增强网络安全意识 重视网络安全新技术

发布时间 2021-05-11

近日,美国最大的成品油管道运营商Colonial Pipeline受到勒索App攻击,使得长达5500英里的管道运营被迫中断,此事件的爆发再次引起大家对网络安全的重视。


从此次网络攻击的实际结果分析,这种高度定向的攻击等同于APT水准的攻击。尤其在全球近几年发生的重大工业应急响应安全事件中,勒索病毒攻击仍是工业安全面临的主要威胁。因此,针对OT(Operational Technologies)系统的安全防御必须构建高于入侵方的资源体系和能力。


极其脆弱的OT网络环境


在当前国际网络空间异常复杂情况下,尤其是目前一些新技术的应用,工控OT系统缺乏标准化、生产运营停机成本巨大、供应链复杂、远程运维管控困难等问题更加突出。因此,在极其脆弱的OT网络环境中,需采用类似“零信任”、“场景化”安全防御、基于网络行为分析的“主动防御”等综合的解决思路,对所有OT、物联网、工业IoT(IIoT)资产、流程、连接路径和用户活动进行严格梳理,建立资产画像和应用“零信任”策略进行资产管理,更好地保护工控系统的OT网络环境,应对类似APT水准的攻击。


1、工控OT系统缺乏标准化:大部分OT网络自投产运行后,随着数字化升级过程,与不同时期的资产组成庞大的复杂系统,不仅增加了复杂性,且分散运营在多个地点,其中一些地点位于偏远地区,如油气管网、油气开采等,OT的安全环境更为复杂,管控更为困难。


2、OT生产运营停机成本巨大:OT生产首先考虑的是可用性和可靠性,满足生产经营的需求,然而数字化升级会产生超过工控网络负载的流量、新的网络安全威胁,进而带来中断和停机的风险,同时生产停机恢复需要专业企业排查故障,成本巨大。


3、OT工控系统的供应链复杂:工控厂商各自的控制系统通信、控制等协议私有,各自的OT资产换代升级、核心维修等依赖于其供应商或授权第三方,供应链的安全控制与管理难落实,且大型的OT系统资产庞大,考虑到其兼容性和覆盖范围,需要投入大量的投资和精力进行相关资产发现、威胁分析和资产画像等。


4、OT系统远程运维管控困难:由于控制系统的维护需要专业厂家协助,尽管增加VPN、堡垒机等传统的远程访问解决方案,但对远程用户操作的可见性及其过程管控相对有限,且部分单位过多依赖原厂的支撑,并相信原厂操作的可信性,OT工业运维安全管控更为困难。


三大传播途径


工勒索病毒传播的路径主要是利用设备漏洞远程入侵、利用摆渡绕过IT/OT隔离和利用供应链攻击恶意侵入三种方式,对OT工控系统产生严重破坏。


● 利用设备漏洞远程入侵


对于诸如油气管网、开采等系统、随着数字化升级,云计算、物联网、大数据技术的广泛应用,IT与OT网络不断融合升级,部分工控系统设备可能直接或间接暴露于互联网中,而这些工控设备天然存在漏洞,恶意App可能通过远程利用漏洞的方式感染工控系统设备,进而实施勒索或其他恶意行为。


● 利用摆渡绕过IT/OT隔离


尽管工控系统的“收口”工程大部分已与外部网络进行了安全隔离,但恶意App可能通过邮件、U盘,甚至社工等渠道进入OT内网,绕过IT/OT的隔离系统。


● 利用供应链攻击恶意侵入


国际网络空间和环境异常复杂,非法组织将勒索病毒通过预先感染供应商设备,恶意将勒索病毒植入目标工控系统,再利用勒索蠕虫病毒中内置的漏洞利用代码在OT内网中进行横向渗透,发现并感染存在漏洞和脆弱性问题的工控系统设备。


增强网络安全意识 重视网络安全新技术


针对OT网络的安全防御最重要的是增强人们的网络安全意识,同时也要重视新技术的应用。


● “零信任”技术加强设备管理


采用“零信任”技术和策略,加强工控系统网络中关键数字设备的接入管理,在采用“IP+MAC”捆绑基础上,增加“CPU ID+HDD SN+Node Name+ Password”等元组对接入的终端设备进行严格审查,对存在安全隐患和已知漏洞的设备及时进行修复,对不便修复的设备进行必要的隔离,对工控系统网络中非必要的端口进行关闭处理。


● OT网络资产画像


针对OT内网的私有协议和通信控制流量,需要DPI和DFI进行报文解析。通过借助澳门浦京娱乐场泰合安全运营平台、大数据分析平台内置的资产指纹,现场部署“TAR+CS plus+NFT”智能组合采集探针、工控无损漏洞扫描系统等产品,提取网络的五元组特征、资产特征、工控漏洞特征、工控木马病毒特征、行为特征。并辅以VenusEye等情报,工业安全运营中心、大数据分析平台等通过指纹比对等方式,自动识别网络中的资产信息,并可将被监测的工业、企业的网络拓扑动态呈现,识别IT层和OT层的资产信息,包括服务器、路由器、主机等IT层资产,上位机、PLC、控制器等工业现场资产。当管理员对拓扑图上的设备属性进行修改、添加或删除设备,可根据设备通信状态进行网络拓扑图的动态更新。通过资产、流量,数据、情报的分析,采用深度包检测技术将资产合法行为的连接、会话和命令记录下来,数据的建模引入机器学习技术,建立资产的合法行为基准,并对违反此基准的异常行为告警。


● 强化重要业务数据动态备份


通过采用基于MES远程数据库的灾备、PLC/DCS应用系统的灾备、SCADA应用App的灾备等方式对重要数据进行备份处理,当数据遭到加密或破坏后,能够及时、快速地恢复正常生产工作,把损失降到最低。


1、基于MES远程数据库的灾备:基于MES数据库的备份采用实时复制方式,并且在备份过程中,采用自动冲突检测和解决的手段,以保证数据一致性不受破坏。


2、基于PLC、DCS应用系统的灾备:对待处理的业务数据,通过网络分别传输至生产中心和灾备中心进行处理,保证在灾难发生后,系统能够继续处理业务,并实现各节点间数据的一致。


3、基于SCADA应用App的灾备:一旦某主中心系统失效时,灾难备份中心的应用App系统恢复运行,接管主中心的业务,可以通过在应用App内部,连接两个异地数据库,同时在将业务处理数据分别存入主中心和备份中心的数据库中。


● 强化网络规划、补丁升级和配置加固


针对复杂多样的网络威胁,仅依靠网络拦截是不够的,需加强终端安全的防御。通过在终端侧部署具备有效防护能力的终端安全防御App,强化网络规划,做好补丁升级及配置加固,改善安全边界能力等方式,增强终端安全运行维护能力,有效防护勒索App的威胁。


此次网络攻击事件对我国油气管网的安全防御的警示意义巨大,必须贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度为基础网络安全等级保护定级备案、等级测评、安全建设和检查等基础工作深入推进,网络安全保护需有效落实“实战化、体系化、常态化”和“动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控”的“三化六防”措施,形成“打、防、管、控”一体化的网络安全综合防控体系,进一步维护国家网络空间主权、国家安全和社会公共利益。