研究團(tuán)隊接下來在沒有網(wǎng)絡(luò),、SIM卡或WiFi的條件下演示了AirHopper的攻擊過程,。這項成果讓人們更加擔(dān)心物理隔離安全,。
當(dāng)時,,一些觀察家仍舊看好物理隔離系統(tǒng),。比如來自Dark Reading的艾里加·克考斯基(Erika Chickowski)寫道,,系統(tǒng)管理員能夠采取一定的措施,,保護(hù)系統(tǒng)免受AirHopper和其它使用聲音和非可見光傳輸惡意命令的威脅向量的攻擊,。比如將聲音功能關(guān)閉、限制或完全禁止手機(jī)靠近物理隔離設(shè)備,。
但之后的事態(tài)發(fā)展并不利于物理隔離的支持者,。
今天,產(chǎn)業(yè)內(nèi)的大多數(shù)人都認(rèn)為物理隔離的設(shè)計華而不實,。但這并不是說并不存在真正的物理隔離,。
埃里克·貝爾斯(Eric Byres)是SCADA安全領(lǐng)域的頂尖專家,他在Belden博客上發(fā)表的一篇文章中闡釋稱,,控制房屋熱泵的電子溫度控制器等“瑣碎系統(tǒng)”更有可能和網(wǎng)絡(luò)隔絕,,盡管從屬于這些系統(tǒng)的互聯(lián)溫度控制器、WiFi智能插頭和其它設(shè)備正在逐漸流行,,變得日漸互聯(lián),。
當(dāng)然,與全國關(guān)鍵基礎(chǔ)設(shè)施保護(hù)相關(guān)的系統(tǒng)在很久以前就不使用物理隔離了,,包括電網(wǎng)和運輸系統(tǒng),。
貝爾斯引用美國國土安全部國家網(wǎng)絡(luò)安全與通訊整合中心(NCCIC)負(fù)責(zé)人西恩·麥克格爾(Sean McGurk)的話:在我們對私營領(lǐng)域進(jìn)行的數(shù)百次漏洞評估經(jīng)歷中,從來沒有發(fā)現(xiàn)過工作網(wǎng)絡(luò),、SCADA系統(tǒng)和能源管理系統(tǒng)與企業(yè)網(wǎng)絡(luò)隔離的情況,。“平均而言,,我們在這些網(wǎng)絡(luò)之間能夠發(fā)現(xiàn)11個直接連接,。在一些極端的情況下,我們在生產(chǎn)網(wǎng)絡(luò)和公司網(wǎng)絡(luò)之間發(fā)現(xiàn)過250個連接,?!?/p>
簡而言之,現(xiàn)代工業(yè)控制系統(tǒng)太依賴于外部來源的信息流,,無法采用物理隔絕,。管理員總是需要安裝新的補(bǔ)丁和新版本軟件,這種需求帶來了SCADA入侵的新入口,,比如USB鑰匙盤或者筆記本電腦,。
這只對外部威脅適用。Belden上發(fā)布的一篇獨立博文中稱,,大多數(shù)工業(yè)安全事件來自于控制網(wǎng)絡(luò)內(nèi)部,。這不僅表明了物理隔絕的無用性,還展示了錯誤配置的防火墻,、劃分糟糕的網(wǎng)絡(luò),、沒打補(bǔ)丁的軟件、設(shè)備錯誤,、BlackEnergy等惡意軟件如何對關(guān)鍵系統(tǒng)產(chǎn)生安全沖擊,。(BlackEnergy是黑客在烏克蘭最近發(fā)生的入侵?jǐn)嚯娛鹿手惺褂玫膼阂廛浖?/p>
如果物理隔離已經(jīng)屬于過去時,系統(tǒng)管理員和控制工程師如何保護(hù)現(xiàn)代SCADA系統(tǒng),?
未來的路依賴于基礎(chǔ)網(wǎng)絡(luò)和運行安全實例,。保爾·佛格森(Paul Ferguson)是Trend Micro公司的資深威脅研究顧問,他在一份報告中解釋了安全人員如何集中于縮減風(fēng)險,,并保持適應(yīng)性的,、不斷發(fā)展的安全態(tài)勢。
工業(yè)控制網(wǎng)絡(luò)與企業(yè)其它組件整合的結(jié)構(gòu)對于增強(qiáng)安全性能至關(guān)重要,。要保護(hù)敏感的工業(yè)控制網(wǎng)絡(luò),,必須提供合適的流量分割、訪問控制,、認(rèn)證機(jī)制,,與此同時,需要分析流量和警報日志,,并適當(dāng)處理安全警報,。
遵從 IEC 62443 工控網(wǎng)絡(luò)與系統(tǒng)信息安全標(biāo)準(zhǔn),企業(yè)能夠從完善的安全防御體系中獲取更多好處,。通過將系統(tǒng)分割成區(qū)域,,并在其間配置通信渠道與專門針對工控系統(tǒng)通信協(xié)議優(yōu)化的防火墻,,可以增加系統(tǒng)強(qiáng)度,提供更完善的保護(hù),。
同樣的防御措施對于 SCADA 系統(tǒng)連接到企業(yè)網(wǎng)絡(luò)或外部網(wǎng)絡(luò)的情景也適用,。這些情景現(xiàn)在通常被稱為工業(yè)互聯(lián)網(wǎng)(Industrial Internet)或者工業(yè)物聯(lián)網(wǎng)(Industrial Internet of Things)。
在一篇關(guān)于計算技術(shù)的論文中,,通用電氣副總裁兼首席技術(shù)官哈雷爾·柯岱什(Harel Kodesh)將工業(yè)網(wǎng)絡(luò)分為三層:邊界,、中間層、云,。通過保護(hù)邊緣設(shè)備并在網(wǎng)關(guān)層安裝傳感器,,企業(yè)能夠進(jìn)一步保護(hù)云,特別是在云服務(wù)器已經(jīng)特別為安全優(yōu)化,、或者被配置為方便邊界設(shè)備與網(wǎng)關(guān)之間進(jìn)行信息共享的狀態(tài)時,。
你可以擁有情景意識。如果你發(fā)現(xiàn)了一個 IP 地址同時想要連接到波蘭和英國的發(fā)電廠,,就需要提起注意了,。如果你只在自己的系統(tǒng)上進(jìn)行操作,就無法獲得這樣的智能,。這有點違反人們的直覺,,但在這個背景下,云系統(tǒng)比相互隔絕的系統(tǒng)更加安全,。
按照“安全第一,,功能第二”的信條制造物聯(lián)網(wǎng)設(shè)備,外加讓工控網(wǎng)絡(luò)的三個層次持續(xù)進(jìn)行自驗證,,這也將大大提升安全性,。
關(guān)于讓流程更加順暢,IT 人員可以向操作技術(shù)(Operation Technology,,OT)部門學(xué)習(xí)更多東西:
Tripwire 的公司首席研究官大衛(wèi)·梅爾澤(David Meltzer)說:“對于想要在安全方面和 OT 進(jìn)行合作的 IT 安全專家們而言,,學(xué)習(xí) OT 的工作原理是個不錯的開始點?!彼a(bǔ)充稱:“這可能意味著購買可編程控制器培訓(xùn)包,、學(xué)習(xí)這些設(shè)備在其它環(huán)境中實際上是什么樣的、報名工業(yè)安全控制課程,、讀一本關(guān)于這個主題的書,。這對于專業(yè)人士而言大有助益,可以幫助他們以開放的心態(tài)了解對方,。