【專(zhuān)家博客】Jeff Smith的實(shí)用SCADA安全理念
本文作者HeatherMacKenzie,最初發(fā)表于2013年12月17日。由青島多芬諾信息安全技術(shù)有限公司進(jìn)行采編和整理,轉(zhuǎn)載請(qǐng)注明出處。 博客正文: 美國(guó)輪軸與制造公司(AAM)的Jeff Smith是工業(yè)以太網(wǎng)網(wǎng)絡(luò)和ICS(工業(yè)控制系統(tǒng))安全領(lǐng)域的權(quán)威。我們很榮幸地邀請(qǐng)他出席2013百通工業(yè)以太網(wǎng)基礎(chǔ)設(shè)施設(shè)計(jì)研討會(huì)并發(fā)表演講。 在之前的一篇博客中,我概括了AAM公司選擇以太網(wǎng)/IP通信的原因,以及他們?cè)鯓訄?zhí)行最佳實(shí)踐,例如規(guī)范化網(wǎng)絡(luò)分區(qū)配置。今天我將介紹Jeff的ICS安全策略。 Jeff曾經(jīng)公開(kāi)發(fā)表言論稱(chēng)沒(méi)有人會(huì)在安全上花費(fèi)金錢(qián)。然而現(xiàn)在,他發(fā)覺(jué)自己看錯(cuò)了問(wèn)題的角度。人們應(yīng)當(dāng)關(guān)心的是:“我需要花費(fèi)多少金錢(qián)才能在面臨如此風(fēng)險(xiǎn)的情況下感到安心?” 為解決這一問(wèn)題,Jeff建議先評(píng)估一下自身目前的安全性水平,然后確定出提高安全性水平的目標(biāo)。 Jeff Smit表示最終用戶和供應(yīng)商們現(xiàn)在不能再和以前一樣,每次提起ICS安全就如同面對(duì)10噸重的大象 確定你的ICS安全優(yōu)先區(qū)域 在AAM的實(shí)例中,他們劃分出了以下四個(gè)優(yōu)先區(qū)域: 1. 保護(hù)制造網(wǎng)絡(luò)(以太網(wǎng)/IP協(xié)議)網(wǎng)絡(luò)免受企業(yè)(非信任)網(wǎng)絡(luò)的影響。 2. 保障企業(yè)從內(nèi)部外部提供安全可靠的遠(yuǎn)程支持的能力不受侵害。 3. 控制并跟蹤供應(yīng)商連接入制造控制系統(tǒng)的動(dòng)向——這是最大的挑戰(zhàn)! 4. 采取以下方式保護(hù)制造商網(wǎng)絡(luò)免受來(lái)自PC機(jī)的惡意攻擊: a. 從控制網(wǎng)絡(luò)中移除該PC機(jī),并將其合理安置在企業(yè)網(wǎng)絡(luò)中。 b. 將網(wǎng)絡(luò)邊界的PC機(jī)隔離并安裝具備深度包檢測(cè)和VPN能力的防火墻,從而將其與控制網(wǎng)絡(luò)連網(wǎng)。 Jeff的這一圖解強(qiáng)調(diào)了他對(duì)此問(wèn)題的看法。對(duì)AAM來(lái)說(shuō),這一策略(包括移除能夠使PC機(jī)連入現(xiàn)場(chǎng)總線的NIC)能夠阻止雙宿主機(jī)器的干擾。 在確定好你的優(yōu)先對(duì)象后,你就需要執(zhí)行解決方案了。在演講中,Jeff演示了AAM的遠(yuǎn)程連接系統(tǒng),并展示了AAM的標(biāo)準(zhǔn)網(wǎng)絡(luò)圖。 Jeff對(duì)ICS安全的深入思考 在Jeff的演講中我最看好的一點(diǎn)是他強(qiáng)調(diào)出對(duì)ICS安全要有恰當(dāng)?shù)恼J(rèn)識(shí)。他幽默地引用SNL出版的《與Jack Handey一起深入思考》的說(shuō)法將此也稱(chēng)之為“深入思考”,并且他指出這些想法對(duì)最終用戶、供應(yīng)商及集成商等組織都適用。以下列示了部分: 大部分企業(yè)都已經(jīng)不需要一個(gè)“10噸安全模型”——那種包含復(fù)雜的縮略術(shù)語(yǔ)和很多安全“物件”的策略了。供應(yīng)商也應(yīng)該停止用這樣的方式談?wù)摪踩?,而且最終用戶也不應(yīng)該就這樣什么都不做。而應(yīng)該評(píng)估用戶的需求,并圍繞這些需求進(jìn)行討論。 強(qiáng)化基礎(chǔ)。提高安全的第一步是“修復(fù)”你的控制系統(tǒng)以太網(wǎng)策略,然后再使它更加安全。(對(duì)此如果您需要幫助,那么百通公司可以提供適當(dāng)?shù)慕鉀Q方案) 應(yīng)從管理組織的角度出發(fā)解決安全問(wèn)題。例如,在企業(yè)界,安全防護(hù)已是一項(xiàng)成熟的規(guī)范運(yùn)作。但在以太網(wǎng)為基礎(chǔ)的現(xiàn)場(chǎng)總線界,安全才剛剛引起管理組織的注意。而且ICS安全也還處于起步階段。 因此不要去跟控制工程師們討論關(guān)于以太網(wǎng)的太過(guò)寬泛的話題,縮小范圍至跟他們切身相關(guān)的。 要記住很多工程師并沒(méi)有以太網(wǎng)為基礎(chǔ)的控制網(wǎng)絡(luò)的工作經(jīng)驗(yàn)。與此同時(shí),企業(yè)的培訓(xùn)經(jīng)費(fèi)也很緊張。這些都導(dǎo)致了員工們只能在工作中學(xué)習(xí),即使工作中技術(shù)變更的進(jìn)程緩慢。因此,請(qǐng)為他們提供幫助。 面對(duì)以太網(wǎng)挑戰(zhàn)的工程師們,你對(duì)“從傳統(tǒng)的現(xiàn)場(chǎng)總線X向以太網(wǎng)現(xiàn)場(chǎng)總線轉(zhuǎn)變”的工程計(jì)劃是什么樣的?這是你馬上就要面臨的問(wèn)題……所以,行動(dòng)起來(lái)吧! 要記住“控制工程師們可以做控制相關(guān)的事情”,而且應(yīng)該考慮一下把精力投注在提高自己實(shí)施安全防護(hù)解決方案的相關(guān)技能上 不要忽略那些來(lái)自內(nèi)部的有意或無(wú)意的網(wǎng)絡(luò)攻擊。 同樣要考慮入侵檢測(cè)和快速恢復(fù)。要成功阻止每一次攻擊是很困難的,因此你需要制定一個(gè)在遭受攻擊后能迅速恢復(fù)的計(jì)劃。 將這些深入想法付諸實(shí)踐 如果你有足夠的資金,那么用可管理的開(kāi)關(guān)替換掉那些無(wú)法管理的。 增加ICS安全應(yīng)用。他們應(yīng)該: l 易于配置 l 易于重復(fù)應(yīng)用和部署 l 應(yīng)專(zhuān)門(mén)針對(duì)具有較長(zhǎng)生命周期的控制設(shè)備而設(shè)計(jì) l 不需要過(guò)多的IT知識(shí)來(lái)輔助使用 l 即使線路在凌晨?jī)牲c(diǎn)出現(xiàn)故障也不需要IT人員來(lái)幫忙 保持它的實(shí)用性 當(dāng)你聽(tīng)Jeff講起他的安全理念,似乎都是非常直接和實(shí)用的。在你面對(duì)現(xiàn)實(shí)中學(xué)習(xí)新技術(shù)的挑戰(zhàn)時(shí)也要記住這兩點(diǎn),這能讓你更好地完成工作,改變你做事情的方式,也將引領(lǐng)你的企業(yè)向正確的航向前進(jìn)。 要一直牢記的是安全防護(hù)工作不應(yīng)該太復(fù)雜。如Jeff所言: “我們需要做一些事情,今天一小步明天一大步。最后一次性解決這項(xiàng)大問(wèn)題。”
提交
能源領(lǐng)域網(wǎng)絡(luò)安全框架實(shí)施指南(英文版)
【指導(dǎo)手冊(cè)】有效網(wǎng)絡(luò)防御的關(guān)鍵控制
【操作指南】SCADA與過(guò)程控制網(wǎng)絡(luò)防火墻配置指南
【指導(dǎo)手冊(cè)】控制系統(tǒng)安全實(shí)踐匯編
【操作指南】工業(yè)控制系統(tǒng)(ICS)安全指南