【专家博客】SCADA安全：多芬诺提供了打补丁之外的可选方案

       之前我写到为SCADA和ICS系统打补丁时的严重问题。当你认为你安装了所有必要的补丁时，实际上却错过了一些关键补丁。

       不幸的是，我认为“安装所有必要的补丁”这句话过于乐观了。在我对SCADA和ICS设施的调查中，我发现，即使已经安装了操作系统补丁，但应用程序补丁却没有安装。例如，很多HMI运行的Abode PDF Reader已经多年未打过补丁了。考虑到Adobe在过去三年里已经为读者发布了30多个关键安全补丁，这是一个巨大的安全漏洞。

       很明显安全漏洞不仅仅是操作系统的问题，也不仅仅是商业应用程序的问题。我们知道SCADA和ICS产品安全漏洞的披露数量在2011年大幅增加。2012年，所有迹象都表明情况会更糟糕。很多漏洞都不是在Windows电脑上，而是在PLC、DCS控制器、RTU、交换机、路由器甚至防火墙等关键硬件上！

       我个人认为，这一状况归咎于2010年6月Stuxnet的发现，以及它引起的媒体对SCADA产品的关注。SCADA和ICS产品的质量不会在2011年突然变差，漏洞一直都存在。

       SCADA/ICS公开披露不断增加的趋势给供应商带来了很多麻烦。研究人员认为我们的姐妹公司GarrettCom已经开始积极主动的处理这种情况。另外Advantech公司也在研究怎样不与你的客户群或ICS-CERT合作便可解决问题。

我们获取了补丁-现在该怎么办呢？

       即使是最积极响应的供应商，在发布补丁后，问题也不会消失。许多操作者都没能成功打补丁。我们经常听到最终用户反映对工业控制产品进行打补丁有多么困难。连续生产的需求、严格的安全/法规要求以及广泛分布的设备使得打补丁简直就是一场噩梦。和我们希望的不一样，SCADA和ICS的补丁更新是一项缓慢且零散的实践活动。

多芬诺安全策略-ICS/SCADA打补丁之外的另一种选择

       在Tofino公司早期，一家大型食品公司问我们，多芬诺能否帮他们解决他们面临的补丁问题。他们有一个采用Windows NT服务器的大型装置，因为一些关键软件只能在这个旧的操作系统上运行，所以服务器无法停用，但是微软公司已经停止了对NT的支持，所以没有可以提供的补丁。

       当时我们不能解决这个问题，但是这让我们开始思考。我们能用多芬诺代替直接为PLC或RTU打补丁吗？这花费了我们一段时间，但是现在我们可以回答YES。多芬诺安全策略是多芬诺工业安全解决方案1.7版本的新特性。它可以加载特殊规则集，这些特殊规则集可以用来检测和阻止黑客利用产品已知漏洞的企图。

如果一个公开披露的漏洞被利用，电力传输等关键基础设施就会被中断。多芬诺安全策略提供一种简单的方法来缓和这种漏洞。

安全配置文件是保护工业网络安全的一种简单的方法

       多芬诺安全策略是防火墙规则和协议定义的集合，旨在解决特定产品的特殊漏洞。它包括复杂的检查，这是传统的防火墙无法实现的。

       安全策略是遭受影响的供应商和多芬诺安全团队共同努力的结果，接下来会分发给控制系统用户。然后用户只需将新的安全策略导入到他们的多芬诺安全模块TSA里，并指定它们保护有漏洞的设备即可。

       接收一个易于部署的量身定制的规则包，且在不影响工厂运行的情况下即可完成安装，对于运营商来说受益颇丰。用户也可以在规则生效开始阻止通信前用Test模式来检测新规则。这样不必依赖PLC和交换机的补丁，就可以保护工业设备远离各种新威胁。

       例如，施耐德就使用多芬诺安全策略来防御Modicon PLC 产品系列中已公布的漏洞。这样一来，施耐德就可以为其用户提供一种可以立即生效的防御措施，并且该方案无需对自动化设备或网络配置做任何更改。

安全策略不能消解所有的漏洞

       安全策略不是解决所有问题的良方，理解这一点是很重要的。例如，涉及到加密会话（如HTTPS）的漏洞就不能用特殊防火墙规则来解决，因为防火墙通常不能解密并检测流量。但是对于我们了解到的多数PLC和DCS漏洞来说，多芬诺的这项技术都能很好地解决。

使安全变得简单

      我认为，为了提高工业安全，我们需要将与安全相关的流程和技术简单化。安全策略是多芬诺在这方面做的努力。其它方面包括使用纵深防御和重点保护关键资产安全最佳方案。