搜索、选型、采购和安装。就那么简单,现在你可以享用各种前沿技术,使用智能手机对控制系统进行远程管理,问题是,你是否应该踏出这一步?
2011年11月,黑客通过一台位于俄罗斯的电脑入侵了美国伊利诺伊州Springfield市的公共供水网络系统,不仅攻击了网络设备,还使得一个向数千户家庭供水的水泵停工。进一步的调查显示这种情况不是第一次发生了,后续报道称此次网络攻击是通过一个正在俄罗斯度假的授权承包商实现的。此承包商在英国、德国和俄罗斯旅行的途中在智能手机上使用虚拟专用网络(VPN)对控制系统进行管理。这个事件告诉我们,在无线技术、远程访问以及诸如智能手机和平板电脑之类的便携式设备大行其道的当今时代,工业网络正呈现出不同以往的局面。
我们都明白并且享受到了工业技术革命所带来的生产力的巨大提升。工业设施的生产力成指数地飞速增长,效率越来越高,降低了对劳动力的需求。随着价格更加低廉、适应性更强的无线技术和能够实现传感、设备管理和控制的便携式设备的出现,这种趋势还在延续。HMI、维护界面和远程管理功能一度只有在专用设备上才能使用,现在已经可以在苹果公司的IOS系统和Google公司的安卓操作系统上安装和编程。人类很善于简化工作;然而,人类如何才能发现超出人类五感之外的网络风险呢?很多人仅仅将这种风险置之不理,并且自欺欺人地以为自己不会成为攻击目标。他们会询问:“为什么有人要攻击我的设备或者供应链呢?”事实是,也许不会有人针对你发出攻击,但是你很有可能由于系统存在漏洞,而在一次泛型攻击(generic attack)中成为受害者,而你自己甚至没有意识到这一点。
Stuxnet是一种目标性很强的攻击,但是网络安全研究人员和一些吸取经验教训的黑客们意识到,无目标的攻击更加简单。一次计划周密的泛型攻击会在很广的范围内冲击你的工业技术,更严重的是CONTROL ENGINEERING China版权所有,它不会留下丝毫痕迹,根本无法追踪。便携设备、远程访问和无线通讯是与控制系统连接的绝佳网关,这就是为什么在这种环境下它们成为众矢之的原因,每一个使用这些网关与控制系统连接的人员都应该对其进行防护,但问题是很多人根本没有做防护,正如我后文将要解释的。
移动性的挑战
Google公司的安卓设备和苹果公司的iOS设备均能够成为上述控制系统的受攻击网关:他们都采用无线技术,都支持远程访问的用户便携设备。经过过去几年的发展,用户已经可以购买到安卓和iOS控制系统应用程序,甚至可以免费下载。控制系统硬件供应商和第三方软件公司提供了多种应用程序。例如最近流行的一种典型声明:“此应用程序可以用来重设计数器、更改设定点或者浏览生产数据。现在可以免费下载到您的iPhone或者iPad上。”大多数情况下,供应商会警告用户此类应用程序应该做好防护;然而,使用这些设备的任何应用程序都需要IEEE 802.11无线接入以实现组网,或添加到控制系统环境中。为什么?因为大多数苹果公司的iOS设备和Google公司的安卓设备根本没有物理网络电缆这个选项。这一事实促使Cybati(一家美国网络安全培训和咨询机构)进行了IEEE 802.11无线节点研究。
如果在过去几年间,有如此多的应用程序被纳入到了苹果公司iOS商店和安卓商店,那么支持IEEE 802.11访问的控制系统数量一定也有所增加,以支持这种以及其他种类的工业网络无线通讯。问题是:IEEE 802.11是如何配置的?用户是否将IEEE 802.11直接与控制系统环境相连,或者他们是否使用了管理完善且配备了足够防护措施的网关?在浏览了一些PLC用户论坛之后,很明显,我们最坏的假设成真了,但我们仍旧希望使用技术数据来证明这一点。
我们的调查显示,情况比我们预计的更加糟糕。从2012年2月到4月,Cybati专员跋涉了4000英里,寻找IEEE 802.11 a/b/g/n无线传输,目标是常见的控制系统硬件供应商的组织唯一标识(OUI)。OUI被网络设备供应商所采用,此处的供应商指控制系统硬件的供应商。即使对于IEEE 802.11网络中常见的安全等级最高的设置(WPA-2)来说,OUI以及完整的设备MAC地址也是未经防护的。我们使用现成的组件搭建了自己的 “wardriving”(驾驶攻击,又称为接入点映射,这是一种在驾车围绕企业或住所邻里时扫描无线网络名称的活动。)装置:
• 在iM2500 Pelian仪表箱上打孔;
• 双USB风扇用来循环空气;
• Hyperjuice 150瓦小时电池;
• 配有VMWare Fusion和Backtrack5的Macbook笔记本;
• Insomnia Sleep Manage-ment应用程序(用来屏蔽MAC的合盖睡眠功能);
• Alfa AWUS036H外置无线网卡(AWUS036NH根据能力在Backtrack5上添加驱动器);
• 外置GlobalSat BU-353 USB GPS接收器(我们故意不收集此项数据);
• 室外型2.4-2.5GHz 8dbi增益的全方向天线(OA-2450-08-01);
• Kismet和GISKismet Backtrack 5应用程序。
一旦我们收集到了全部的数据,我们就在由GISKismet创建的MySQL数据库中使用结构SQL命令。这些命令寻找供应商的OUI,并根据我们的控制系统硬件数据库进行分类(例如从客户端中为Koyo以太网通讯模块选择“形如‘00:e0:62%’的MAC地址”或者为Opto-22 SNAP-PAC集成802.11无线通讯选择“形如‘00:a0:3d%’的MAC地址”)。需要说明的是这些任务并非在工业现场完成的,我们95%的行程都是在美国洲际高速公路上,我们以常规速度驾驶,并有意地经过大型城市区域。即使在这种限制条件下,我们也能够轻松地在受保护无线网络和无保护无线网络上找到控制系统组件。在收集的大约27,000个客户端的数据(包括办公室、商业、工业甚至家用无线网络)之中,有9个是控制系统组件。这并不算很多,但是即使不多也意味着有问题,必须对iPad控制应用程序进行更多的环境调查。我们还做过一些更具有针对性的城市化区域评估,发现了更多的设备,我们将这些问题留给读者自己运行控制系统的wardriving。
那些怀有恶意的人会怎样使用这些数据呢?这得看情况了,如果与数据相关的控制系统MAC地址位于没有保护的或者保护很弱的(WEP或者简短的网络密码)无线网络上,那么只要控制系统通讯协议具有先天的弱点,例如Modbus、EtherNet/IP、PCCC、DNP3、ICCP和其他协议,那么攻击者就可以为所欲为。如果数据与RuggedCom设备关联,而攻击者又获取了“工厂”账户的默认密码,他就可以通过拨号调制解调器或者使用SHODANHQ查询结果成功访问网络。这只是入侵受保护区域的第一步,随后还有一系列步骤,将在数分钟、数小时或者数月继续这个入侵的过程。
任者的故障导致多个纵深防护控制功能同时失效的话怎么办?外部受信任者指那些由于商务关系存在的受信任者。在网络的世界中,受信任者通常包括硬件供应链、操作系统、应用程序程序员和系统集成商。你相信已经安装的防御性措施能够起作用是因为你相信它的来源。
Stuxnet之所以成功就是因为它能够造成所有的受信任者同时崩溃。可能你会自我宽慰,因为你并没有提供让Stuxnet滋生所需要的环境,但是在你的关键资产和入侵者之间的屏障已经千疮百孔了,入侵者只需要再加一把劲就可以成功了。
或许你会认为情况没有那么糟糕,但是事实远比你想象的严重。过去的两年,我们已经看到了证书机构遭到了入侵,包括Verisign、Comodo、DigiCert、DigiNotar和Gemnet公司。对于Flame病毒入侵代码的近期研究显示它的目标就是证书——这种情况下控制工程网版权所有,受害者是Microsoft和Windows更新。RSA Security的关键登录密码被破解,Microsoft公司的远程桌面软件显示了这种最近的漏洞。很多PLC,包括Schneider Electric公司的Modicon Quantum、Siemens公司以及其他公司的产品都配备了硬编码的用户名和密码。RuggedCOM公司的全产品线配置了硬编码的用户名和密码。ZTE公司的安卓操作系统手机使用了软件编码的用户名和密码。DuQu蠕虫病毒直接针对Microsoft Windows系统中的ClearType/TrueType字体漏洞发动攻击,后来证实这一问题同样出现在苹果公司的MAC、iPhone、iPad和其他操作系统中。你还需要多少例子?US-CERT(美国联邦政府计算机应急反应小组)按照字母顺序给工业系统列表排序,这个列表非常庞大,一定包括很多你耳熟能详的公司。最终的风险就是每一种系统都存在一种未知的后门漏洞,而你的纵深防御控制将会因此无法发挥作用。我们无法信任自己的设备——它具有供应链的挑战。为控制系统增加具有远程访问能力的便携式设备、无线设备和用户设备将会带来复杂的风险,如何明确这些挑战将会在后文中论述。
如何保护自己?
终极的安全性在于不断确认组织的可信度。随着采购新的设备、雇佣新的员工、资产老化以及访问的获准和阻止,可信度是否发生了变化?答案是肯定的!对于移动设备和移动应用,你的经营任务并没有什么不同;但是,你正在使用一种可能不具备足够的本地安全控制策略的设备,无线通讯超出了厂区限制,甚至会因使用者的生活方式不同而不同。
所以,你应该如何保护关键控制系统资产,同时还能提升生产率呢?首要的就是对真正的生产增益进行研究,降低使用移动应用对控制系统进行非受限访问的成本。环境的本地控制也存在风险。移动应用的概念必然包括允许使用以太网或者使用IEEE 802.11协议的无线网络或者两者兼而有之的访问。大多数运行移动应用程序的设备在与网络连接的时候没有硬连线的选项CONTROL ENGINEERING China版权所有,因此,此时的建议就是不允许通过用户智能手机或者平板电脑对控制系统进行远程访问或者本地访问。
便携式电子设备不能与锤子或者扳手归类为同样的工具。这些设备含有控制系统环境的信息,如果被恶意使用,会带来额外的后果。不管是传统的笔记本电脑、iPhone、iPad还是HART手操器,这种工具都具有通讯节点、标签、配置设置、逻辑、图表、图纸以及对于作业环境的描述,黑客可以利用这些信息大造文章。而且,通过内嵌的远程访问证书和存储在iPhone、iPad、安卓或者其他便携式设备上的应用程序,便携式设备还能够成为受保护的控制体系结构的引入点。无线设备还能够以多种形式被设置成介于IEEE 802.11无线网络和蜂窝网络之间,进而成为预期外的网关。
自我评估
在准许远程访问、无线设备和用户控制的便携式设备连接到控制网络之前你应该针对自身和企业思考如下问题:
• 操作:谁会使用这些设备?这些设备会在什么地方被使用?什么时候被使用?这些设备是如何增加生产率的?
• 人员:现有的安全和安保作业需要做什么调整才能够适应这种移动应用?
• 安保:安保是一种理念,既然高度便携式的设备能够通过本地无线网络或国际电信提供商访问控制网络,那么我们需要采取什么额外的控制措施呢?
最后,在考虑过所有这些问题之后,你需要问自己新型的移动应用是否还值得一试。(如果你不完全相信这些答案的准确性或者不完全信任你的员工采取安全协议的意愿,那么就不要使用这种应用。)这是你自身的风险评估,也恰恰是我们无法站在你的立场为你回答的问题。但是,永远不要忘记,添加这种远程监控能力会给你的企业增加受攻击点,这真的值得么?
简单和快速的建议
1.在控制系统环境中不要准许使用便携式设备。这个建议虽然过于不近人情,但确实有效。
2.如果必须准许使用便携式设备,那么选择一台足够智能的设备,便于进行一些额外的安全防护,例如硬件驱动编码、白名单应用程序、物理安全域和访问限制,比如要求用户使用具有一定复杂度的访问密码。出于对保护控制系统的需要,使用系统的技术人员也需要经过培训。
3.不要使用那些可以轻易访问的无线协议。只使用那些能够对硬件访问、软件访问和通讯协议访问做严格限制的无线协议。
4.除非采取了限制措施,否则不要相信现场的任何便携式设备和无线设备。如果你不知道这些设备在何处被使用或者被谁使用,那么就隔离这些设备。
考虑这些可能性
在你能够对自己负责之前,还有一些额外的问题和情况你需要考虑:
• 某顾问在为系统做远程管理,如果由于电信中断导致在一个重要升级任务期间连接断开了,那么会产生什么后果?
• 一个员工正在采用无线方式对本地系统进行管理,那么如果无线网络中断了会产生什么后果?
• 如果你发现了新型智能手机应用程序操作系统具有一个高风险安全漏洞,你会作何响应?
• 在你现场工作的承包商是否具有足够的安全措施,以确保不会有人入侵其工作区域,并对其便携式设备进行复制而不被发现?
如果你已经确信你必须使用一些新型的无线远程应用程序,那么你就会觉得上述情况是杞人忧天或者至少是过虑了,而且你越长时间没有遇到网络事故,你就会越坚信这一点。
这种情况下的风险性是很难具象化的。你可能使用了不采取任何安全措施的系统进行了多年的作业而并未遭到入侵,这是否就意味着没有风险?当然不是——你只是幸运而已,而你的幸运可能在任何时候离你而去。相反地CONTROL ENGINEERING China版权所有,无孔不入的黑客可能正在仔细研究你的防御系统,试图发现漏洞进行入侵。
如果你切实感受到了存在的网络风险并对网络健康状况存有担忧,那么在采取诸如移动应用等能够使受攻击点增加的任何行动之前,你应该认真仔细地思考。移动应用所带来的风险很有可能足以抵消生产率的实际提高值。
网络安全保险
Graeme Newman
工业安全漏洞的威胁是切实存在的,保险能够缓解网络安全的风险,以及控制系统集成商及其客户所面临的其他威胁。
控制系统集成商在世界运作中的角色越来越重要,事实上,几乎所有人都与控制系统集成商的工作或多或少地相关联。但是保险行业却对个领域保持着后知后觉,大多数CSI购买的保险并不合适,很多保单甚至在应对集成商面临的最基本的诉求时也无法完成索赔,其中就包括网络安全威胁。
违约是控制系统集成商面临的最大风险www.cechina.cn,即使是最简单的工业控制、生产执行和工厂自动化系统之类的控制系统对于商业的成功都至关重要。发货延迟或者错发是两个主要的问题,如果由于发货延迟、故障甚至是简单的误解导致客户遭受了损失,那么客户就可以向系统集成商索赔。问题是保险保单针对合同责任有一些免赔条款,大多数职业责任保单,也被称为过失与疏忽保险,都是针对专业人士之用,例如博士和律师。在保单里对于投保方和客户之间的责任有着明确划分,所以合同里并没有明确的说明。但是对于系统集成商来说,合同是理赔的关键依据,一定要仔细阅读保单的相关部分以确定其覆盖了合同责任。
人身伤害,财产损失:系统集成商在工程实施过程中跨行业使用工业自动化设备和软件。当这些设备处于能够给人身带来伤害或者给财产造成损失的作业状态时,风险就存在了,从游乐园设施故障到2010年墨西哥湾“深水地平线”石油钻井平台泄露事故,例子不胜枚举。职业责任保单经常仅仅覆盖经济损失,所以对于集成商来说,将职业责任保单扩展覆盖到可能发生的人身伤害和财产损失是很必要的。理想情况下,职业责任和一般责任应该在同一张保单中同时覆盖,以防止在保险公司之间存在潜在的漏保范围或者争议。确保保单上不包含会导致免赔的技术活动的相关条款也是很必要的。
网络威胁:网络攻击越来越多,且对于控制系统集成商来说,这已经是一种不容忽视的威胁了。技术高超的黑客越来越多地将控制系统作为攻击目标,不管是处于经济目的还是主观意愿。2010年的Stuxnet病毒使伊朗核电站瘫痪,远程发动破坏对于恐怖组织、国防部门和那些希望炫耀技术的黑客来说颇有吸引力。事实上,Norton公司的预测称2012年将是目前为止遭受黑客攻击最严重的一年,不管这种攻击是来自“hacktivist”(黑客行动主义者)的泄愤还是网络恐怖主义。控制系统越来越多地成为被攻击的目标,那么客户必然会通过索赔的方式将损失平摊到集成商身上,所以有必要在职业责任和一般责任保单中修改恐怖主义的免赔条款,以确保网络攻击被保单覆盖。
保险市场正在发展以跟上控制系统集成商需求的变化。例如控制系统集成商联合会之类的组织已经开始使用如上述所列的保险保单了。