西門子唐文: 工業信息安全——從檢測到防護
責編:rhliu |2016-06-29 15:51:21唐文:大家下午好!非常榮幸今天有機會跟大家共同探討工業信息安全,大家都知道公眾信息安全成為全球關注重點,包括國內關注的重點,從2010年,病毒攻擊伊朗核的設施,去年最早2004年出了公共安全白皮書,到2010年開始從事工業信息安全研究,今天跟大家探討工業信息安全和過去選擇的技術課題,和為什么選擇?
一、工業信息安全
我們西門子內部叫工業信息安全,我們看到工業信息安全意識到重要性。比如今天開會涉及的空調、照明、聲光電都統一的控制,日常大家駕車來會場開會,在路途中走過紅綠燈和道路控制系統,在西門子內部就是工業控制系統。現代文明基礎就是工業控制系統,生活用到任何東西都是工廠生產出來,而這些工廠絕大多數自動化工廠。
因此,當工業基礎設施受到信息安全的威脅,有些黑客有意、無意攻擊的時候,對人類生活產生根本的影響,財產損失、甚至危機人的生命安全。導致工業信息安全越來越脆弱原因?就是技術進步,15年以前工業信息系統像IT系統,我們今天有機會看工業信息系統,驚奇的發現以太網在工業信息系統得到廣泛的應用,目前PC機也得到廣泛的應用,操作人員都是基于Windows的PC機。標準的通訊協議越來越多用在工業信息系統。
2010年事件出現以后,IT領域黑客技術也可以用于工業信息系統攻擊,比如偷取生產配方、工藝,以及植入軟件對控制軟件的影響,去年底發生烏克蘭電網受到殺蟲組織的攻擊,導致斷電幾個小時非常嚴重的后果。在這里我們可以看一下,工業信息安全事件,這個圖表來自火眼,火眼這幾年也是非常著名的美國公司,火眼他統計2014年之前所有公共安全事件,信息源主要來自于USS、SCB等數據源。
我們可以看到在過去,尤其2010年以后公共安全事件出現急劇上升,而這里邊大多數漏洞,迄今為止出現949個漏洞。西門子這幾年曝出很多的漏洞,這是大實話。如果我們看CND等,西門子漏洞在公共體系中排名第一,但是西門子采取的策略不會隱藏漏洞,如果有人通報漏洞、我們發現漏洞發布之后自動公開,西門子采取IT企業同樣的公開和客戶公開對話的處理,內部統計的時候,發現西門子漏洞呈現一個特點,外面人報的漏洞越來越少,而自己發現漏洞越來越多。
不僅僅存在漏洞、存在潛在的風險,有的人利用漏洞控制工業控制系統,真正攻擊工業控制系統到目前為止只有三個,從這里邊可以看出工業控制系統一個趨勢,目前工業控制系統里頭專用的惡意軟件攻擊工業控制系統只看到三個案例,絕大多數出現的問題IT病毒感染控制系統,導致控制系統出現故障,這是非常多,我們在煙草、石化都見到很多案例。
二、工業控制系統典型應用
今天我簡單給一個工業控制系統圖,大家可能看表面看起來跟IT系統沒有太大區別,在上面也是有很多PC服務器,它構成CMR、工作站、各種各樣服務器,工程站有時候筆記本或者PC機,真正有特色的地方在下邊,它有嵌入系統構成的各個控制系統,PRC由嵌入系統構成的,不像PC強大的計算能力,也不會隨意編成。然后通過電線控制現場的儀表構成完整的系統。如果IT系統會認為辦公最重要,比如我關心數據泄密、敏感的數據或者財務數據是不是泄露?工業控制系統重點不是上面,而是下面,在控制單元,因為控制單元用來控制物理世界。
比如說我們所在會場,實際上在這里可以看到至少有幾個系統:空調新風系統、照明控制等,如果正常工作自動進入安全狀態,保證大家發生事故有足夠時間逃生,所以工業控制系統跟普通的IT安全非常不同。咱們做信息安全可能了解,最開始了解CAI,在工業系統首先安全性,最后才是完整性,最后是機密性。我可能采集電信號,這些信號攔截之后對你沒有太大價值。
我們看典型的工業控制系統之后,我們看一下,這是來自卡巴斯基2014年白皮書,我們從2005年做公共安全,這么多年遇到最大的問題客戶不理解,為什么公共安全重要?我們遇到很多工業客戶,有的拜訪他們,有的時候是會議遇到他們,當講起信息安全,他們認為覺得我系統沒有安全?卡巴斯基白皮書列出五個神話:
1、第一我沒有與互聯網互聯,從右邊圖大家可以看到,大量系統都跟互聯網互聯,現在絕對沒有跟互聯網互聯系統很少了,可能核電、軍事系統沒有互聯,但是民事領域間接通過企業網、或者遠程運維定期和不定期互聯。比如電力很早維護條例,生產工業區和網閘割斷,所有電力人跟大家都是這樣介紹的,但是這幾年有機會接觸傳統和新發電企業,我們發現這個是神話。新能源發電企業,所有安裝發電設備,發電企業和運維人員自己維護不了,當出現故障需要廠商運維,廠商運維一種是駐廠運維成本很大,還有遠程運維,絕大多數新能源汽車使用的遠程運維,Windows主機作為跳板機連到設備上進行調試,盡管不是持續的連接,但是控制層開放一個口子到互聯網上。
2、我們有防火墻因此安全的。當然我們做IT安全都知道,防火墻作用多大?即便這樣的話,工業控制領域大多數被防火墻控制,他配制允許外部主機對防火墻進行運維。
3、黑客不了解工業信息安全,這已經是以前的情況。
4、我的設施不是目標,事實上在公共領頭,大量工業設施被感染IT病毒,像石化、煙草、鋼鐵行業見過典型的案例,通過亂插U盤或者上網感染病毒,導致工業控制系統不能正常運轉。
5、我的安全系統可以抵御攻擊。
這樣工業神話存在普通性,網絡缺乏邊界,任何主機接進網絡里,立刻訪問PRC,這個非常危險,任意人可以竊聽、重放,目前病毒感染雖然只出現三個專用的公共病毒,但是對IT病毒缺乏免疫力。缺乏嚴重的共享賬戶,對惡意操縱缺乏認識,一個用戶上去惡意操作改變我參數,往往不知道誰改變、也沒有回溯他為什么這么做?
潛在的安全威脅包含了:
1、未經授權的訪問,比如來自互聯網、辦公網通過感染PC機,攻擊他的跳板機。比如烏克蘭電網攻擊,通過釣魚郵件感染PC機,操控烏克蘭電網誤操作,還把硬盤弄壞了,阻止你公共網恢復。
2、惡意代碼的攻擊,都是通過U盤操作、網絡操作操控你的PC機。
3、拒絕服務攻擊,我上位機感染病毒,但是感染IT病毒,會控制網發送大量的垃圾報網,發送PRC,不斷處理垃圾報網,計算資源被消耗掉,就會出現斷斷續續,這個我們在煙草行業有具體的案例。
4、對控制和主態通訊的攻擊,任何攻擊者竊聽曝文,目前對所有攻擊都是有效的。
5、惡意操作,可能攻擊者他對攻擊系統非常了解,不需要借助專門的IT手段破壞網絡設施,通過操控上位機直接改變控制流程。在我們去介紹研究思路之前,我先簡單介紹一下,目前安全圈在研究公共安全的一個誤區,當我們談公共安全兩個圈:一個公共圈,前面介紹針對他們存在的誤區談論的,隨著這幾年公共安全變著越來越火,越來越安全人進入公共行業,他們也產生一個誤區,對工業系統錯誤的認識,一般進入工業系統PRC控制物理環境,如果發現漏洞肯定非常重要,所以大家都奔PRC去,以至于這幾年不停曝PRC漏洞。
工業控制系統通常來說分成若干層次,大型的工業系統最高ERP,通過ERP做企業生產規劃,ERP導入MES,MES進行排班做各種各樣制造規劃,然后才進入監控層、現場設備層,但是很多研究人員認為,一般我們都是這樣劃分層次,每個層次單獨拎出來做安全,這個對下面三個層次不成立的。正常情況下監控層、控制層、現場設備層是完整的,我工作的時候必須有PRC控制現場儀表,現場儀表控制過程,這個分不開,PRC必須和上位機合作,所以這三者構成一個整體。一旦脫離這個整體出現荒唐的結果,大家都研究PRC,但是中國有上千萬PRC工作,多少曝光互聯網上?可以告訴大家,不超過300個。其他PRC都是部署內網,對它發動攻擊,必須先攻擊上位機,從上位機攻擊PRC,我單純把PRC研究,攻擊路徑怎么樣?如何發生?
就會出現這個問題,我經常跟安全圈同事交流。舉一個例子,智能家居越來越進入普通的家庭,冰箱就智能、空調有智能、甚至插線板也有智能,也面臨網絡安全問題,有沒有遠程黑客控制我家電,非常不安全。應該家庭邊界部署安全網關,這個安全網關保證所有家電安全運轉,而不是要求每一個家電都像PC,必須CIA必須最高要求。比如我冰箱,保證安全必須加裝一個硬盤,我們所有人必須有一個密碼,如果輸錯三次冰箱鎖死。近年來標準化領域,要求PRC和智能儀表達到PC水平,智能儀表里邊只有一個單片機,甚至有的智能儀表通過電瓶線進行連接,我們正在制定協議,要求PRC和儀表加裝防火墻。
大家可以看到照片是目前在北京工業安全設施,是西門子全球最好的實驗室,西門子主流的PRC、工業交換器等都有,這個實驗室仿真完整的工廠,在工廠進行各種各樣試驗,包括攻擊和防御實驗。我們研究思路從2005年到現在形成一整套研究思路,我們稱之為從檢測到防護,正在向第三步檢測響應,在檢測研發相應的工具,防護方面也有相應的技術。
三、產品
2007—2008年研制Styx安全工具,它的目的自動化產生各種各樣嚴酷測試、包括機器測試,編碼位的錯誤甚至各種各樣攻擊都會集成進來,用它對PRC測試,一旦發現漏洞通知德國總部修復它,把新的補丁發布出來。而且這個遵循SCADA要求,覆蓋風暴測試、測試暴露各種各樣需求。目前我們支持50多種協議,國內應當最多的,因為我們這個工具只是內部用,并沒有國外銷售。支持的協議工業領域廣泛利用的協議,也包括工業交換協議OPC,包括電信通訊協議,包括樓宇控制、交通控制,只要西門子從事的行業我們都會支持,所以在醫療通信領域兩個協議,其他協議是IT協議,目前在公共領域應用非常廣,所以現在也支持。
配置管理,我們研制一個工具稱之為ISBC,自動化對工業系統配置進行檢查,上位機有Windows安全配置、數據庫安全配置,它重點對工業控制網絡、工業的PRC和工業交換機是不是安全進行自動化檢測。
西門子最著名基于縱深防御的安全控制系統,就像剛才提到智能家居例子,保證家庭智能設備安全,應該加裝網端,實際建立防御圈。西門子提倡通過物理安全、安全單元、用戶賬戶管理、補丁賬戶防護等構成完整的防護圈,PRC沒有認證機制、安全機制,只要部署防護圈周邊,可以受到保護。目前中石化部署我們一套解決方案,并且2010年獲得石化工業協會科技進步一等獎。這個是具體的防御措施,前面就講到從檢測到防護的步驟,今天為止在中國開始建立西門子工業信息安全運營中心,落在蘇州,北京有專家隊伍提供支持。
運營中心說到根由,2015年開始大講威脅情報,并且開始轉變安全防御的重心,從原來的靜態防御轉向動態防御,防御過程中熟知系統所處的狀態,就是現在強調的情景感知,而且強調通過行為識別異常,而不是通過指紋識別異常。西門子公共領域推動技術進步,在蘇州建立運營中心,可以將一個個自動化部署探針,對原來公共系統不會產生影響,只是取數據,取來數據用傳統的MSN技術和大數據進行分析,對威脅情報的關聯,異常分析,然后告訴這些工廠,你的工廠面臨最大的安全威脅是什么?如何提升安全?如果面臨危機如何應對它?提高系統的可見性,今年9月20號會開幕,我們建兩個仿真廠,一個北京、一個蘇州達到中型工廠規模,2017年初首先把西門子工廠介入進來。
西門子在全中國有70多個分公司,其中40個多自動化工廠,陸陸續續接進來,也會邀請核心用戶。我們監控分成兩個層面,PC用傳統的監控安全日志,大數據進行分析。由于時間關系,今天講到這里,謝謝大家!
上一篇:陸立新:美國威脅情報發展及實踐