工業(yè)控制系統(tǒng)安全將成2013年關注重點

　　對這些系統(tǒng)感興趣的潛在攻擊者各有不同，包括：帶政治動機的黑客，希望引起關注的黑客集團，干勒索勾當?shù)淖锓?，甚至是僅僅為了娛樂或炫耀的黑客。

　　FBI最近一次文件泄漏顯示，今年早些時候，黑客獲得了非法入口，得以進入供熱、通風和空調(diào)(HVAC)系統(tǒng)，這些系統(tǒng)運行在一家新澤西空調(diào)公司辦公樓內(nèi)，黑客通過利用與之相連的控制盒中的后門漏洞得逞——一個尼亞加拉控制系統(tǒng)。被攻擊的公司為銀行和其他企業(yè)也安裝了類似的系統(tǒng)。

　　1月份，黑客使用"@ntisec" (antisec)實現(xiàn)了對尼亞加拉ICS系統(tǒng)中漏洞信息的在線共享，隨后，泄漏發(fā)生了。運作Antisec屬于黑客攻擊法律和政府機構的一系列攻擊，這些攻擊由黑客、LulzSec、Anonymous和其他黑客集團發(fā)起。

　　安全咨詢公司IOActive的安全專家Ruben Santamarta認為，針對ICS的攻擊是否可能，這已經(jīng)不是一個問題，因為它確實發(fā)生了。一旦攻擊者動機足夠強烈，我們將遇到更大的問題。2013年，攻擊者會對它更有興趣，這毫不荒謬。

　　反病毒廠商Kaspersky實驗室首席惡意軟件專家Vitaly Kamluk認為，未來，絕對會有更多針對SCADA系統(tǒng)的惡意軟件。他表示，Stuxnet對ICS/SCADA帶來的攻擊為白帽和黑帽研究者帶來了全新的領域，這一主題將會是2013年的首要話題。

　　工控系統(tǒng)安全狀況亟待改善

　　然而，一些安全專家認為，這類惡意軟件依然超出了普通攻擊者的能力范圍。

　　“創(chuàng)建能夠成功攻擊ICS系統(tǒng)的惡意軟件并非小事，這需要許多戰(zhàn)略和計劃，” 漏洞和情報管理公司Secunia首席安全官Thomas Kristensen表示，顯然，能夠發(fā)出這種攻擊的人和組織數(shù)量也是有限的。

　　Peterson表示，大部分部署SCADA和DCS(分布控制系統(tǒng))的應用程序和硬件并沒有考慮安全發(fā)展生命周期(Security Development Lifecycle，SDL)。想想上個世紀90年代后期的微軟吧，它充滿了普通的程序錯誤，這些錯誤會導致bug、漏洞的出現(xiàn)。這意味著，可編程序控制器(programmable logic controllers，PLC)和其他領域的設備在設計時就是不安全的。

　　Digital Bond公司發(fā)布了幾個漏洞，這些漏洞是在許多PLC(SCADA硬件組件)中都被發(fā)現(xiàn)。這是一個名為Project Basecamp研究項目的一部分，其目的是為了顯示，許多現(xiàn)存的PLC有多么脆弱和不安全。

　　Santamarta認為，今天，研究人員發(fā)現(xiàn)SCADA軟件中的漏洞變得更容易了。

　　SCADA漏洞信息甚至有一個市場。由安全專家Luigi Auriemma和Donato Ferrante創(chuàng)建的馬耳他安全公司ReVuln將軟件漏洞信息出售給政府機構和其他私人購買者。ReVuln出售的組合中，40%以上的漏洞是SCADA漏洞。

　　Donato Ferrante認為，有趨勢表明，在SCADA安全領域中的攻擊和投入都在增長。實際上，如果SCADA市場中幾個大的公司投入很多錢來強化這些基礎設施，這就意味著，SCADA/ICS主題正在并繼續(xù)成為來年的熱點。

　　然而，保護SCADA系統(tǒng)不像常規(guī)IT基礎設施和計算機系統(tǒng)那樣直接。即便針對SCADA的安全補丁已經(jīng)被安全廠商發(fā)布，漏洞系統(tǒng)的擁有者也需要很長時間來部署它們。

　　Luigi Auriemma表示，針對SCADA系統(tǒng)的自動補丁極少。大多數(shù)時候，SCADA管理員需要手動申請適當?shù)难a丁。

　　Kamluk認為，這種情況很糟糕。SCADA系統(tǒng)的主要目標是持續(xù)運轉(zhuǎn)，這意味著安裝補丁或更新不能重啟系統(tǒng)或程序。

　　另外，由于任何意外行為都可能對系統(tǒng)運行都可能產(chǎn)生重大影響，因此，在部署到真實環(huán)境前，SCADA安全補丁需要經(jīng)過完整的測試。

　　多數(shù)SCADA安全專家希望，像PLC這樣的工控設備應該考慮到安全，來重新設計。

　　Peterson認為，有著基礎安全措施和計劃的PLC需要在未來1-3年內(nèi)在多數(shù)關鍵基礎設施中部署安全。

　　Santamarta認為，理想狀態(tài)是，工業(yè)設備在設計時就是安全的，但是我們得面對現(xiàn)實，這需要時間。我們不該以IT的視角太過嚴苛地看待它們。也就是說，每個人都應該認識到該做些事情了，包括工業(yè)廠商。Santamarta表示，由于在設計環(huán)節(jié)未充分考慮到安全，ICS擁有者們應該采取深度防御措施來保護這些系統(tǒng)。Kamluk表示，應將ICS從英特網(wǎng)脫離，將其放到隔離的網(wǎng)絡中，嚴格限制/審計入口。

　　Kristensen說，關鍵基礎設施的擁有者應該意識到，進入關鍵基礎設施需要單獨的網(wǎng)絡或至少單獨的認證信息。 這應該對ICS也是適用的門話題，安全專家們認為這是一個好的開始，然而，迄今為止，很少有進展。

　　Peterson表示，“我只是希望，政府能誠實地公開說這些系統(tǒng)的設計是不安全的，在未來1-3年內(nèi)，運行關鍵SCADA和DCS的組織應該計劃更新或替換掉這些系統(tǒng)?！盞amluk表示，政府法規(guī)很有幫助。一些SCADA供應商犧牲安全來保證低成本，而不考慮這種做法的風險以及對人類生活的潛在影響。

　　今年早些時候，Kaspersky實驗室公布一項OS發(fā)展計劃，為SCADA 和其他ICS系統(tǒng)提供安全設計環(huán)境。Santamarta說，雖然這聽上去像是個有意思的項目，但這還得看SCADA團體和工業(yè)部門對其作何反應。Ferrante表示，關于新的OS，并沒有足夠的細節(jié)評估其特點。我們需要等待官方發(fā)布。不管怎樣，采用新OS的主要問題是它需要能運行現(xiàn)有SCADA系統(tǒng)，而不是非要重寫代碼不可。

（轉(zhuǎn)載）