【专家博客】ICS和SCADA的安全神话：使用网闸进行保护

• 关键词：ICS,SCADA,安全,网闸

        最近我在 2012AusCERT研讨会 上发表了一篇关于在控制系统中使用网闸的安全策略的演讲。令我惊讶的是，此次演讲引发了澳大利亚国内外媒体的大量关注和讨论，例如：
        Infosec Island 
        CSO Magazine
        Technology Spectator

        尽管这一切令人十分振奋，但许多人的评论似乎误解了我的信息。在今天的博客中，我会更清晰地表明自己对于网闸的看法。

Eric Byres在2012 AusCERT 研讨会进行演讲

网闸的支持者的确存在

        网闸的理论听上去很完美；在控制系统和商业网络之间建立物理隔离，黑客和病毒等恶意分子就永远无法进入关键控制系统。但是就像你从这篇博客的题目中能猜到的那样，我不相信ICS和SCADA领域里真的存在真正意义上的网闸。

        当然，肯定有人完全不同意我的观点。例如，Trend Micro 的网络安全情报员Paul Ferguson最近写道：

        “之前我发表过关于SCADA的问题，但是我一直强调的一个问题是关键控制系统不应以任何形式与互联网系统交互或互联。这样做的一个很好的理由，也是一直以来的“网闸”原则。”

        同样，去年也有大量的SCADA和ICS漏洞公告，并附带了使用网闸来应对这些漏洞的一些建议。之前我曾给过一个案例，该案例来自处理西门子SIMATIC S7-1200系列PLC漏洞的西门子安全公告：

        “此外，使用该文档中建议的策略确保自动化网络免受未授权的访问或者使用网闸将自动化网络和其他网络进行隔离是非常重要的。”

供应商正在远离“网闸原则”

        有意思的是几个月后他们把该建议从这个公告（和所有其它的公告）中移除了。

        我猜想，西门子的工业安全服务总监Stefan Woronka公开声明：“忘记网闸的神话——完全隔离的控制系统已成为历史。”，也与此事有关。

        同样，所有的施耐德电气和罗克韦尔安全公告都没有提及网闸。罗克韦尔的缓解指导写得很清楚：

        “通过使用适当的安全技术（如防火墙、UTM设备或其它安全设备）限制或阻止对TCP和UDP#2222端口和#44818端口的访问，来阻挡所有流向EtherNe/IP 或其他 CIP协议的通信”来自：KB Article 470154 - EtherNet/IP产品漏洞

        我想所有的PLC和DCS供应商都已经意识到网闸与他们的系统架构的冲突。例如，看看西门子安全概念手册（42页）所示的高度安全架构的图表。

在现实中，网闸是不起作用的

        有一个很好的理由可以解释为什么供应商的工程手册中没提到网闸以及为什么安全公告中也取消了网闸。从理论上讲，网闸很完美，但是在现实中却不起作用。

        当然，你可以简单地断开控制系统和商业网络之间的连接，然后瞬间，你就拥有了一个“网闸”。直到有一天，工程师顾问提供了一个了新的逻辑 - 也许它能解决导致工厂重大停车的设计上的缺陷。不久后，Adobe发布了软件更新 - 也许这是针对PDF阅读器（员工用来查看操作手册）的关键漏洞。接下来，实验室提供一个提高产品质量的工艺等。工作列表不断增加 - 为计算机操作系统，防病毒签章，远程支持和系统软件打补丁等 - 你不能忽视这些工作。

        那么你将如何做呢？或许你可以在U盘上存了些文件，并将其带到工厂中，但那不正是Stuxnet的传播方式么？或许将所有东西都存在笔记本电脑上是个解决方案，但如果这台笔记本也中毒了呢？串行线路和调制解调器 - 对不起，slammer病毒就是通过这种途径进入控制系统中的。即便最安全的CD也可能成为恶意信息的携带者。

        现代控制系统需要来自外界的稳定的电子信息。简单地用网闸断开网络连接，只会衍生出新的传播途径——像笔记本和U盘等，这些途径难以管理，系统更容易受感染。

看到过网闸的人，请举手

        是否有使用网闸的控制系统？当然有了- 在不重要的系统中。例如，我家中控制热泵的数字恒温计就可能有个真正的网闸。另外，在相当高风险的系统中-比如核电站的反应堆控制系统就真正被隔离了。

        但那些管理我们的电网，管道基础设施，运输系统，水处理和工厂的控制系统中是否有网闸存在？让国土安全部国家网络安全和通信集成中心（NCCIC）的主管Sean McGurk先生来回答这个问题：

        “从我们在私营部门进行的上百次的脆弱性评估得出的经验来看，我们没有发现有哪个操作网络、SCADA系统或能量管理系统与企业网络完全隔离。网络间的直接连接平均有11个。在一些极端的情况下，实际生产网络和企业网络之间的连接高达250个。”

使用真正的网闸进行保护的控制系统

是时候成长并结束神话了

        把网闸作为一种安全策略的梦想已经结束了，控制系统供应商已经接受这一点。ICS-CERT等政府机构也已经接受了真正的网闸是不可能存在的这一观点。对于咨询顾问和最终用户来说，也到了对网闸神话不抱期望的时候了。相信控制系统“被隔离”，觉得整个工厂安全在掌控之中的想法只是一种危险的幻觉。

         为了有效的ICS和SCADA安全，整个行业都需要摒弃之前的网闸神话，学会面对现实：

         所有的控制系统都以某些方式，像网络连接、串口线路或USB“sneakernet”等，与外界相连，但这是一种能被Stuxnet和Flame等现代恶意软件利用的途径。网络安全对策必须正视这一事实。

        1 Source: Paul Ferguson, Internet Security Intelligence, Advanced Threats Research, Trend Micro, Apr 8, 2012
        2 Source: SIEMENS-SSA-625789: Security Vulnerabilities in Siemens SIMATIC S7-1200 CPU
        3 Source: The Subcommittee on National Security, Homeland Defense, and Foreign Operations May 25, 2011 hearing. 58:30 -- 59:00