眾所周知,遺留設備(Legacy)仍將繼續(xù)在關鍵基礎設施的持續(xù)性和穩(wěn)定性方面起到重要作用,尤其是在工業(yè)控制系統(tǒng)(ICS)中。數(shù)字政府中心最近的一次調查研究發(fā)現(xiàn),70%的受訪機構依賴遺留基礎設施維持運轉。
德勤會計師事務所和MAPI的另一份報告《先進制造中的網(wǎng)絡風險》,強調了保護遺留控制系統(tǒng)的重要性。報告顯示,現(xiàn)代工業(yè)控制系統(tǒng)比其前輩容易保護得多。對200多家制造企業(yè)的調查發(fā)現(xiàn),過去一年里,40%的受訪企業(yè)都受到了網(wǎng)絡事件的影響,最大的風險存在于遺留ICS中。
遺留基礎設施是什么?為什么遺留基礎設施需要受到保護?
與智能電網(wǎng)或智能工廠之類現(xiàn)代智能企業(yè)中所用的最新先進設備相反,遺留設備通常頗為老邁,有些甚至已存在了20年、30年,甚至更久時間。這些設備依然能用,有時候因為升級換代所需的巨大資本投入而往往沒被替換。某些情況下,因為通信協(xié)議的問題,此類系統(tǒng)甚至理解不了IP協(xié)議(網(wǎng)際協(xié)議),可能使用某些專有通信機制。如此一來,更新工作就更令人絕望了,因為不僅控制系統(tǒng)設備需要更新,整個網(wǎng)絡基礎設施都要推倒重來。
另一個巨大的挑戰(zhàn)是,某些老舊控制系統(tǒng)運行的是過時的操作系統(tǒng)或應用軟件,不再受其制造商支持,甚至整個軟件開發(fā)社區(qū)都無視了這些操作系統(tǒng)或應用軟件的更新。此類系統(tǒng)漏洞裸奔,對攻擊和漏洞利用程序完全開放。更糟的是,它們有時候還不支持安全套接字層(SSL)和/或傳輸層安全(TLS)協(xié)議,通信信道本身毫無身份驗證和加密保護。類似的,即便支持SSL或TLS的設備,其版本也大多過時且沒打補丁。
甚至即使有軟件升級或補丁可用,也解決不了最終的問題,因為有些系統(tǒng)根本就不升級。其間阻礙包括這些系統(tǒng)所處位置的偏遠性和難以到達性,還有升級流程的復雜程度。而且,對關鍵基礎設施而言,僅僅是升級過程造成的那一點點停機時間,也是不可接受的。
以上不利條件造成了這些系統(tǒng)面對漏洞利用毫不設防的現(xiàn)狀,一旦被入侵,將極其難以檢測和緩解。漏洞利用不僅能令這些控制系統(tǒng)無法繼續(xù)正常操作,還會對整個工業(yè)運營造成嚴重而災難性的打擊。
保護遺留基礎設施的3種方法
1. 保護終端
終端包括多種控制系統(tǒng)設備,比如遠程終端單元(RTU)、可編程邏輯控制器(PLC)、智能電子設備(IED)等等。這些終端只允許操作所需的通信消息可以接入。排除通信信道中所有不必要的流量可以防止終端暴露在漏洞利用或攻擊的威脅之下。
工業(yè)控制系統(tǒng)領域有個通行的理念:沒壞就別修。只要控制系統(tǒng)按預期運行,軟件升級或維護就有可能帶來讓系統(tǒng)不穩(wěn)定的風險。然而,另一方面,升級系統(tǒng)以防止漏洞或協(xié)議異常的需求又總是存在的。這種情況下,協(xié)議異常檢測防火墻,或者說深度包檢測防火墻(因為不僅僅查看數(shù)據(jù)包頭,還查看深藏在數(shù)據(jù)包里的協(xié)議消息內容以應用過濾規(guī)則),就是只允許安全有效的協(xié)議消息抵達終端設備而減輕修復軟件漏洞需求的必備方法了。
設備級防火墻保護遺留終端設備不沾染惡意流量和非必要流量示意圖
2. 保護網(wǎng)絡
很多情況下,遺留設備本身所用的網(wǎng)絡通信協(xié)議就是不安全的。即便確實有某種程度上的安全,也頂多是SSL或SSH的弱化版本,可被輕易突破或利用。保護這些通信信道以防止中間人攻擊非常重要,這樣才可以避免對控制系統(tǒng)的任何危險影響。信道保護的方法之一,是通過 IPSec VPN 隧道來加密通信。面向單個或多個控制系統(tǒng)終端的VPN網(wǎng)關,可以確保這些消息被幾乎不可破解的強算法加密。
至于不支持IP協(xié)議的終端,比如傳輸Modbus、Profinet或類似協(xié)議消息的遺留串行設備,設置將串行數(shù)據(jù)轉換為TCP/IP消息的邊界終端服務器,應能在數(shù)據(jù)傳輸前保護IP網(wǎng)絡安全。很多方法都能達成所需的安全,SSL和 IPSec VPN 是最主流的。
邊界防火墻保護遺留網(wǎng)絡不受惡意流量和中間人攻擊影響示意圖
3. 監(jiān)視網(wǎng)絡和終端
即使終端和網(wǎng)絡都已安全,仍需持續(xù)監(jiān)視網(wǎng)絡,查找影響安全穩(wěn)定狀態(tài)的任何改變。網(wǎng)絡和控制系統(tǒng)總在不斷發(fā)展變化中,新的威脅和漏洞持續(xù)涌現(xiàn)。網(wǎng)絡自身也在不斷膨脹,越來越多的通信設備融入網(wǎng)絡,隨之引入各種安全漏洞。有必要設置一套系統(tǒng)持續(xù)跟蹤網(wǎng)絡中所有資產(chǎn)(或者通信設備),近實時地發(fā)現(xiàn)可能是潛在威脅的新設備。這一資產(chǎn)發(fā)現(xiàn)系統(tǒng)應覆蓋IP和非IP通信,比如串行設備。
至少,確保符合行業(yè)特定標準(如 NERC CIP、NIST 800、IEC 62443 等)的審計機制,有助于保持控制系統(tǒng)的安全和可用性。