关键础设施网络安全正本清原--以控制系统的“可靠、可用、安全”为目标的任务保障才是王道
2021-08-03
来源:关键基础设施安全应急响应中心
近日,国际知名自动化控制系统网络安全专家,网络安全、控制系统和系统安全方面的国际权威Joseph M. Weiss撰文(US critical infrastructure cyber security is backwards - it's the process that counts not the data)评述美国刚刚发布的工业控制系统网络安全行动倡议,认为美国政府和关键基础设施行业对ICS的网络安全已误入歧途,所有的做法都走上了基于IP网络的威胁检测的道路,偏离了工业控制系统本身可靠性、可用性和功能安全性的本真需求。Weiss建议采取过程传感器的监控技术,而以色列水务局最近确实采取了这种工程方法,批准了离线过程传感器监测技术,以确保该国的供水系统安全。与美国监控IT和OT网络用于网络安全(即网络异常检测)的现行做法不同,以色列的方法是基于监控过程传感器的电特性(过程异常检测),而不是像美国那样仅仅依靠网络监控。以下内容编译自Weiss的博文。
介绍
控制系统网络安全通俗的解释,就是保持灯亮着、水流动着等。这不仅仅是维护网络可用性的问题。如果控制系统受到网络事件的影响,无论是意外事件还是蓄意攻击,关键基础设施的可靠性、可用性和安全性都可能受到影响。工业、制造业、交通运输业和其他行业都依赖于基于运营技术(OT)互联网协议(IP)的网络来显著提高生产率。然而,在这些改进的同时,也出现了严重的网络漏洞。
关于关键基础设施网络安全的谬论是,假设需要IP网络来保持照明、供水等。80多年来,电网在没有IP网络的情况下仍然保持着运行。电力系统中的控制系统被设计成相互协调工作,因此与控制系统相关的设备可以在没有SCADA和SCADA网络的情况下工作。例如,2015年乌克兰电网遭到网络攻击后,乌克兰人在没有IP网络的情况下继续手动操作电网,因为IP网络不可信。然而,如果关键硬件受到损害或损坏,电网就无法运行。这包括监测和控制网格的过程传感器。
2021年7月28日,拜登总统发布了一项关于工业控制系统网络安全(ICS)倡议的声明,该倡议是联邦政府和关键基础设施行业之间的自愿合作努力,以促进技术和系统的部署,提供威胁可视性、攻击指标、检测和警告。迄今为止,这是一种针对网络威胁的基于网络的方法。另一方面,控制系统现场设备,如压力、液位、流量、温度和电压传感器(通常不被认为是OT的一部分)本质上是不安全的,通常不被设计用于连接IP网络。总统的ICS 行动倡议并没有解决这个问题。
背景
在“9·11”事件之前,网络安全只是设计和实施控制系统时必须考虑的风险之一,此外还有地震风险、环境风险、火灾风险、可靠性风险等。这些风险被视为工程考虑因素,管理它们被视为一项工程功能。这样做的目的是为了确保设计的工程基础能够得到满足,而不考虑风险。因此,工程组织负责,这包括网络安全。这是一种“自下而上”的过程异常检测方法,执行任务的利益保证。事实上,这是我在2000年帮助启动的电力研究所(EPRI)控制系统网络安全项目的基础,不幸的是,现在和其他项目一样,是关于保护网络安全的。
9/11之后的某个时候,网络安全变成了国家安全。然而,大约在同一时间,控制系统的网络安全转移到IT(现在的OT)网络监控组织,不再涉及工程。因此,控制系统网络安全从任务保障转向信息保障。把重点放在网络而不是过程上,也可以通过让CISO而不是工程/运营副总裁负责工程系统的网络安全来看到。因此,网络安全监控和缓解倾向于向IP网络层转移--网络异常检测倾向于取代过程异常检测。控制系统设备,如保护继电器,是根据进入设备硬件寄存器的指令工作的。这些指令参考其他指令和原始处理传感器输入数据来执行所需的命令。这意味着保护继电器等设备与传统的高层网络关系不大,而是依赖于测量的完整性。
美国政府和行业在远离传统的基于网络的方法方面的沉默可以从以下例子中看到:
2021年7月发布的网络安全能力成熟度模型2.0版(C2M2未解决过程传感器和过程异常检测问题)。如果不解决是什么让灯一直亮着、水一直流着,这个过程还能有多成熟呢?
电气行业的NERC关键基础设施保护(CIP)网络安全标准认为,过程传感器超出了网络安全考虑范围。
爱达荷国家实验室人员最近的播客支持网络方法(https://www.synack.com/were-in-synack-podcast/?utm_source=organic_social)。
在发现某国制造的大型变压器的硬件后门后,总统发布了13920号行政命令。从行政命令可以看出,它只专注于硬件和控制系统。然而,政府和业界的反应是把这种硬件攻击变成一个软件供应链问题。
使用传感器监测
过程传感器监测用于过程异常检测已有多年的历史。在20世纪70年代末,我使用它来识别核电厂的流动诱发振动问题,在20世纪90年代初,我管理EPRI核仪器仪表和诊断程序,以检测主要供应链常见的过程传感器问题。
传统的工程现场设备,如过程传感器、执行器、驱动器、定位器和分析仪,没有网络安全、认证或网络日志,也不容易升级为网络安全。然而,处理传感器将输入送到OT网络,OT网络监控供应商假设传感器输入是未被破坏的、经过认证的、正确的。然而,由于传感器输入没有经过验证,因此不清楚明显的传感器数据实际上是来自传感器而不是来自“欺骗”信号。接收传感器信号的驱动器、控制器等无法验证传感器信号的来源,因此自动接受传感器并作出相应的响应。这可能是某国人在大型变压器的硬件后门上使用的方法,在不侵入网络的情况下控制变压器。因此,有必要采取一种难以处理的网络监控方法,使其成为一种易于处理的工程方案。
现代机器学习能够对原始过程传感器信号进行模式检测,这在以前是不可能的。正是这种额外的能力,使得传感器监控能够识别进程异常,而不管原因是什么,并且独立于IP网络及其相关的网络漏洞。因此,以色列水务局最近采取了这种工程方法,批准了离线过程传感器监测技术,以确保该国的供水系统安全。与美国监控IT和OT网络用于网络安全(即网络异常检测)的普遍做法不同,以色列的方法是基于监控过程传感器的电特性(过程异常检测),而不是像美国那样仅仅依靠网络监控。
离线传感器监控的好处
为什么过程传感器方法如此有价值的一个类比是,考虑一辆以70英里/小时的速度行驶的汽车,其中一个轮胎瘪了。你把车停在路边,把漏气的轮胎换成小的备用轮胎。然后你可以继续驾驶汽车,尽管减速,直到你可以更换常规轮胎。现在考虑勒索软件,IT和OT网络提供了生产力。但是,如果IT网络和OT网络因为勒索软件或恶意软件而丢失,对IT恶意软件不敏感的传感器进行离线监控,即使效率降低,也可以继续运行,直到IP网络恢复。
具体来说,以色列做法的好处包括:
原始处理传感器信号提供有关系统物理操作的直接真相。
过程传感器监控系统不受IT或OT意外网络问题、网络攻击(包括勒索软件)或补丁管理疏忽导致的漏洞的影响、
作为过程异常检测,系统可以检测任何异常,而不仅仅是恶意的网络攻击,这意味着即使是看起来像设备故障的复杂攻击(如Stuxnet)也可以被识别出来。
我积累了一个数据库,其中记录了近1200起控制系统网络事件,这些事件导致1500多人死亡,直接损失超过900亿美元。然而,通过网络监控,绝大多数都没有被认定与网络有关。过程传感器监测将能够识别许多这些事件作为过程异常。
通过实时监测,该系统本质上是一个传感器健康监测系统,因此也可以作为一个预测性维护系统,可用于延长维护间隔。
过程传感器监控系统检测到基于windows的OT监控系统无法识别的设备影响。
监控传感器需要负责该过程的工程师的参与。
监控进程传感器提供认证,否则认证可能就不存在。
过程传感器监控系统适用于任何关键基础设施,已安装在水、电力、化学品和建筑控制中。
过程传感器的监控适用于所有基础设施,因为它们都使用过程传感。这种解决多个行业的方法符合总统ICS计划的意图。例如,新的TSA网络安全要求没有解决潜在的管道故障,因为它们是基于网络的,没有解决进程传感器。截至2021年7月27日,美国最重要的管道之一遭到严重勒索软件攻击,美国运输安全管理局(TSA)采取紧急措施后,关键管道运营商报告了220多起网络安全事件。但是,我不知道最近有管道断裂或中断的报道,这意味着220起网络安全事件不是影响管道运行的IT事件。然而,两起事故造成了人员死亡和建筑破坏,美国运输安全管理局的网络安全指导方针并没有解决这两起与网络有关的管道破裂事故。
传感器监控可以应用于特定的供应链情况,如某国制造的变压器的硬件后门,以确保进入变压器设备的传感输入不会被来自其他地方的“欺骗”信号,因为硬件后门绕过了所有的网络安全保护。
鉴于最近JBS肉类加工厂关闭,传感器监测方法可以帮助食品工业证明继续运营是合理的,因为工厂过程仍在继续。
网络安全的局限性
美国方法的缺点包括:
无论是IT还是OT网络都不能提供过程的实际情况,并假定传感器输入是未受损害的、经过验证的和正确的。
网络监控是一个永无休止的“打地鼠”问题(例如,防御者想出了一个解决方案,攻击者就会想出了一个旁路)。
即使是最好的网络网络安全也会被击败。
OT网络既容易受到复杂网络漏洞的影响,也容易受到一般网络漏洞的影响。
OT网络安全组织倾向于排除负责控制系统设计和运行的工程师。
总结
由于对关键基础设施网络的攻击永无止境,而且往往取得成功,因此需要有一种更好的方法来保护控制系统及其监视和控制的过程。2021年7月28日,总统发布了工业控制系统网络安全(ICS)倡议,以促进提供威胁可视性、攻击指示、检测和警告的技术和系统的部署。迄今为止,这是一种针对网络威胁的基于网络的方法。然而,通过保护网络来保护关键基础设施的现有方法并不奏效。以色列水务局认识到这一需要,并正在监测过程传感器的电特性,因为原始过程传感器信号是真实的,不容易受到网络攻击。希望美国政府、保险公司、信用评级机构和其他机构能够认识到真正需要得到保障的是保证照明和供水的现场控制系统设备。