发布日期:2022年4月5日
保护OT免受网络攻击不同于保护企业IT系统。不是因为技术本身如此不同,而是其后果如此不同。OT系统控制着我们今天依赖的许多系统,从油轮到高速列车、电网和核电站。显然,黑客控制了用于操作和保护此类系统的信息和通信技术,其后果可能比数据泄漏严重得多。
对于大多数企业IT系统来说,黑客攻击的后果是财务上的,有时也是法律上的。媒体经常报道企业和政府机构因缺乏隐私保护而被罚款的情况。通常情况下,这些组织在阻止“未经授权的数据访问”或阻止“未经授权的个人更改数据”方面做得不够。
工业领域最令人担忧的后果是物质方面的;例如,有针对性的攻击可能会导致工厂发生重大事故,将有毒化学物质泄漏到周围环境或引发大火。制造设备的损坏可能会扰乱重要的供应链,导致燃料或食品等关键商品的短缺。
为了优先预防工业资产遭受网络攻击造成的物理后果,必须使用现有工具使网络风险更加明显。”
“最终,OT网络安全是为了拯救生命,保护环境,避免资产损坏。在优先预防工业资产遭受网络攻击的物理后果时,使用现有工具使网络风险更加明显是至关重要的,”Håkon Olsen, DNV网络安全- OT安全-事件响应首席顾问。
他补充说,这些工具可以在确保OT/IT安全的三步方法中应用:首先,了解你拥有什么;第二,与物理领域的专家交朋友;第三,要考虑到行业背景。
你的公司需要知道自己需要什么来保护自己。因此,“网络拓扑”和“资产清单”的可见性是保护OT/IT系统免受网络风险的两个基本工具。网络拓扑通常是显示网络由什么组成的图(图1)。其中的元素包括,例如,网段、服务器、笔记本电脑、交换机和操作技术。OT包括与工厂传感器和控制器交互的任何软件,如可编程逻辑电路(plc)、压力变送器和人机界面(hmi)。
“资产清单”描述了所有硬件系统和运行在其上的软件。在事物频繁变化的环境中,应该动态生成这个目录。通常在OT系统中,库存是一个静态文件,例如Excel电子表格,由工程师在系统设计期间手动编译。由于在发生更改时缺乏更新,该文件很可能随着时间的推移而过时。
基于网络拓扑结构和资产清单进行风险评估是很常见的。“但很难将这些信息与预防特定的身体后果联系起来。我们需要知道‘控制下的设备’是什么,以及它的用途是什么,”奥尔森说。
例如,上述网络可以运行一个间歇化学反应器,运行放热(产热)反应,需要冷却以避免过热,如果产物是气态,则可能发生爆炸。这些信息不能仅从it类型的文档中看到;专家们需要将这些信息与现实世界联系起来。
设想图1中的系统控制一个包含放热反应的反应堆,冷却水流过反应堆容器周围的夹套。根据温度测量,控制器打开和关闭阀门以保持安全温度。在图1中,这个控制器就是温控PLC。知道了这一点,身体上的风险就可见了。
不知道OT系统控制什么会导致只关注“机密性、完整性和可用性(CIA)三位一体”,而没有真正考虑真正的后果。奥尔森解释说,这可能是一次严重的爆炸,对健康、安全和环境产生潜在影响,并对附近的财产造成损害。
他指出:“不幸的是,缺乏库存控制——尤其是在将工业IT系统与其控制的实物资产连接起来时——是许多行业的一个非常普遍的问题。”“总而言之,将库存中的点连接起来意味着对于网络中的每个服务器、交换机、发射器、PLC等,你需要知道这些项目是执行哪些工作的一部分。只有这样,你才能理解网络攻击对OT系统的潜在后果。”
在OT安全领域工作意味着要掌握巨大的复杂性。虽然有些人可能是工业协议、阶梯逻辑编程或构建对抗性威胁模型的专家,但理解网络安全领域本身就是一个挑战。
“期望安全专家在他们接触的所有物理领域都是专家是不现实的。你不能指望OT安全专家知道ISO标准中被描述为“受控设备”的所有技术的细节。例如,一家公司的安全运营中心(SOC)分析师是否应该同时是训练有素的化学工程师和OT安全专家?显然不是。因此,工业领域的网络风险评估必须是合作的。”
通过涉及正确的领域专业知识,您可以获得场景物理结果的现实图景。”
了解安全障碍是领域专业知识的另一个重要方面。上面的例子缺少一些在大多数地方都是强制性的安全功能。这些特点包括采用被动减压系统,无需任何数字技术即可工作。
在许多地方,还必须有一个过程关闭系统,该系统由具有单独传感器、plc和网络的控制系统组成。该关闭系统通过使用纯粹为了安全而安装的执行器来防止潜在的事故。这种安排旨在避免正常生产系统和安全关键系统之间的共因故障。不了解此类系统有时会导致OT安全专家善意地夸大最严重后果的概率。
“所以,与领域专家交朋友是值得的。通过涉及正确的领域专业知识,你可以获得一个场景的物理结果的现实图景,”奥尔森说。
与企业IT系统一样,保护工业系统免受网络攻击需要一个事件响应计划,但也要考虑到操作环境。然而,一个关键的区别是,对于实体工厂,响应计划可能包括采取物理行动,例如手动打开和关闭阀门。显然,这需要计划和实践。如果需要焊接来处理事故,例如安装一个新的阀门旁路,那么与工业操作方的协调必须成为事件响应手册的一部分。
即使是不直接影响OT系统的攻击也可能导致工业环境中的操作变化。1“这给我们所有人都带来了教训。我们需要考虑如何不仅在袭击后,而且在反应阶段尽量减少影响,这可能是相当广泛的,”奥尔森说。“基于场景的剧本对计划和执行应对措施有很大帮助。剧本应该足够详细地描述场景,以估计受影响的系统,并询问如果这些系统需要停止服务,将如何恢复运行。”
对于OT安全专家来说,后一个问题很难回答,他补充道:“同样,你需要领域专业知识。就网络事件响应计划而言,您需要在响应期间联系谁、谁有权决定何时进入下一步等等方面的信息。例如,如果你需要切换到手动操作,比如转动阀门,以继续安全恢复控制系统信息和通信技术,这必须成为你的剧本的一部分。”
即使从OT的角度来看挑战,继续应对CIA的三位一体也很重要:“我们仍然需要确保只有授权人员才能访问我们的系统。我们需要确保在传输和存储过程中保护数据,我们需要知道数据包风暴不会使我们的工业网络瘫痪。关键信息是我们需要更好地阐明OT系统中安全漏洞的后果,”奥尔森总结道。
第一步:知道你拥有什么。了解系统中的It组件通常是不够的。你还需要知道他们在控制什么。这对于理解与资产泄露相关的风险很重要,而且对于计划如何响应攻击也很重要。
第二步:与领域专家交朋友。它们可以帮助您了解一个受损的资产是否会导致灾难性的场景,以及攻击者会采取什么措施来实现这一点。领域专家还可以帮助您理解作为设计一部分的独立安全屏障,这样您就不会夸大最坏情况的可能性。
第三步:考虑行业背景来计划你的回答。与领域专家交朋友并利用他们的见解来制定实用的剧本——其中可能包括焊工或工艺操作员需要在工厂车间采取的实际行动。
1“勒索病毒感染后铝生产商转向人工操作”,C·钦帕努,zdnet.com, 2019年3月19日[在线]
阅读更多DNV网络安全服务
