【专家博客】保护SCADA系统远离Flame和Stuxnet等APT(一)

供稿:青岛多芬诺信息安全技术有限公司

  • 关键词:SCADA安全,Flame,Stuxnet,APT

APT是什么?是否仅仅只是一种市场炒作?

       首先,说明一些背景知识。高级持续威胁APT是被精心设计的针对焦点目标的攻击。Ricard Bejtlich在他的博客中说得很好:

  • 高级的意思是说对手即可以利用公开的已知漏洞,也可以研究新的漏洞,根据目标姿态制造一些用户漏洞。
  • 持续的意思是说为了完成任务,对手都被正式分配了工作。他们不是机会主义入侵者。像情报单位一样,他们能接受主人的指示和工作来为其服务。持续并不一定是说他们需要不断地在受害者的计算机上执行恶意代码。相反,他们只需维持执行目标所需要的互动水平即可。
  • 威胁的意思是说对手并非只是一些盲目的代码。这一点很重要。一些人参照恶意软件来理解 “威胁”这个术语。但是如果不牵涉到人的话(那些控制受害者,读取偷窃的数据等的人),大多数的恶意软件人们都无需担心。

       相反,这里的对手是一种威胁,原因在于他们是有组织,有目的,有资助的。一些人称之为包含了专业“团队”(负责各种任务)的多个“小组”。

       现在有些人说APT仅仅是市场炒作而已,但是Paul提供了一些案例,表明APT是非常真实的威胁。Flame同样也是一个很好的APT的案例。此外,Stuxnet、Nitro、Night Dragon以及Duqu也都是。这些攻击我在之前的白皮书和博客中都讨论过。认为APT是市场炒作,希望远离APT只是在逃避现实而已。

       Paul接着讨论了一些最佳公司在应对APT时采用的七种高级方法。图1简要概括了这七种方法。在今天的博客中我将讨论其中第一点。

图1:应对高级持续威胁的7种高级方法。来自Paul Dorey的演讲“高级持续威胁”

#1经验:注重“王冠珠宝”

       #1高级方法是把防护工作集中在最重要的资产上。理想情况是完美地并始终保护好一切。不幸的是为了实现完美和统一的安全保障,现代系统,无论是IT系统还是控制系统,已经发展得越来越复杂。

       所以聪明的IT团队应将其安全资源集中用于保护那些真正关系到公司存亡的资产。不应仅仅只依靠边界防火墙来保护公司远离各种恶意坏分子。相反,他们应采用额外的分层的防御来直接确保关键资产例如包含财政或知识产权等敏感信息的服务器的安全。

       采用这种方法进行防护有充足的理由。很明显的一点在于其遵循纵深防御策略,而不是堡垒策略。其次,该方法也可以让公司可以将更多的资金和工作重心集中在一些核心资产上。例如,能更容易地每天都检查两台服务器的审计日志,而不是两百台服务器的日志都要进行检查。对于过度操劳的保安人员来说,高度集中的任务能更容易执行。

       第三个原因就是这些关键资产同样也是恶意坏分子关注的焦点。黑客和蠕虫病毒会寻求一些未设防的计算机,但大多数情况下,这些受害者只是真正目标的垫脚石而已。把防御工作的重点放在对手关注的东西上是很好的安全意识。

在ICS和SCADA领域中的重点防御

       对ICS和SCADA安全来说,集中防御的策略同样有效。每套控制系统都有一些关键资产,像炼油厂的安全集成系统、滤水厂中控制氯水平的PLC以及变电所的RTU等,一旦这些资产被成功攻击后就会对产品、安全或者环境造成严重的影响。每位控制工程师都清楚哪些资产对工厂的运作关系重大。积极地保护这些资产,发生真正严重的网络事件的机会就会大量减少。

       从IT领域得到的第一个SCADA安全经验就是集中于保护“王冠珠宝”。一个很好的例子就是保护安全集成系统,例如上图所示的Tricon的安全集成系统。

       想想Stuxnet。Symantec报道称该病毒感染了超过100,000台计算机,其中60%的位于伊朗。但是它的最终目标是PLC,是破坏运行浓缩离心机的控制器。如果Stuxnet只是感染了十亿台电脑,没有感染到PLC的话,事情并不是很严重,Stuxnet的任务就会失败。如果伊朗的保护重点是这些PLC的话,其浓缩工艺就不会受到影响。显然,伊朗采用的更多的是堡垒安全模型,最终导致了防御失败,使得Stuxnet影响了至少1000台离心机。

一种兼顾的方法

       别误解我,无论是Paul还是我都主张放弃保护不是很关键的资产和网络。

       我们需要的(也是我们忽略的)是一种兼顾的方法。我们致力于试图保护整个区域,却忘记了城堡中还有王室贵族。如果战争是公开的话,我们就自我感觉做得很好。但是当忍者刺客(像Nitro、Duqu以及Flame等)开始暗中侵入时,一旦工厂发生了有毒化学物质泄漏,保护每一台笔记本和台式机看起来就不是那么重要。

       所以在IT网络和ICS网络之间安装防火墙和入侵检测系统,建立自己的NERC-CIP所谓的电子安全范围(ESP),作为安全策略的一部分,这些都不会有错。

       但是要记得采用重点防御,保护那些对于工艺流程和公司真正重要的资产来寻求平衡。否则我们将会赢得了战役,却输掉了战争。

发布时间:2013年10月22日 10:00  人气:  
相关链接

我有需求