界最为重要的能源供应中心,保障核电站的安全稳定运行是开发利用核电的前提.近年来,随着工业化.信息化进程的加快,数字化控制技术广泛应用于核电站的生产运行,工控网络安全风险也不断向核电领域 ...

  • 高校网络安全工作重心将向数据安全倾斜

    2019年12月20日,在全国人大常委会法工委举行的第三次记者会上,新闻发言人宣布2020年的立法工作计划已经在全国人大常委会第四十四次委员长会议原则通过,个人信息保护法与数据安全法被列入2020年的 ...

  • 工业控制安全:工业控制系统风险评估实施指南思维导图

    工业控制系统和信息化技术的融合,对国计民生的影响至关重要,这个已经不言而喻了.工业控制系统有其特殊性,也有其普遍性.对于其特殊性需要专门针对其开展工作,对于普遍性则可以借鉴IT系统的风险评估知识. 那 ...

  • 德国CERT @ VDE发布针对工业控制OPC UA漏洞的安全建议

    开发工业系统的多家公司正在评估两个新的OPC UA漏洞对其产品的影响,德国CERT @ VDE发布了德国自动化技术公司Beckhoff的安全建议.本月初,美国网络安全和基础架构安全局(CISA)发布通 ...

  • 工业控制智能、效率化,市场需求或迎新爆发

    来源:半导体器件应用网 [哔哥哔特导读]工业控制在整个制造业当中占据着重要位置,其中电动工具和电机领域已在国内市场凸显出独特的优势与发展趋势.目前国内半导体企业的工业控制领域如何?本期专题带你解读. ...

  • 工业除湿机如何才能正确选型,标准是什么

    除湿机的分类有多种,按用途分为工业除湿机.家用除湿机,工业除湿机是除湿机,用于工厂.仓库.博物馆.图书馆等大面积环境场所: 家庭除湿机适用于家用除湿机适量的小除湿机 脱湿机的工作原理分为冷却除湿机.转 ...

  • 工业控制应用场景白皮书

    随着5G商用部署后极大地改变着人们的生活,在生产领域,如何将5G技术落地并赋能工业企业,是工业各界期待的话题.作为全球能源管理与自动化领域数字化转型专家,施耐德电气在推动工业企业数字化转型上有着丰富实 ...

  • 【教程】Banana Pi BPI-F2P 工业控制开发板如何从SD卡与eMMC启动

    Install Win32DiskImager 安装Win32DiskImager Open win32diskimager-1.0.0-install, choose "I accept ...

  • 工业控制安全:新发现三菱 PLC 的 5 个安全漏洞

    日本网络安全企业Nozomi Networks Labs 发现五个影响三菱安全 PLC 的漏洞,这些漏洞与 MELSOFT 通信协议的身份验证实施有关. 第一组漏洞于 2021 年 1 月通过 ICS ...

  • 【话题讨论】从我自己的行业来聊聊工业控制的发展

    文/Edward 今天这篇文章,来聊一下我自己最擅长的一个设备,即医用电子直线加速器,医用电子直线加速器是一种大型的医疗设备,虽然说它是医疗设备,但是它的控制系统完全是按照工业控制系统来设计的,而它的 ...

  • 工业控制领域的Modbus Rtu协议读写器都有什么特点

    健永Modbus Rtu协议读写器主要用在工业控制领域进行数据采集.而Modbus Rtu是在工业采集领域的一种工业协议标准,是工业电子设备之间常用的链接方式,比较简单,在单片机上很容易实现.下图为M ...