在饮用水领域,运营技术的安全程度如何?
近期,佛罗里达州一家水处理厂遭到入侵,进一步凸显了对工业控制系统进行强有力保护的必要性。以下是应该考虑到的要点。
上周五,在佛罗里达州奥尔兹马的一家净水厂,一位观察敏锐的技术人员注意到供水系统发生了化学变化。这名技术人员迅速作出反应,发现负责净化水的运营技术 (OT) 网络遭到远程接入,不明身份的入侵者将氢氧化钠(主要是碱液)的含量从百万分之 100 提高到了百万分之 11100 的潜在有害水平。如果没有这名技术人员的迅速反应,可能已经对依赖于这些安全供水作为饮用水源的皮尼拉斯县居民的生活产生了直接影响。
尽管在本案例中,对 OT 网络潜在灾难性的、未经授权的更改在对公众造成任何损害之前得以迅速发现并解决,但现实情况并非总是如此。更糟糕的是,近年来 OT 网络安全事件数量急剧上升。2020 年的全球疫情进一步加剧了安全挑战,迫使公司向隔离人员或其他受限制的人员“开放”其网络的远程访问权限。这些因素,加上 IT 和 OT 环境的融合以及 IoT 技术的迅速运用等科技革新,进一步扩大了 OT 攻击面和攻击载体,使工业环境成为了攻击的首要目标。
对于大部分工业企业而言,需要警惕安全问题已是老生常谈。随着新威胁的出现,威胁载体和安全预测也在不断发展。无论是否已经做好规划,IT 和 OT 运营的融合已势在必行。设置适当的保护措施将有助于确保企业安全运营,并为 OT 运营人员保护关键基础设施提供必要的工具。应当考虑哪些要素?
超越传统边界的可见性
时至近日,IT 安全和 OT 基础设施仍是两个截然不同的领域,因此洞察这两种环境的能力也大相径庭。正如最近的这起事件所证明的,现代攻击难以捉摸,飘忽不定,而且会跨越 IT 和 OT 的传统安全边界。如果希望实现对此类传播轨迹的追踪,那么势必要打破传统可见性参数之间的壁垒。能够对 IT 和 OT 获得统一的视图,并在两者之间搭建起互联的通道至关重要。这种整体视图有助于揭示出潜在的攻击载体和资产盲点,以避免其逃过传统安全策略的处理。
深度态势分析
无论是否融合 OT 环境,认识到 IT 和 OT 生命周期的显著差异都至关重要。IT 基础设施会定期更新,而 OT 基础设施往往会服役数年,甚至数十年。OT 基础设施有可能和工厂一样年代久远,这类情况屡见不鲜。这有可能导致资产完整清单及其维护和变更管理记录并非处于最新状态。因此有可能会丢失关键数据,包括型号、位置、固件版本、修补程序级别、底板详细信息等重要详情。如果不知道存在哪些资产,那么资产保护显然也无从谈起,因此,详细的 OT 基础设施清单随情况变化自动更新,对于保护工业运营至关重要。
降低网络安全风险
对于现代 OT 环境而言,网络威胁可能来自任何地方,也可能传播到任何地方。因此,利用尽可能多的功能和方法来发现和消除暴露出的风险至关重要。其中包括基于网络的检测:
- 利用允许名单和阻止名单功能策略
- 基于异常的检测,可以发现零日攻击和有针对性地攻击,并根据企业特有的基线行为进行预测
- 开源攻击数据库,如 Suricata,集中来自更庞大安全社区的威胁情报,汇集更多渠道寻找任何潜在威胁,让安全响应可以更上一层楼
由于大部分攻击目标是设备而不是网络,因此必须运用在设备层面上提供主动查询和安全保障的解决方案。由于 OT 设备协议千差万别,必须针对设备品牌和型号进行专门的安全和运行状况检查,包括设备语言。这种深度检查的重点不应在于扫描,而应在于精准的查询性质和频率。
2020 年公开了 18300 多个新漏洞,影响范围波及 OT 设备和传统 IT 资产。但实际上其中只有不到一半的漏洞存在可利用性。获得与环境相关漏洞的全面感知,以及可利用漏洞和重要资产的分类列表,将有助于优先处理风险评分最高的漏洞,从而大幅降低 Cyber Exposure 状况。
知悉何时发生更改
任何 OT 基础设施的核心都是可编程逻辑控制器,也称为 PLC,能够控制工业或制造过程。在净水应用中,PLC 能够协调一系列精细的过程,确保化学品按适当比例混合,保障饮用水安全。
针对工业控制系统 (ICS) 的攻击也包括对 PLC 进行未经授权的更改。配置控制能够创建快照或文件追踪,以突显出 PLC 更改前后的变化。通过定期截取快照,就可以获得这些更改、更改方式以及更改创建者等方面的可见性。配置控制可以提供完整的审计追踪,并在有人对 PLC 进行不尽如人意或未经授权的更改时,为 ICS 管理员回滚到“上一个经过确认的良好状态”提供情报、洞见和能力。
OT 环境几乎是所有重要基础设施和制造设施运行的核心。随着时间的推移,这些环境变得越加复杂和互联,与此同时,还要按照严格的标准生产和制造重要的商品和服务。保护这些关键环境免遭威胁需求的重要性,比起保护与之相连的 IT 基础设施有过之而无不及。获得对 OT 环境的可见性、安全保障和控制功能至关重要,这关乎着很多生命。
有关实施这些 OT 保护措施的更多信息,请参阅白皮书使用配置控制保护工业控制系统。
相关文章
How To Assess the Cybersecurity Preparedness of IT Service Providers and MSPs
December 13, 2022Improperly evaluating the cybersecurity capabilities of prospective IT service providers and managed service providers (MSPs) can put your organization's data and systems at risk. A new guide from CompTIA can help you ask the right questions.
Cybersecurity Snapshot: 6 Things That Matter Right Now
October 14, 2022Topics that are top of mind for the week ending Oct. 14 | DevOps team culture is key for supply chain security | SecOps gets more challenging as attack surface expands | Weak credentials hurt cloud security | Incident responders grapple with stress | Security spending grows | And much more!
A Holiday Story, Internet Edition: The Impact Of Assessing And Addressing Log4j Installations Proactively
December 30, 2021A look at our log4j data.
Cybersecurity Snapshot: Latest MITRE ATT&CK Update Offers Security Insights on GenAI, Identity, Cloud and CI/CD
April 26, 2024Check out what’s new in Version 15 of the MITRE ATT&CK knowledge base of adversary tactics, techniques and procedures. Plus, learn the latest details about the Change Healthcare breach, including the massive scope of the data exfiltration. In addition, why AI cyberthreats aren’t impacting CISOs’ budgets. And much more!
CVE-2024-20353, CVE-2024-20359: Frequently Asked Questions About ArcaneDoor
April 25, 2024Frequently asked questions about CVE-2024-20353 and CVE-2024-20359, two vulnerabilities associated with “ArcaneDoor,” the espionage-related campaign targeting Cisco Adaptive Security Appliances.
CVE-2024-4040: CrushFTP Virtual File System (VFS) Sandbox Escape Vulnerability Exploited
April 23, 2024A zero-day vulnerability in CrushFTP was exploited in the wild against multiple U.S. entities prior to fixed versions becoming available as the vendor recommends customers upgrade as soon as possible.
- Incident Response
- OT Security
- SCADA