【专家博客】保护SCADA系统远离Flame和Stuxnet等APT（二）

       Paul Dorey教授最近介绍了一篇IT领域在管理高级持续威胁方面得到的七个重要经验的文章。在今天的博客中，我将讨论#2，#3，#4经验，以及怎样把这些经验应用到ICS和SCADA安全。

       我在以前的博客里讨论过APT，所以如果你不熟悉这个概念（或者需要回顾一下），请参考该系列的第一部分。如果你想了解APT在现实中的案例，尤其是影响能源和化工行业的实例，请浏览我之前的一些关于Nitro, Night Dragon和Duqu的博客。

能源公司成为Night Dragon和Duqu等近期著名的高级持续威胁的目标。

       Dorey教授的谈话讨论了一些最佳公司在应对APT时采用的七种高级方法。#1高级方法旨在把保护力度集中在公司最重要的资产上，而不是用鸟枪式方法试图公平地保护所有部分。

#2经验：注重检测，而不是保护

       #2高级方法是注重“控制焦点”。如果你要花钱进行安全控制，什么样的控制最有效呢？Dorey指出，与防火墙，数据二极管和杀毒软件等预防性控制相比，检测控制（如检测攻击的技术和程序）对现代网络威胁更有效。

       现在你可能认为从事设计并销售ICS/SCADA防火墙的人（好比我）会反对Dorey教授的方法。我不会。事实上，回顾了无数的控制系统和针对控制系统的攻击后，工业自动化领域对检测其控制网络上的任何异常现象都感到恐惧。当承包商将未授权的笔记本电脑连接到他们的系统上时，很少有公司能发现， 更别提检测复杂隐蔽的攻击了。

       旧的安全防护方法必须停止了，SCADA和ICS工程师需要更好地处理在控制网络上传输的通讯类型。为解决这一问题，去年多芬诺安全公司的重点就是将强大的报告技术植入多芬诺生产线。例如，如果网络中接入了意外设备，安全资产管理LSM就能检测到并生成报告。

       同样，多芬诺针对Modbus和OPC协议采用的深度数据包检测（DPI）模块能向第三方安全事故和事件检测（SIEM）系统提供详细的报告。所以如果只读远程操作站突然开始尝试PLC编程，你能收到即时报警提示有故障正在侵入系统。期待不久后看到更多来自多芬诺团队的检测技术。我们坚信这一点。

应对高级持续威胁的七种高级方法。来自Dorey教授的演讲“高级持续威胁”。

#3经验：将视野从以边界为基础转换到以数据为中心上来

       成功遏制APT的第三个经验就是将安全防护重点从控制边界转换到控制特定的数据集合上来，无论是时间上还是空间上。例如，如果金融公司能确保对客户的信用卡记录一直都进行了加密（并且解密这些记录的密钥未被泄露），那么丢失保存这些记录的笔记本电脑就不那么严重了。

       或者举Bradley Manning的例子，Bradley Manning是一名年轻的美国陆军列兵，将数以千计的机密文件泄露给了维基解密。如果这些敏感文件一直都经过了加密，并且Bradley只能用受控程序来查看它们，那么他能分享如此多文件的能力就会受到限制。相反，显然美国陆军的安全策略是不加密文件，（或者采用了一种很容易就能将文件转换成未加密格式的加密方式），希望这些文件从不离开美军基地周边。显然这种“以边界为重点”的策略非常失败的。

从2003年戴维斯-贝斯核电站得到的经验得知，只集中防护边界的防御是非常薄弱的防御。

       乍看之下，把这一经验应用到ICS和SCADA系统上看起来很困难，因为对控制系统而言数据保密并不是很重要。但是用“工艺”和“资产”来代替“数据”的话，这一点就有意义了。“以工艺为中心”或者“以资产为中心”来管理安全的方法，意味着无论周围发生什么都能确保特定的高价值工艺流程能继续有效地运行。遵循IEC61508和IEC61511等标准的安全领域使用这类方法已经有很长一段时间了。

#4经验：为什么需要记录？合规 VS威胁检测

       今天的博客要讨论的最后一个高级方法经验是我们记录安全事件的原因。我访问过的很多网站，尤其是试图通过NERC-CIP审计的网站，仅记录了合规原因，就产生大量的记录。但是如果有人曾经费力地分析这些记录，一定是在发生了非常糟糕的事情之后。那时候就太晚了。 

       有效的威胁检测不代表每天都需要浏览成千上万条的记录。它意味着优化你收集到的信息，显示出危险的异常情况，而不是被噪声掩埋。

#1到#4经验 — 一种现实的统一安全策略

       回顾一下#1经验—“把防护集中在最重要的资产上”，并且把它与今天讨论的三个经验做对比，你能发现这四个经验都和集中工作重点的概念密切相关。例如，只有把控制集中于检测，把覆盖面集中于相关方面时，才有可能实现有效的威胁检测。那种试图保护边界范围内所有事物的分散式的安全策略太复杂也太昂贵。

       所以仔细想想在SCADA或ICS系统中你希望真正保护的工艺和资产，并就此开始进行重点保护。想想什么用于指示系统中的故障，并进行重点检测。将安全策略从分散式转换到集中式，从而节省时间，金钱以及精力。

最重要的是，你因此有可能保护你的公司不受到下一波APT的影响。