現(xiàn)代工業(yè)控制系統(tǒng)無(wú)法采用物理隔絕，由此帶來(lái)了SCADA入侵的新入口

研究團(tuán)隊(duì)接下來(lái)在沒有網(wǎng)絡(luò)、SIM卡或WiFi的條件下演示了AirHopper的攻擊過(guò)程。這項(xiàng)成果讓人們更加擔(dān)心物理隔離安全。

當(dāng)時(shí)，一些觀察家仍舊看好物理隔離系統(tǒng)。比如來(lái)自Dark Reading的艾里加·克考斯基（Erika Chickowski）寫道，系統(tǒng)管理員能夠采取一定的措施，保護(hù)系統(tǒng)免受AirHopper和其它使用聲音和非可見光傳輸惡意命令的威脅向量的攻擊。比如將聲音功能關(guān)閉、限制或完全禁止手機(jī)靠近物理隔離設(shè)備。

但之后的事態(tài)發(fā)展并不利于物理隔離的支持者。

今天，產(chǎn)業(yè)內(nèi)的大多數(shù)人都認(rèn)為物理隔離的設(shè)計(jì)華而不實(shí)。但這并不是說(shuō)并不存在真正的物理隔離。

埃里克·貝爾斯（Eric Byres）是SCADA安全領(lǐng)域的頂尖專家，他在Belden博客上發(fā)表的一篇文章中闡釋稱，控制房屋熱泵的電子溫度控制器等“瑣碎系統(tǒng)”更有可能和網(wǎng)絡(luò)隔絕，盡管從屬于這些系統(tǒng)的互聯(lián)溫度控制器、WiFi智能插頭和其它設(shè)備正在逐漸流行，變得日漸互聯(lián)。

當(dāng)然，與全國(guó)關(guān)鍵基礎(chǔ)設(shè)施保護(hù)相關(guān)的系統(tǒng)在很久以前就不使用物理隔離了，包括電網(wǎng)和運(yùn)輸系統(tǒng)。

貝爾斯引用美國(guó)國(guó)土安全部國(guó)家網(wǎng)絡(luò)安全與通訊整合中心（NCCIC）負(fù)責(zé)人西恩·麥克格爾（Sean McGurk）的話：在我們對(duì)私營(yíng)領(lǐng)域進(jìn)行的數(shù)百次漏洞評(píng)估經(jīng)歷中，從來(lái)沒有發(fā)現(xiàn)過(guò)工作網(wǎng)絡(luò)、SCADA系統(tǒng)和能源管理系統(tǒng)與企業(yè)網(wǎng)絡(luò)隔離的情況。“平均而言，我們?cè)谶@些網(wǎng)絡(luò)之間能夠發(fā)現(xiàn)11個(gè)直接連接。在一些極端的情況下，我們?cè)谏a(chǎn)網(wǎng)絡(luò)和公司網(wǎng)絡(luò)之間發(fā)現(xiàn)過(guò)250個(gè)連接?！?/p>

簡(jiǎn)而言之，現(xiàn)代工業(yè)控制系統(tǒng)太依賴于外部來(lái)源的信息流，無(wú)法采用物理隔絕。管理員總是需要安裝新的補(bǔ)丁和新版本軟件，這種需求帶來(lái)了SCADA入侵的新入口，比如USB鑰匙盤或者筆記本電腦。

這只對(duì)外部威脅適用。Belden上發(fā)布的一篇獨(dú)立博文中稱，大多數(shù)工業(yè)安全事件來(lái)自于控制網(wǎng)絡(luò)內(nèi)部。這不僅表明了物理隔絕的無(wú)用性，還展示了錯(cuò)誤配置的防火墻、劃分糟糕的網(wǎng)絡(luò)、沒打補(bǔ)丁的軟件、設(shè)備錯(cuò)誤、BlackEnergy等惡意軟件如何對(duì)關(guān)鍵系統(tǒng)產(chǎn)生安全沖擊。（BlackEnergy是黑客在烏克蘭最近發(fā)生的入侵?jǐn)嚯娛鹿手惺褂玫膼阂廛浖?/p>

如果物理隔離已經(jīng)屬于過(guò)去時(shí)，系統(tǒng)管理員和控制工程師如何保護(hù)現(xiàn)代SCADA系統(tǒng)？

未來(lái)的路依賴于基礎(chǔ)網(wǎng)絡(luò)和運(yùn)行安全實(shí)例。保爾·佛格森（Paul Ferguson）是Trend Micro公司的資深威脅研究顧問(wèn)，他在一份報(bào)告中解釋了安全人員如何集中于縮減風(fēng)險(xiǎn)，并保持適應(yīng)性的、不斷發(fā)展的安全態(tài)勢(shì)。

工業(yè)控制網(wǎng)絡(luò)與企業(yè)其它組件整合的結(jié)構(gòu)對(duì)于增強(qiáng)安全性能至關(guān)重要。要保護(hù)敏感的工業(yè)控制網(wǎng)絡(luò)，必須提供合適的流量分割、訪問(wèn)控制、認(rèn)證機(jī)制，與此同時(shí)，需要分析流量和警報(bào)日志，并適當(dāng)處理安全警報(bào)。

遵從 IEC 62443 工控網(wǎng)絡(luò)與系統(tǒng)信息安全標(biāo)準(zhǔn)，企業(yè)能夠從完善的安全防御體系中獲取更多好處。通過(guò)將系統(tǒng)分割成區(qū)域，并在其間配置通信渠道與專門針對(duì)工控系統(tǒng)通信協(xié)議優(yōu)化的防火墻，可以增加系統(tǒng)強(qiáng)度，提供更完善的保護(hù)。

同樣的防御措施對(duì)于 SCADA 系統(tǒng)連接到企業(yè)網(wǎng)絡(luò)或外部網(wǎng)絡(luò)的情景也適用。這些情景現(xiàn)在通常被稱為工業(yè)互聯(lián)網(wǎng)（Industrial Internet）或者工業(yè)物聯(lián)網(wǎng)（Industrial Internet of Things）。

在一篇關(guān)于計(jì)算技術(shù)的論文中，通用電氣副總裁兼首席技術(shù)官哈雷爾·柯岱什（Harel Kodesh）將工業(yè)網(wǎng)絡(luò)分為三層：邊界、中間層、云。通過(guò)保護(hù)邊緣設(shè)備并在網(wǎng)關(guān)層安裝傳感器，企業(yè)能夠進(jìn)一步保護(hù)云，特別是在云服務(wù)器已經(jīng)特別為安全優(yōu)化、或者被配置為方便邊界設(shè)備與網(wǎng)關(guān)之間進(jìn)行信息共享的狀態(tài)時(shí)。

你可以擁有情景意識(shí)。如果你發(fā)現(xiàn)了一個(gè) IP 地址同時(shí)想要連接到波蘭和英國(guó)的發(fā)電廠，就需要提起注意了。如果你只在自己的系統(tǒng)上進(jìn)行操作，就無(wú)法獲得這樣的智能。這有點(diǎn)違反人們的直覺，但在這個(gè)背景下，云系統(tǒng)比相互隔絕的系統(tǒng)更加安全。

按照“安全第一，功能第二”的信條制造物聯(lián)網(wǎng)設(shè)備，外加讓工控網(wǎng)絡(luò)的三個(gè)層次持續(xù)進(jìn)行自驗(yàn)證，這也將大大提升安全性。

關(guān)于讓流程更加順暢，IT 人員可以向操作技術(shù)（Operation Technology，OT）部門學(xué)習(xí)更多東西：

Tripwire 的公司首席研究官大衛(wèi)·梅爾澤（David Meltzer）說(shuō)：“對(duì)于想要在安全方面和 OT 進(jìn)行合作的 IT 安全專家們而言，學(xué)習(xí) OT 的工作原理是個(gè)不錯(cuò)的開始點(diǎn)?！彼a(bǔ)充稱：“這可能意味著購(gòu)買可編程控制器培訓(xùn)包、學(xué)習(xí)這些設(shè)備在其它環(huán)境中實(shí)際上是什么樣的、報(bào)名工業(yè)安全控制課程、讀一本關(guān)于這個(gè)主題的書。這對(duì)于專業(yè)人士而言大有助益，可以幫助他們以開放的心態(tài)了解對(duì)方。