专家一致同意,按深度防御的方法是防止针对工业控制系统网络入侵的最佳方法。这里介绍两种脱颖而出的技术,为深度防御的策略提供更多的方法。
控制安全部门被去年夏天发现的“震网”(Stuxnet)蠕虫所震慑,这是首次发现专门针对工业控制系统(ICS)的恶意软件。而且现在已经发现这样的蠕虫非常疯狂,很多人相信其他类似情况还一定会出现。
“有人已经证明了一种概念:你可以发动针对一个工业控制系统的进攻,携带一个面向工业控制系统的有效载荷,不仅在理论上可以演示,而且在实际中可以操作。因此我们还会看到更多类似情况的发生,这几乎是不可避免的,”专家评论道。
“震网”当时针对的目标是西门子(Siemens)的控制系统, 这是一家德国自动化的巨头,蠕虫使用过去不知名的微软操作系统漏洞,获取了对计算机系统的访问,然后再对自动化控制系统进行攻击。专家警告:控制系统的制造商会成为今后攻击的目标,特别是使用流行的微软技术而进入ICS空间。
自动化的拥有者和操作员应采取哪些步骤来保护他们的控制系统资产呢?因为”震网”蠕虫是通过通用串行总线(USB)设备感染系统的,所以要实施一项严格的USB设备在控制环境中的管理政策-或者简单地使所有USB端口失效-可以对这种特殊的恶意软件起屏蔽作用,这是一些专家的建议。但工业界的同仁也同意,没有一种单一方法能够预防所有进攻。将来攻击的方向目前未知,有可能是被称为“0天”病毒的攻击-就像”震网”一样-可以通过以前不知名的系统漏洞,目前还没有反病毒软件可以提供保护。
深度防御
通常,工业网络安全从业人员推荐使用深度防御策略做为防止黑客侵入ICS网络的最佳方法。这个概念包含使用多个保护层和不同防御方法,所以如果攻击者通过一道保护层或者一种防御策略,新的保护层或者新的防御策略就马上呈现,给攻击者的进攻带来难度。常用的防御方法包括物理控制、人员政策和管理控制、电子测量,诸如防火墙、加密和反病毒工具。
多种电子保护的方法已经不断成熟,并且近年来很好地抗击了ICS的网络入侵者和恶意软件。各种各样的工业网络安全咨询公司,以及控制系统供应商,可以帮助用户使用最新技术和已经证明的知识,应用于控制系统环境。
在本文中,我们将介绍两种较为突出的新技术,可能对ICS网络来说也比较陌生。一个是著名的白名单技术,建议者认为它对付“震网”非常有效。第二个被称为单向通信技术,或称为数据二极管-它是基于硬件设备的技术。
上述两个方法为ICS网络提供了一种“银弹”,可减缓各种类型的网络威胁。最近,这两种方法引起了一些工业行业的兴趣和关注,诸如电力设施。在某些情况下,这些方法还可以提供更多的工具,用于ICS多层保护的实施。
白名单
白名单的概念与“黑名单”相对应。黑名单启用后,列入到黑名单的用户(或IP地址、IP包、邮件、病毒等)被阻止通过。当设立了白名单后,列入进白名单的用户(或IP地址、IP包、邮件等)则可优先通过,不会被当成垃圾邮件拒收,安全性和快捷性都大大提高。
专家用这样的语言解释这种技术:“白名单为所有已证明可执行文件提供了一种碎片加密。无论操作系统何时试图加载一个可执行文件,包括动态链接库(DLL)和其他类型的可执行文件,碎片会被重新计算,并且与已证明的文件表进行比较。如果没有相同的文件存在,就意味着加载的文件要么不允许运行,要么已经损坏。”
这就确保了只有干净的、已证明的应用可以执行,白名单阻止了所有无授权的应用,包括与“震网”差不多的“0天”病毒,而它以前是未知的。这与黑名单处理病毒的方法不一样,黑名单使用先前中毒的经验,对其的特征进行分析,然后开发一个“签名”来反对它;这个签名之后下载到系统,防止将来出现相同的情况发生,用于反对特定的恶意软件,而使系统得到相应的保护。从这里可以看出,黑名单的方法比较被动,是在病毒发生后才采取行动,并且只针对一种病毒;而白名单只运行已经证明的程序,新的病毒根本没有机会进入系统,所以是一种主动防御。
在2010年8月19日关于“震网”的网络研讨会中,工业防卫者的安全方案副总裁提供了一个示范,演示了当一个受感染的USB设备插入进一个未保护的计算机时,成功阻止了“震网”蠕虫。“白名单要做的事情就是预防它”该副总裁说。
虽然白名单概念已经出现了很多年,工业网络追赶IT的步伐还是有点慢,因为要管理的问题经常变化。这包括在IT世界,需要频繁的补丁程序和新病毒签名的下载。每当一种变化发生,这种变化必须加到白名单中。“如果在我的PC机上,经常使用新软件和新应用,这对白名单是一种痛苦。”一个安保公司工业安全部的主技术官说。
但白名单“实际上很好适应了”工业控制系统,这位技术官提到,因为传统上ICS有严格的更改规则。事实上,控制应用的改变比IT环境的变化要慢得多。“当你做好了像人机界面HMI这样的画面时,在6-8个月之内是不会改变的,并且要改变也是非常慎重的,一般在升级和打补丁周期,这么说来,使用白名单是比较适合的,” 技术官认为。
[DividePage:NextPage]
缓慢变化
“在控制系统使用白名单的好处是控制系统的相对稳定性。这是对它认可的最佳描述,因为名单的变化非常缓慢,所以你不会遇到一天有若干个新(反病毒)签名的问题,”工业防卫者的副总裁增加道,“你保佑你的软件,并且运行它,这就是全部。不需要变化。”
在对能源部门提供控制中心咨询时,弗劳尔控制中心解决方案LLC主席-汤姆弗劳尔认为,白名单特别适合用于控制环境,在分段网络上实施,弗劳尔解释道“当你进行了网络的划分,你可以真正得到白名单的详细内容。你可以说,‘我仅想这5个应用运行在这个特殊网段。’如果其他任何应用试图运行在这个网段,那它会引起标记变化,并且产生报警。这非常有效。”
弗劳尔以前是主设备控制系统经理,知道白名单的方法早在2004年或者2005年就已经用于领先的电厂设施中。他对市场出现更多的商用白名单产品并不感到惊奇,这些产品瞄准了特定的领域。
艾默生过程管理与核心轨迹的合作,为公司提供白名单技术的产品,做为其Ovation安保中心(OSC)的一个部分,销售到发电和水/污水处理行业。
“要实现纵深防御的理念,我们有多种解决方案做为OSC的一部分,强化整体安保形态。核心轨迹产品是其中的一种,用于防止恶意软件。并且我们有其他工具针对补丁管理和安保信息管理,”Ovation的安保项目经理解释到。第一个OSC系统在2009年秋交付用户, 并且艾默生现在已有大约十几套OSC系统在北美的现场运行。
较少补丁
在艾默生同一个部门的网络和安保技术经理指出,白名单方法已被证明对电力设施具有独特的吸引力,可以满足北美电力可靠性公司(NERC)的反恶意软件需求—关键基础架构保护(CIP)标准,覆盖了整个电力行业,这个行业是由北美电力可靠性公司管理的。
对于电力设施,在地方有一份白名单解决方案,可以减少安装补丁程序和对防病毒软件的频繁升级。CIP-007要求新补丁和升级程序必须要有30天的评估和测试,然后才能用到现场。对于白名单,也要进行30天在视窗下的评估,但白名单减少了用户要进行固定期限的维护、安装和贮运成本,有了更多的灵活性。
换个说法,根据CoreTrace的市场副总监提到,即使一个蠕虫、木马或者其他恶意件摆脱防卫并且渗透到一个设备中,白名单软件仍可以防止它的执行。“因为它不在白名单上,所以它无法运行,这给了用户回应NERC的能力,并且说‘是的,我们知道那里的漏洞,我们有对策和测试步骤,’”。
不令人惊讶,核心轨迹的市场副总监声明:他的公司看到白名单做为“反病毒的未来。”它与纵深防御的概念一致,他也相信两种技术会共存。“白名单打算用于第一道防御机制,而“防病毒”黑名单将用于报告和清除。”
艾默生的网络和安保技术经理同意。“我们在现场看到的问题是:如果某人正把一套OSC加入到一个现存系统,而该系统可能已经有一个恶意件或者一个病毒在那里,他们不知道。并且如果你的白名单有那台设备,你正好把那个恶意件或者病毒加入到你的允许的应用中,”他说。“所以有一个非常明确的目的,使用一个或者多个黑名单应用,确保你自己要保护的设备,事实上,是干净的。”从前仅使用防病毒扫描清理一台设备,因为ICS禁止在实时运行模式执行扫描,用户就可以摆脱传统的黑名单方法,避免系统性能降低。
可信任谁?
白名单的支持者主张白名单对系统性能的影响可以忽略,特别比较传统的黑名单防病毒产品时。核心轨迹的市场副总监说他的公司已经克服了早期白名单产品与变化管理相关的问题。核心轨迹产品,知名的是保镖(Bouncer),使用一种“信任的改变”功能,用户可以指定那些信任的人员做改变或增加应用。同样,诸如补丁管理系统或视窗升级等应用,可以在用户的判断下,信任其自动变化。
尽管认识到白名单的优点,艾默生的网络和安保技术经理报告说艾默生的OSC客户已经在他们的控制系统平台在实时模式运行白名单和防病毒软件有三个季度了。这只是一部分,因为一些客户在安装OSC白名单之前已经有防病毒软件,他说。另一个因素是对CIP标准中词汇的混淆,那里需要“签名”升级-术语有些解释成防病毒软件,他解释到。即将发布修订的CIP标准会消除这个混淆,除去的“签名”术语会用简单的“软件升级”取代。
不管怎样,目前需要遵从NERC的CIP标准是一个在电力设施中使用白名单的驱动力。“我们不会把白名单加入系统而不遵守法规,”控制系统安保经理在一个主电力设施确认,他拒绝透露姓名。
无论如何,这位经理已经看到这项技术做为深度防御工具的价值。“我们同时使用防病毒(AV)和白名单,但如果不得不选择其中一个,我大概会选择白名单,”他说,“因为我们正在打补丁,并且我们有一个非常坚固的电子边界,这意味着可能没有区域划分,这里的病毒每天都会被AV所查杀。”并且对于“0天”病毒,诸如“震网”,他说,“白名单有最好的机会来阻止它。”
数据二极管(Data diode)
当白名单吸引更多的眼球时,另一项技术也正在成为频繁讨论的话题,包括单向或单行的通信,典型地采用硬器件,就像我们熟知的数据二极管。“我们正在核电站安装和使用它们,并且对某些大电厂(燃煤发电)是否可用进行评估,”同一个设施的安保经理说道。
这个概念很简单:做为确保安全的一个方法,单向数据二极管用于网络中,只允许数据流按一个方向流动。单向流不是用软件操作完成,如像防火墙,而是由物理的方法。连接的一端仅有发送器,但没有接收器;而在另一端,只有接收器而没有发送器。“这是个单向数据流,可以允诺它不可能被黑。没有返回通道。信息包只能单方向移动,”瀑布安保解决方案公司销售总监宣称,这是一家以色列的单向系统供应商,在2008年进入了北美市场。
在传统的领域中建立高安保环境,诸如国防部和政府机密应用,单向技术正在由少数供应商推动,再转移到控制系统的安保领域。有些企业声称已经取得了成功,特别是在电力设施市场,这个市场要遵从NERC的CIP标准是一个重要的驱动因素。
据猫头鹰计算技术公司的副总裁报告,在该公司单向系统的新业务中,大约百分之三十来自于电力设施。而两年前的这项业务还是零。成立于1999年,猫头鹰计算技术公司提供单向数据传输技术,经某个国家实验室许可,据说总共已有超过1,000套系统在现场使用,主要在政府和国防部领域。
在控制系统领域,最常见的应用包括:数据流按一个方向从一个安全的控制系统网络到一个商业或工程网络。这使商业和工程人员只接收来自控制网络的需要信息,而减少了来自外部对ICS网络攻击的可能性。
工业网络安保顾问们确认,最近对单向技术的兴趣有所增加。“我们非常关注它的发展,并认为它建立了一种保护,”拜尔斯公司的安保说。“它是一种围墙。技术的原理是很容易理解,而做为结果还需要验证。证明数据流是单向的非常容易。这是一个好消息,”安保说道。“但坏消息是在现实的情况中,我们使用的所有协议几乎都是双向的。”
[DividePage:NextPage]
继续探讨
为了提供传统的双向协议,单向技术供应商要在数据二极管的每个端使用专用的软件和代理服务器。在企业端的代理服务器仿效了接收端的服务器,使用双向工业协议,诸如像 Modbus或OPC,从控制端应用获得数据,然后把数据按照专有的单向协议通过单向链接发送。在控制端,另一台代理服务器把数据翻译成适当的双向协议,并且模仿工厂应用发送数据至企业端服务器。采用复杂的核对、包编号和其他方法,使得企业端和控制端确保接收和发送的数据是完整和无误的。
猫头鹰和瀑布公司都声称支持不同的工业协议和应用。根据瀑布公司的文献,比如,公司支持Modbus、OPC、DNP3和ICCP协议,并与工业领先的应用/历史数据库公司合作,包括OSISoft PI、通用电气iHistorian、通用电气iFix和西门子WinTS等。
单向技术是否能阻止“震网”渗透到控制网络中呢?答案是:不能,如果蠕虫通过USB棒插入一台机器而引入,而机器又连接在控制网络中的话。猫头鹰公司的专家指出:使用他公司的技术,由于疏忽或者策略不严,在一个安保控制环境内,“震网”和其他恶意软件传入,不能够“回传”到外部的命令-和-控制计算机。那是因为猫头鹰公司系统在把数据单向传送之前,剥去路由信息,包括因特网协议(IP)地址。
虽然单向数据传送系统有许多的优势,它们好像没有证明在普遍工业控制环境应用的魅力,至少在近期,比如对工业顾问公司。这个技术昂贵。并且很多现代企业,今天很强地依赖在商业和控制系统网络之间的双向通信,维持运行效率和商业利益。
尽管如此,随着将来网络安保威胁的增加,一些人看到了数据二极管所起到的一个重要角色。这个技术为ICS网络提供了按深度防御策略的另一个选择,特别是高端应用,或网络攻击会带来毁灭性灾难的场合。
“震网”病毒是有史以来最高级、最有进攻性的恶意软件。有些人认为,它一定用了好几年来开发,这是通过代码分析而得出的结论,因为控制系统的代码有15000行,数量巨大。这个证据可以得出结论,它不是黑客创造的,一定是国家制造的。甚至可以说:即使一个国家都没有能力独自做到这点。
(原创)
