网络安全月份即将结束,但这并不意味着我们就应该忘记实时了解网络安全新闻和趋势的重要性。在本文中,我们将重点关注工业控制系统(ICS):为什么了解ICS很重要,以及为什么我们需要保护ICS。
我们已经写过几篇关于ICS主题的博客文章,但是我想从总体角度来阐述这个主题,以便大家能以更好地角度看待这个问题。为此,我和卡巴斯基实验室的关键基础设施保护业务发展专家Matvey Voytov一起编写了本文。
什么是ICS?
ICS是工业控制系统的缩写。基本上,这是一个涵盖不同信息系统和技术的总称,如监控和数据采集(SCADA)、分布式控制系统(DCS)、可编程逻辑控制器(PLC)等等。ICS的主要目标之一是对工业过程提供管理和控制。常规信息系统(ERP、协作、邮件服务器、操作系统等)管理的是信息;而ICS管理的是物理过程。这就是为什么这类系统也被称为网络物理系统。ICS广泛应用于石油天然气、电网、制造业、智能楼宇、城市等诸多领域。
可能发生的最糟糕情况是什么?
最糟糕的情况是工业过程中断。根据工业对象的关键性,可能会导致资金流失(考虑到制造厂的停机时间),甚至导致实际的物理损坏。2014年德国就发生了这样的事件:炼钢厂遭到黑客攻击,导致高炉控制系统中断。而在2015年和2016年,黑客对乌克兰变电站的攻击造成数千名消费者停电。
哪些行业应该特别关心自己的信息安全,为什么?
说到ICS保护时,我们应该说”网络安全”而不是”信息安全”,因为在大多数情况下,我们是指保护网络物理过程或资产,而不是信息。
所有关键基础设施都面临着风险,特别是发电、输配电、各种公用事业、石油和天然气领域。除了这些敏感的基础设施外,”非关键”的工业组织也因为与外部网络连接性高而遭到网络攻击。我们最近的研究表明,54%的工业机构在过去12个月内发生过多起网络安全事件。
什么是攻击矢量或攻击类型?
一般来说,ICS有两个主要的攻击矢量。网络犯罪分子可以通过边界外部网络(例如,企业网络中有与工业网络交换数据以进行预防性维护的ERP)访问工业基础设施,或者可以利用员工疏忽或贿赂内部人员,直接渗透到ICS域中。例如,工程师可以将被感染的U盘或个人设备直接插入安全隔离网络。重要的是要意识到,即使在关键基础设施中,如今真正的安全隔离网络实际也是少之又少。工业网络中一些增加的连接、错误配置和员工安全意识弱也是其中的原因 – 员工可能无意中成了安全隔离网络的桥梁。基础设施现代化也在其中起到了重要作用:所谓的工业互联网也假设工业网络具有外部可用性,甚至包括现场设备级别。
在ICS环境中可能会发生四种事件:
有什么解决方案?
第一个也是关键的一步是提高工业车间工人的网络安全意识。在大多数情况下,攻击都从这些人开始的。任何工业企业都必须进行网络安全培训。
从技术的角度来看,重要的是要认识到传统的IT安全解决方案不适合工业网络。传统解决方案的设计对误报有着极高的容忍度,而且会显著消耗资源,持续因特网连接是一项基本要求。这些方面都不符合ICS的具体要求,这意味着把常规端点防御工具安装到ICS环境中,实际上可能是危险的 – 它可能导致工业过程的中断。
如果您想了解卡巴斯基实验室如何保护ICS的更多信息,请访问访问我们的”工业网络安全“页面。