工业控制系统的安全需要IT 与OT 的融合
不久以前,由于大量非工业领域的信息技术(IT)安全人员的涌入,一家著名的工业控制系统(ICS)安全专业公司感到很消沉。
“现在这里有太多连PLC(可编程逻辑控制器)与电磁线圈的区别都不清楚的人正尝试向那些想做正事的人提供建议。可是这些人不知道如何从虚构中分离出事实来。”专家说道。
谁会不同意?
尽管IT与OT的分裂仍然是引起关注的直接原因,在参加完主要以IT为中心的美国2015黑帽安全会议之后,才了解到IT领域已经想要开始全面了解工业安全的重要性和区别。关键基础设施安全的重要性已经逐日提升,运营技术(OT)方面的IT环境越智能,制造业自动化公司才会越好。毕竟,IT对于安全方面有着良好的记录,即便是从不同的角度,它们也已经从事这方面很长时间了。
IT安全的专业人士需要知道可用性的重要。他们需要知道不能为了几项工作任务而让系统停机几个小时。在某些情况下,它们必须保持一次性运行数年而不中断。
在由Invincea、Kim Zetter(倒计时到零日攻击的作者)和Vikram Thakur(来自赛门铁克的资深研究员)参与的预备会议上讨论了震网病毒攻击的重要性以及那意味着什么。即使这样的谈话有着IT的偏见,并没有真正涉及到攻击核电站控制系统的重要性,但是辩论小组成员们的确针对攻击进行了长时间的讨论。
不管别人对辩论小组的观点是赞同还是反对,但已经很清楚的表明保护工业控制系统的重要性。
化工厂攻击
此次会议还有关于如何攻击化工厂的对话。来自欧洲计算机网络资深安全顾问Marina Krotofil做了题目为“动摇经济来源:为了竞争和敲诈而对化工厂进行黑客攻击”的演讲。
有趣的是因为危险的黑客攻击成功的可能性比较高,Krotofil快速简单地讲解了一下制造业自动化行业保持系统健康运行的重要性。
了解信息物理系统安全的未来会在确保工厂安全方面获得很多帮助,Krotofil说道。
另一个对话是关注于全球星的卫星传输,它被用于监控水管线以及由于信息的变化而产生盗采结果的油气的钻孔应用场合。
“黑客可以将数据注入系统中。这些系统已经有20年历史了,在建造它们的时候还没有安全意识。”Synack安全研究员Colby Moore说道。
在这些老系统中,“没有加密,而且每件事都是用纯文本书写的,”Moore说道,“几年以前那可能还是事实,可是今天就没有理由了。”
从油气设备到船队跟踪,再到消费品,应用了数以百万计的缺少安全保护的设备,Moore说道。
Shamoon病毒攻击
另一个对话关注于Shamoon,2012年这个残忍的攻击发生在石油巨头沙特阿拉伯国家石油公司身上,导致了35000台计算机瘫痪。
Shamoon是一个攻击微软Windows计算机的病毒。它的可怕之处在于,Shamoon可以通过开发共享的硬盘而扩展到其他计算机上。一旦一个系统受到了感染,该病毒会继续从系统中的特定位置编译一个文件列表、删除文件然后将这些文件的信息发回到攻击者。
病毒覆盖主引导记录
最终,病毒覆盖了系统的主引导记录以阻止系统的启动。沙特阿拉伯国家石油公司、卡塔尔拉斯拉凡液化天然气公司以及沙特阿拉伯化肥公司都成为这种病毒攻击的受害者。Christina Kubecka说在斋月期间该攻击是双管齐下的。超过半数的微软Windows系统被感染,病毒令35000个系统崩溃。
曾经针对Shamoon发表过题为“灾难之后如何实施IT安全”演讲的Kubecka不仅关注于IT方面,同时也了解IT与OT的区别。
“IT不了解的是一个发电厂不能对其系统进行快速重启,”她说道,“在攻击过程中ICS被分离开来,那是不可思议的。”
尽管该攻击没有让沙特阿拉伯国家石油公司遭受损失,但是其后果对于整个国家来说仍然造成了不小的困扰。
“油罐车排队数英里长来等着灌装精炼汽油,”Kubecka说道,“攻击发生的17天之后,整个沙特阿拉伯面临石油短缺。ICS和IT网络仍保持被隔离状态。没有电子邮件、没有电话、也没有传真机。”
IT和OT是否会完全达成共识?不可能。不过他们具有类似的认识。这个会议带来了一个好的结果,尽管针对ICS领域中工作的IT还有怀疑者和反对者,而且会花费数年的时间达成共识,但是仍然有希望可以让IT和OT形成一种良好的工作关系。
“IT安全的专业人士需要知道可用性的重要。他们需要知道不能为了几项工作任务而让系统停机几个小时。在某些情况下,它们必须保持一次性运行数年而不中断。”