做了这么多年的兄弟,才晓得我们不一样!请不要将工控体系中的IT(信息手艺)和OT(运营手艺)的平安庇护殽杂! | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

做了这么多年的兄弟,才晓得我们不一样!请不要将工控体系中的IT(信息手艺)和OT(运营手艺)的平安庇护殽杂!

申博_安全防护 申博 94次浏览 已收录 0个评论

在产业掌握体系(ICS)的平安治理中,平安治理一般被分为3大块:物理装备的平安、IT平安和运营平安(工场平安和体系完整性)。

现在在产业掌握体系(ICS)的平安治理中,信息手艺(IT)平安测试变得愈来愈自动化,只管我们依然远远不能以这类自动化体式格局完成悉数的平安事变,但这个趋向已不可避免。不过这也带来了一个题目,就是平安治理也来越庞杂。比方,许多专有名词也被发清楚明了出来,SCADA,ICS,OT,DCS ……这一大堆名词,每每就轻易被搞混,而这也让设备运营者更难以发明并响应平安事宜。

而且,当代运营每每横跨庞杂IT(信息手艺)和OT(运用手艺)基本设备,一般涵盖不计其数的装备,且这些装备愈来愈多地经由历程产业物联网(IIoT)互联,这就给产业环境平安带来了新的应战:让产业掌握体系平安要挟更难以检测、观察和修复。

在现有一些产业操纵中,二者却常被分裂,被以为IT平安由收集运维团队担任,OT平安则由操纵员或营业员担任。而面向OT体系的平安要挟更是常被无视掉。这不仅由于OT中的平安顺序和手艺运用与IT体系天差地别,还由于每一个垂直行业营业特性存在较多差别。可实际上OT体系面对的题目与IT体系一样严峻。

以下就是产业掌握体系中常说起的重要术语:

· IT:信息手艺,这是用于存储,检索或传输信息的硬件和软件;

· OT:运营手艺,这是看管或触发物理装备变化的硬件和软件,将在本文中用于指代ICS体系的组件装备;

· WAN:广域网;这是一个重要用于盘算机收集的收集,它扩大到很大的地舆地区;

· CNI:症结的国度基本设备,体系(包含IT和OT)和对社会功用至关重要的资产;

· ICS:产业掌握体系,这些是掌握庞杂且一般是风险的物理历程的盘算机体系,可以细分为两个差别的种别——监督掌握和数据收集(SCADA)体系和分布式掌握体系(DCS);

· SCADA:监控和数据收集体系,这些是逾越广域网(WAN)的ICS范例,一般是最常用于(毛病地)援用一切范例的ICS的术语;

· DCS:分布式掌握体系,这些是不触及WAN的ICS范例;

· HMI:人机界面,这是一个用户界面,使人们可以与装备或体系举行交互,这是一个最常用于ICS接口的术语;

· PLC:可编程逻辑掌握器,这些是OT中运用的小型盘算机,它运用高度专业化的操纵体系来实时处置惩罚事宜;

· IIoT:产业物联网,这个术语一般用于指将OT衔接到互联网的趋向;

现在,一切ICS体系中触及的OT一般都很老,而且传统的基于IT的收集平安要领并不能保证OT的平安。

因而,人们愈来愈关注庇护这些OT体系,但这一般是经由历程简朴地调解或从新运用基于IT体系的平安测试东西、手艺和要领。本文将高屋建瓴的讨论这类要领所存在的题目以及须要举行的变动。

OT平安事宜简史

做了这么多年的兄弟,才晓得我们不一样!请不要将工控体系中的IT(信息手艺)和OT(运营手艺)的平安庇护殽杂!

影响OT(重要在ICS体系中)的平安事宜,无论是有意的照样不测的,都可以会发生发火,不过频次不是很高。不过一旦发生发火,企业的丧失就相当大。比方,卡巴斯基实验室的白皮书“2017年产业收集平安状况”将企业的均匀累计本钱定为347603美圆(265881英镑),所含用度包含事宜的效果和所需的补救步伐,凌驾一半的受访企业认可在过去十二个月内至少发生发火过一同进击事宜。相比之下,在2018年的后续观察报告中,则只需不到一半的介入观察的公司认可发生发火过平安变乱,这表明OT体系的平安性正在进步。但是,丧失本钱依然很高,这里的本钱不仅仅是财务本钱。

本文中所指的平安事宜包含以下3大类:

1.外部进击者有意采纳的躲避平安步伐或许破坏体系一般运转的行为;

2.员工有意举行的歹意行为,其目的是躲避平安步伐或破坏体系的一般运转;

3.由员工的不测行为所形成的破坏体系一般运转的事宜;

值得注意的是,现在很难肯定ICS体系遭受进击的正确数字。由于现在只需30%的公司被强迫请求向羁系机构报告平安事宜,不过跟着GDPR律例的公布,这个数字会有所提拔。纵然数据有限,我们也可以列出一些有严峻影响的平安事宜:

2004年的Sterigenics国际公司医用品灭菌装配环氧乙烷爆炸变乱,变乱发生发火时,保护职员经由历程输入暗码跳过了盘算机掌握的保证步伐,致使灭菌柜门过早翻开,形成含有环氧乙烷(EthyleneOxide, EO)的爆炸性混合物经由历程灭菌柜透风体系被排放到催化氧化器(内有明火)中,环氧乙烷立即被点燃,火焰经由历程透风导管迅速回窜到灭菌柜中,形成约22.7kg环氧乙烷被点燃,并发生发火猛烈爆炸。预先统计,形成凌驾2700万美圆的财产丧失。

2010年的伊朗“震网(Stuxnet)”病毒事宜,2010年9月,伊朗称布什尔核电站部份员工电脑感染了一种名为“震网”的超等电脑蠕虫病毒。这类病毒可以悄无声息地隐蔽和流传,并对特定的西门子产业电脑举行破坏。

该病毒旨在针对特定的ICS体系并破坏PLC, “震网”一开始只是静静地隐蔽在一般的个人电脑上,经由历程USB接口无声无息地感染着一个个U盘,直到某一天某个中毒的U盘被插到绝密的、与互联网物理断绝的核工场内部电脑上,才蓦地发生发火,疾速感染全部局域网。

“震网”运用了之前未被发明的微软Windows软件破绽即“0 day”破绽,其破坏力令反病毒研究者都蔚为大观。据《纽约时报》表露,“震网”病毒2008年由美国和以色列情报机构协作研制,2010年正式投放到了伊朗。致使了2010年伊朗纳坦兹核基地的约莫8000台离心机里有1000台发生发火毛病,国际原子能机构称,伊朗在2010年11月中旬暂停了铀浓缩运动。

2014年德国的一个钢铁厂,遭受到高等持续性要挟(APT)进击。进击者运用鱼叉式垂纶邮件和社会工程手腕,取得钢厂办公收集的接见权。然后应用这个收集,想法进入到钢铁厂的临盆收集。进击者的行为致使工控体系的掌握组件和全部临盆线被迫住手运转,由于不是一般的封闭炼钢炉,从而给钢厂带来了严峻破坏。有平安研究职员示意,进击者能够经由历程人机交互界面或其他掌握体系,直接衔接到工场形成的破坏。

2015年的乌克兰的停电事宜,对乌克兰SCADA体系的进击致使约莫23万人断电数小时。

2017年的Wannacry事宜,虽然在此事宜中没有关于ICS体系影响的报告宣布,但由于与OT体系衔接的Windows体系不兼容,一些ICS体系好像也发生发火了停机。

上述事宜让我们相识了OT体系遭受进击时的严峻效果,也预示着对OT体系的庇护要比对别的体系的庇护更重要。

但是,IT与OT实在是不一样。

IT与OT从本质上来讲,就是两个东西!

做了这么多年的兄弟,才晓得我们不一样!请不要将工控体系中的IT(信息手艺)和OT(运营手艺)的平安庇护殽杂!

IT环境是动态的,比方说,IT体系须要常常修复、晋级、替代。IT员工很关注数据机密性、完整性和可用性(这三性也称为CIA)。他们很相识最新IT趋向和要挟。但是,IT职员每每不熟悉OT收集或产业掌握体系(ICS),他们中险些没人会涉足工场环境。

与之相反,OT员工在以稳固性、平安性和牢靠性为重的运营环境事情。他们的事情触及保护庞杂敏感环境的稳固,比方炼油厂、化工场和水厂这类充溢几十年前的遗留体系,且体系几十年间未做更新的环境。他们的规语是:“只需能用,就别动它。”

IT和OT采纳差别的手艺

卡巴斯基:2019Q2高级持续性威胁(APT)趋势报告

概述 近两年来,卡巴斯基的全球研究与分析团队(GReAT)一直在发布关于高级持续性威胁(APT)活动的季度报告。该报告主要基于我们的威胁情报研究,提供了我们内部APT报告的代表性结论,并将我们认为大家应该关注的重大事件和发现公之于众。 这是我们最新的一期报告,重点介绍我们在2019年第二季度观察到的高级持续性威胁活动。 主要发现 4月,我们发布了关于TajMahal的报告,这是一个此前从未见过的APT框架,在过去五年之中一直活跃。具体而言,TajMahal是一个高度复杂的间谍软件框架,包括后门、加载工具、协调工具、C2通信工具、音频录制工具、键盘记录工具、屏幕截取工具和网络摄像头录制工具。我们发现,其加密的虚拟

基本上,IT职员惯于运用最新最棒的硬件和软件,包含防护其收集的最好平安手艺。他们倾向于将大部份时候花在修复、晋级和替代体系上。

同时,OT员工则惯于与遗留手艺为伍,个中许多以至早于互联网时期降生。这些体系每每采纳专用收集协定,缺少身份验证或加密之类基本平安掌握步伐,事宜日记或审计跟踪也是没有的。因而,OT环境中的事宜检测及响应,大大差别于IT环境中的。

IT与OT到底有啥差别

检察IT体系平安请求的一种罕见要领是认可它是以数据为中间的,症结请求是正在处置惩罚的数据的机密性、完整性和可用性(C、I和A)。

除了这些症结的基本概念以外,Byres,Lissimore和Kube的演示文稿还从平安测试角度列出了IT和OT之间的差别:

1.差别的机能请求;

2.差别的牢靠性请求;

3.“异常”操纵体系(OS)和运用顺序;

4.差别的平安架构;

5.差别的风险治理目的;

IT和OT体系优先级之间的这类差别是IT平安测试要领、罕见发明和罕见发起不能简朴地在OT空间中举行调解和重用的中心缘由。这是在产品评价范畴以外的全部收集行业缺少对OT的明白的效果。 IT与OT之间日趋严密的联络致使了一种看法,即OT是IT的一种扩大,但实际并非如此。另外,只管近来涌现了进步此类体系平安性的趋向,许多IT平安专业职员很少或基本没有打仗过OT体系。

为了进一步申明传统IT平安步伐和测试要领的题目的庞杂性,让我们看一下IT平安测试的一些例子,并斟酌它们对OT体系的影响。

收集扫描

运用NMAP和Nessus等东西举行自动扫描是IT体系基本架构测试历程当中的一项罕见运动,一般包含发送数据包来辨认逻辑收集规划或搜检单个盘算机是不是存在已知破绽。偶然这类扫描能够会被限定,由于它有能够致使不测行为,比方致使盘算机封闭,但这在IT中异常少见。

相比之下,此类运动更有能够在OT中致使意想不到的效果,而且是越发蹩脚的效果。最罕见的效果是被扫描的装备能够会因某些不测的输入而封闭或不作出响应。此类运动能够会致使不测的机器回响反映,比方在制作工场中倏忽挪动机器臂对四周机器形成物理破坏,或对在该地区事情的职员形成危险。

打补丁

打补丁是我们正在举行平安检察的IT体系上最罕见的修复手腕之一,也是平安行业的热门话题。操纵体系和装置在其上的运用顺序常常成为进击者和平安专家的目的,进击者寻觅进入体系的要领,而平安专家则寻觅须要修复的破绽。当一个破绽被发明并报告后,操纵体系或软件的开发者一般会为该破绽修补,然后须要将其装置到受影响的盘算机上,以确保其平安。

人们普遍以为,体系应该在短时候内装置平安补丁和更新,而且只应运用供应商支撑的操纵体系。

纵然在IT体系中,这也不像听起来那末简朴,由于补丁能够会致使差别软件相互交互的题目。因而,具有更大收集的构造倾向于先在单个装备上装置补丁,以搜检是不是没有题目,然后再将它们推行到收集的其他部份。

这些题目在OT收集中越发庞杂,在OT收集中,装备一般会根据设想一连运转数年。这意味着:

1.它们能够依赖于不再吸收平安更新但没法晋级的旧软件版本;

2.它们保护的窗口限期很短;

3.由致使不测行为的补丁致使的停机本钱太大;

因而,打补丁并非大多数ICS体系的优先斟酌要素,由于它能够会影响我们的平安性和牢靠性的中心准绳。

做了这么多年的兄弟,才晓得我们不一样!请不要将工控体系中的IT(信息手艺)和OT(运营手艺)的平安庇护殽杂!

加密和认证

我们在每次IT平安评价中搜检的另一种平安机制是运用加密,假如没有加密,任何数据都有能够被监控你的收集的人读取或修正。它用于庇护金融交易、登录页面、电子邮件等,以至于不运用加密的体系被视为高风险目的。而加密又每每与身份验证密切相关,身份验证是确保你是唯一可以接见数据的人的机制。

但是,适用于IT中的平安机制并不意味着适用于OT。起首,我们已指出,这些体系上的数据机密性并非优先事项,只管它能够适用于衔接的IT体系。只管运用加密和身份验证也可以在肯定程度上抵抗歹意进击,但它也会斲丧盘算资本,这能够会致使体系涌现耽误回响反映,从而严峻影响牢靠性和平安性。设想一下发电站中的回响反映堆过热,假如发送读数有耽误,那末冷却或封闭机制的启动会有耽误,这能够会致使物理破坏或对回响反映堆形成破坏。

另外,OT体系中的认证机制在某种程度上也被员工视为障碍平安治理的绊脚石,员工在响应紧急警报时,不愿望由于必需记着并输入庞杂的暗码而延宕时候,由于他们试图诊断题目并采纳响应的行为。实际上,如许的平安步伐(认证机制)更有能够致使员工同享登录细节,并将其写在掌握台的方便贴上,以节省时候。而这,有完整与设置暗码的初中相违犯。

这能够比进击者接见体系的效果更严峻,因而,从平安的角度来看,接收进击者的一次入侵效果能够比障碍担任保护体系平安和牢靠性的效果更小。

总结

这篇文章重要讲的是,平常在IT中屡见不鲜的那些平安步伐并不适用于ICS中运用的OT体系。这就请求我们转化平安防护的头脑形式,不再将OT平安视为IT平安的一部份,而是将其视为具有差别平安请求的零丁范例。

这意味着在举行OT平安设防的头脑层面上,平安专业职员须要至少在两个差别的范畴举行深思:

1.OT体系中的平安测试要领:这意味着周全转变当前搜检用于评价OT体系平安状况的要领、东西和手艺,而不是简朴地调解现有的IT平安测试要领。

2.分辨平安破绽以及对应的解决方案,现在,这些破绽重要都是基于IT体系的。在OT体系中,平安性和牢靠性准绳须要成为辨认破绽的中心准绳。

除了上面提到的,还须要斟酌在OT体系平安检察的每一个实际环境中进击者运用的配置文件,它们与典范的IT体系差别。

评价OT体系的平安专业职员须要斟酌体系是不是对平安至关重要,假如测试致使体系中缀(不仅仅是财务本钱,另有物理破坏,对环境的影响和要挟),最蹩脚的状况是什么?体系的平安保证,以及体系最实际的要挟是什么?

因而,每一个OT体系的评价都应该是量身定制的,因而任何OT测试要领都应该充足天真,以顺应每一个奇特的体系。

愿望你读完这篇文章后,明白为何IT和OT平安须要被零丁对待,以及为何OT平安测试与IT平安测试差别。

原文地点: https://www.4hou.com/web/18446.html


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明做了这么多年的兄弟,才晓得我们不一样!请不要将工控体系中的IT(信息手艺)和OT(运营手艺)的平安庇护殽杂!
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址