将IT安全业务外包是很常见的做法,很少有制造企业能负担起雇佣一群专业技术人员,来维持企业的安全工作环境并免受攻击。由于不了解与生产制造相关的IT因素,一家外包的IT服务公司最近导致了一家产值为数十亿美元的生产制造公司停产。如果我们不从过去的错误中学习,我们就有可能重复错误。
这家外包的IT服务公司与雇主签订的安全合同的一部分工作,是定期对所有的网络进行安全扫描,以查找恶意的和非法的设备以及未受保护的端口。这家公司专门成立了IT安全小组负责此项目。但遗憾的是控制工程网版权所有,在进行网络安全扫描之前,IT安全小组并未与这家制造企业沟通其测试时间的安排以及详细的实施过程。最终导致CONTROL ENGINEERING China版权所有,这家企业在不同地点工厂的生产制造系统都会莫名其妙地出现停机的状况。
据工厂人员描述,可编程逻辑控制器(PLC)会莫名其妙地停止运行,并要求重启甚至重新加载程序,以及联网的设备会自动重置。停机现象发生在正常的工作时间之后,不过生产制造是连续运行的。工厂以为他们遇到了本地的问题,可是却无法找到原因。
最终www.cechina.cn,一个工厂注意到了在停机之前出现了网络风暴。“网络风暴”一词是用来形容使网络和联网设备运行变慢的一种网络流量泛滥。外包的IT安全小组在正常工作时间之外模拟攻击,目的是确保IT系统能够处理攻击。他们在做他们的工作。他们并没有与整个公司沟通网络扫描操作,因为那样会让入侵者有时间将非法设备断开网络连接。
不使用DMZ
那些被停机的工厂还没有通过隔离区(DMZ)实现商业和生产制造系统的分离。DMZ是为了解决安装防火墙后外部网络的访问用户不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区。该缓冲区位于企业内部网络和外部网络之间的小网络区域内。
没有通过DMZ建立的直接连接,所有的通讯都是通过服务器和数据库路由的。在DMZ的两侧都有防火墙,有时候在其内部还有独立的用户域。DMZ、防火墙以及间接通讯是保护实时的、执行关键任务的控制网络和相关设备的最有效的可用手段之一。
网络风暴袭击了所有的PLC和嵌入式设备,使其遭受它们所不能承受的大量的网络流量。它们的通讯缓存区溢出、写入到程序或数据存储器,然后停止运行。幸运的是该过程不具备本质上的危险性;然而,停机会给公司造成每分钟数千美金的损失。
缺少规则
当遇到这类问题时,企业的IT人员做出的响应是“那么CONTROL ENGINEERING China版权所有,你会如何防止受到这些类型的攻击?”这指出了问题所在:在企业IT部门与控制部门之间没有正式的用于划分责任的政策或规则。
IT部门“拥有”网络和交换机,控制部门“拥有”终端设备。对于IT来说,控制网络不会被考虑在控制系统之内控制工程网版权所有,可是控制部门确认为属于其内。控制部门没有办法解决这类网络安全问题,而IT部门没有办法解决嵌入式设备的问题。
从这个案例中,我们应该吸取的教训是,在企业内部通过DMZ来将控制和IT网络划分开来的政策和规则是有必要的,同时需要制定监控现场合规程度的规程及检查项目。这个公司是幸运的,他们在真正攻击发生之前吸取了教训。
聪明的公司会从中有所收获,如果他们还没有建立好用来保护实时的、执行关键任务的控制系统的企业政策以及监控规程,那么他们现在就应该开始建立了。(作者:BR&L咨询公司总裁Dannis Brandl)