管道运营 2021-1 号 DHS-TSA 指令的启示

鉴于近期网络安全威胁频发，美国国土安全部针对石油和天然气运营发布重要指示。 以下是阻断 OT 基础设施中攻击路径的三种可行方式。 

石油和天然气工业中有多种不同的操作高度依赖自动化。 勘探、开采、提炼、混合、协作并最终供应石油和天然气所需的一系列协同操作，都依赖于运营技术 (OT) 基础设施。

近期发生的重要基础设施 OT 环境中断事件，包括 Colonial Pipeline 事件，均凸显出重要基础设施极易受到网络安全漏洞、威胁和潜在中断的影响。 

针对石油和天然气领域的其他攻击包括：

• 2020 年 2 月 - 一家天然气工厂遭受网络攻击，IT 和 OT 网络同时被加密，导致人机界面 (HMI)、数据 Historian 和轮询服务器的访问权限遭锁定。 管道被迫关闭两天。
• 2018 年 12 月 - 意大利石油和天然气工业承包商 Saipem（萨伊博姆）成为网络攻击受害者，其位于中东、印度、苏格兰和意大利的服务器均遭攻击。
• 2018 年 4 月 - 一场针对共享数据网络的网络攻击，迫使美国四家天然气管道运营商暂时关闭与客户间的计算机通信。
• 2017 年 8 月 - Xenotime 黑客组织攻击沙特阿拉伯的一家石油和天然气工厂，致使其停运。

DHS- TSA 2021-1 号管道指令

2021 年 5 月 28 日， 美国国土安全部 (DHS) 和美国运输安全管理局 (TSA) 联合发布了专门针对管道运营的 2021-1 号安全指令。尽管之前已经出台多项针对石油和天然气行业的其他标准（请参见下方所列内容），但发布该指令是为了应对接连不断地针对美国管道运营的安全威胁。这代表保护重要基础设施环境且杜绝风险这项工作出现了重要转折点。

针对管道运营的 2021-1 号指令在三大重要领域为管道运营商提供了指导：

1. 管道运营所有人和运营商必须要向美国网络安全和基础设施安全局 (CISA) 报告安全事件。

2. 必须要指派一名网络安全协调员，可以全天候协调安全实践，满足指令所列的特定要求，并在发生事件时，做出应对。

3. 石油和天然气设施必须依据美国运输安全管理局 (TSA) 的 2018 年管理安全指南，评估自身已有的网络安全实践和活动来应对网络安全风险，确定已有网络安全实践与指南所列实践的差距，并制定出弥合这些差距的修复计划。

石油和天然气行业相关的重要标准

美国国家标准与技术研究院 (NIST) Cybersecurity Framework (CSF)：所有行业领域企业一致采用的重要框架。以 NIST CSF 作为标准来制定企业程序已逐渐成为天然气和石油公司的趋势。


国际电工委员会 (IEC) 62443。 工业控制系统 (ICS) 安全系列标准。 广泛采用于天然气和石油行业的生产部门。 适用于所有类型的天然气和石油 ICS。


API 标准 1164： NIST CSF 和 IEC 62443 未涵盖的管道特有内容。


能源部门网络安全能力成熟度模型：一套自发性流程，采用行业公认的最佳实践来度量企业网络安全能力成熟度并加强运营。

国际标准化组织 (ISO) 27000：首要标准提供了信息安全管理系统 (ISMS) 所需满足的要求。

降低风险的三大 OT 安全最佳实践

尽管 DHS-TSA 2021-1 指令着重强调了与石油和天然气运营商相关的重要需求，但对众多企业而言，如何将指令的这三大方面付诸实践才是最大难点：

• 确定风险； 

• 消除安全差距；以及

• 在发生事件时予以缓解。 


我们认为企业当务之急是要彻底部署以下三大 OT 安全最佳实践，从而保护管道运营并维持其弹性。

1. 获得可见性和深入见解。石油和天然气行业需要跨整个基础设施进行同步运营，并管理广大形形色色用户的凭据访问权限。Active Directory (AD) 在这一方面起到重要作用，以 Colonial Pipeline 为例，勒索软件就是以 AD 作为攻击载体并加以利用，实现了攻击。可以利用 AD 的人员可能包括经授权的员工、合作伙伴、代理和分包商。访问权限的要求范畴可能不只包括实际负责的工厂，还有全球的非现场和远程钻探点或管道。因此，从主工厂到所有地点的访问权限和配置控制都有必要进行维护，而无论远程或分布程度如何。OT 安全解决方案必须始终具备覆盖所有地点相关个人设备的智能，包括但不限于可编程逻辑控制器 (PLC)、HMI 控制器、工程站、联网设备、网关和任何其他对日常网络运营至关重要的设备。深入了解并掌握所有类型的设备、修补程序级别、固件版本以及背板信息势在必行。这一点对于未在网络上正常通信的休眠设备而言也至关重要。
2. 发现威胁。石油和天然气提供商的 OT 运营曾经各自为政，但如今都已连接到 IT，可以随时随地接入。这种融合所创造出的环境影响了石油勘探、开采、提炼和交付的完整性。物理隔离的消除使得恶意攻击者能从 IT 或 OT 端渗透到运营环境的环节中。要识别出各种可疑行为，必须利用三个检测引擎：

   • 除了本就不应相互通信的设备外，流量映射和流量可视化可以识别外部来源的通信企图并提出警告。
   • 异常检测可用于精确定位非正常网络操作的流量模式。
   • 基于特征码的检测，能够识别出攻击者使用过的已知威胁。
3. 更快修复漏洞。多数石油和天然气环境经常包含一些 IT 环境中不常见的各种老旧设备。由于每种设备类型的修补程序级别不同，维护实时更新的补丁管理程序可谓困难重重。由于石油和天然气环境的维护窗口期频率或时长有限，已知的漏洞可能迟迟未得到修复。维持对所有设备状态和特性的深入了解至关重要。这就包括在设备的特定条件和具有相关漏洞利用方式的可用漏洞知识库之间进行精确匹配。由于石油和天然气环境的动态特性，这部分知识务必要与新发现的漏洞保持同步。以 Tenable 的漏洞优先级评级 (VPR) 为例，可以根据各种因素，如通用漏洞评分系统 (CVSS) 得分、漏洞严重性和可利用性等项目，提供严重程度由高到低的待处理漏洞分类列表。

总结

OT 网络安全现已被广泛认为是确保社会依赖型基础设施的可靠、高效且安全的核心要素。 企业需要拥有对所有运营资产的全面可见性，保障这些资产的安全，并全面掌控它们。 无论是考虑到遵循已有标准，还是针对此项刚刚发布的 DHS 指令，是否可以运用同类产品中最为先进的 OT 安全方法从未如此重要，而这也可以彰显出企业对社会的关怀。瞬息万变的威胁形势需要对网络和设备层级拥有实时的深入态势感知。 态势感知应定期更新，并与新发现的漏洞、威胁和差距保持同步。 必须实时获取所有偏差并记录在案。 完整的书面记录、获取环境的所有更改至关重要。 捕获并保留这些详细信息有助于加快事件响应速度，突出显示新发现的漏洞并确定其优先级，以及向内部和必要的合规组织展示主动合规性。

了解详情：

• 阅读博文：Colonial Pipeline 勒索软件攻击： 如何降低 OT 环境中的风险
• 访问解决方案页面：保障石油和天然气运营的工业网络安全 

• 下载白皮书：重要基础设施网络安全