增強網絡安全意識 重視網絡安全新技術

發布時間 2021-05-11

近日,美國最大的成品油管道運營商Colonial Pipeline受到勒索軟件攻擊,使得長達5500英里的管道運營被迫中斷,此事件的爆發再次引起大家對網絡安全的重視。


從此次網絡攻擊的實際結果分析,這種高度定向的攻擊等同于APT水準的攻擊。尤其在全球近幾年發生的重大工業應急響應安全事件中,勒索病毒攻擊仍是工業安全面臨的主要威脅。因此,針對OT(Operational Technologies)系統的安全防御必須構建高于入侵方的資源體系和能力。


極其脆弱的OT網絡環境


在當前國際網絡空間異常復雜情況下,尤其是目前一些新技術的應用,工控OT系統缺乏標準化、生產運營停機成本巨大、供應鏈復雜、遠程運維管控困難等問題更加突出。因此,在極其脆弱的OT網絡環境中,需采用類似“零信任”、“場景化”安全防御、基于網絡行為分析的“主動防御”等綜合的解決思路,對所有OT、物聯網、工業IoT(IIoT)資產、流程、連接路徑和用戶活動進行嚴格梳理,建立資產畫像和應用“零信任”策略進行資產管理,更好地保護工控系統的OT網絡環境,應對類似APT水準的攻擊。


1、工控OT系統缺乏標準化:大部分OT網絡自投產運行后,隨著數字化升級過程,與不同時期的資產組成龐大的復雜系統,不僅增加了復雜性,且分散運營在多個地點,其中一些地點位于偏遠地區,如油氣管網、油氣開采等,OT的安全環境更為復雜,管控更為困難。


2、OT生產運營停機成本巨大:OT生產首先考慮的是可用性和可靠性,滿足生產經營的需求,然而數字化升級會產生超過工控網絡負載的流量、新的網絡安全威脅,進而帶來中斷和停機的風險,同時生產停機恢復需要專業公司排查故障,成本巨大。


3、OT工控系統的供應鏈復雜:工控廠商各自的控制系統通信、控制等協議私有,各自的OT資產換代升級、核心維修等依賴于其供應商或授權第三方,供應鏈的安全控制與管理難落實,且大型的OT系統資產龐大,考慮到其兼容性和覆蓋范圍,需要投入大量的投資和精力進行相關資產發現、威脅分析和資產畫像等。


4、OT系統遠程運維管控困難:由于控制系統的維護需要專業廠家協助,盡管增加VPN、堡壘機等傳統的遠程訪問解決方案,但對遠程用戶操作的可見性及其過程管控相對有限,且部分單位過多依賴原廠的支持,并相信原廠操作的可信性,OT工業運維安全管控更為困難。


三大傳播途徑


工勒索病毒傳播的路徑主要是利用設備漏洞遠程入侵、利用擺渡繞過IT/OT隔離和利用供應鏈攻擊惡意侵入三種方式,對OT工控系統產生嚴重破壞。


● 利用設備漏洞遠程入侵


對于諸如油氣管網、開采等系統、隨著數字化升級,云計算、物聯網、大數據技術的廣泛應用,IT與OT網絡不斷融合升級,部分工控系統設備可能直接或間接暴露于互聯網中,而這些工控設備天然存在漏洞,惡意軟件可能通過遠程利用漏洞的方式感染工控系統設備,進而實施勒索或其他惡意行為。


● 利用擺渡繞過IT/OT隔離


盡管工控系統的“收口”工程大部分已與外部網絡進行了安全隔離,但惡意軟件可能通過郵件、U盤,甚至社工等渠道進入OT內網,繞過IT/OT的隔離系統。


● 利用供應鏈攻擊惡意侵入


國際網絡空間和環境異常復雜,非法組織將勒索病毒通過預先感染供應商設備,惡意將勒索病毒植入目標工控系統,再利用勒索蠕蟲病毒中內置的漏洞利用代碼在OT內網中進行橫向滲透,發現并感染存在漏洞和脆弱性問題的工控系統設備。


增強網絡安全意識 重視網絡安全新技術


針對OT網絡的安全防御最重要的是增強人們的網絡安全意識,同時也要重視新技術的應用。


● “零信任”技術加強設備管理


采用“零信任”技術和策略,加強工控系統網絡中關鍵數字設備的接入管理,在采用“IP+MAC”捆綁基礎上,增加“CPU ID+HDD SN+Node Name+ Password”等元組對接入的終端設備進行嚴格審查,對存在安全隱患和已知漏洞的設備及時進行修復,對不便修復的設備進行必要的隔離,對工控系統網絡中非必要的端口進行關閉處理。


● OT網絡資產畫像


針對OT內網的私有協議和通信控制流量,需要DPI和DFI進行報文解析。通過借助啟明星辰泰合安全運營平臺、大數據分析平臺內置的資產指紋,現場部署“TAR+CS plus+NFT”智能組合采集探針、工控無損漏洞掃描系統等產品,提取網絡的五元組特征、資產特征、工控漏洞特征、工控木馬病毒特征、行為特征。并輔以VenusEye等情報,工業安全運營中心、大數據分析平臺等通過指紋比對等方式,自動識別網絡中的資產信息,并可將被監測的工業、企業的網絡拓撲動態呈現,識別IT層和OT層的資產信息,包括服務器、路由器、主機等IT層資產,上位機、PLC、控制器等工業現場資產。當管理員對拓撲圖上的設備屬性進行修改、添加或刪除設備,可根據設備通信狀態進行網絡拓撲圖的動態更新。通過資產、流量,數據、情報的分析,采用深度包檢測技術將資產合法行為的連接、會話和命令記錄下來,數據的建模引入機器學習技術,建立資產的合法行為基準,并對違反此基準的異常行為告警。


● 強化重要業務數據動態備份


通過采用基于MES遠程數據庫的災備、PLC/DCS應用系統的災備、SCADA應用軟件的災備等方式對重要數據進行備份處理,當數據遭到加密或破壞后,能夠及時、快速地恢復正常生產工作,把損失降到最低。


1、基于MES遠程數據庫的災備:基于MES數據庫的備份采用實時復制方式,并且在備份過程中,采用自動沖突檢測和解決的手段,以保證數據一致性不受破壞。


2、基于PLC、DCS應用系統的災備:對待處理的業務數據,通過網絡分別傳輸至生產中心和災備中心進行處理,保證在災難發生后,系統能夠繼續處理業務,并實現各節點間數據的一致。


3、基于SCADA應用軟件的災備:一旦某主中心系統失效時,災難備份中心的應用軟件系統恢復運行,接管主中心的業務,可以通過在應用軟件內部,連接兩個異地數據庫,同時在將業務處理數據分別存入主中心和備份中心的數據庫中。


● 強化網絡規劃、補丁升級和配置加固


針對復雜多樣的網絡威脅,僅依靠網絡攔截是不夠的,需加強終端安全的防御。通過在終端側部署具備有效防護能力的終端安全防御軟件,強化網絡規劃,做好補丁升級及配置加固,改善安全邊界能力等方式,增強終端安全運行維護能力,有效防護勒索軟件的威脅。


此次網絡攻擊事件對我國油氣管網的安全防御的警示意義巨大,必須貫徹落實網絡安全等級保護制度和關鍵信息基礎設施安全保護制度為基礎網絡安全等級保護定級備案、等級測評、安全建設和檢查等基礎工作深入推進,網絡安全保護需有效落實“實戰化、體系化、常態化”和“動態防御、主動防御、縱深防御、精準防護、整體防控、聯防聯控”的“三化六防”措施,形成“打、防、管、控”一體化的網絡安全綜合防控體系,進一步維護國家網絡空間主權、國家安全和社會公共利益。