近期一份工业物联网(IoT)安全调查表明,超过一半的受访者在其工业IoT系统中使用联网设备,本文阐述在信息物理系统中融入IT和OT存在的问题
近期一份工业物联网(IoT)安全调查表明,超过一半的受访者在其工业IoT系统中使用联网设备:
显然,IT/OT日益融合,带来的好处也越来越多,促进了对当前控制系统更为有效的运营和管理二者之间的融合可延长系统的正常运行时间,增强性能,而且还能提高质量和生产力,最终促使组织的利润增长另一方面,IT/OT融合也带来了独特挑战,增加了工控系统管理和保护难度,原因是该融合加剧了技术复杂度,除了业务运营还将组织的其他方面置于风险和新威胁之中。
本文阐述在信息物理系统中融入IT和OT存在的问题,以及此类系统中须识别并管理的风险具体而言,本文回答了以下问题:
工业和信息系统管理员若能回答以上问题,可针对如何构建更为完善的网络安全计划保护IT/OT系统这一问题作出更为明智的决策
公司的安全状况取决于多个因素且随时间变化而变化:
并非所有的网络安全风险都能彻底化解,并且各种风险的重要性也不均等尽管我们不能寄希望于通过“一刀切”方案分清安全风险的轻重缓急,采取相应措施,但业界公认的最佳实践和指南对我们非常有帮助。
CIS提供CIS控制措施并对其进行管理,此类措施是一系列按优先顺序划分的联网系统风险防范实践当前第七版CIS控制措施[2]已被公认为评估和化解常见系统风险的一种手段,列明了可显著降低风险暴露和影响可能性的步骤专家社区—覆盖了大多数行业—帮助管理这些最佳实践由于IT和OT领域既有共性也存在关键性差异,因此对这两个领域实施控制措施时应认真考虑,尤其是在IT/OT广泛融合时。
CIS的顶级控制措施包括三大类别:基本点、基本措施和组织层面,见图1这三大类别按顺序排列,对最能缓解网络安全风险的典型措施划分了轻重缓急组织若据此对CIS控制措施进行投资可显著提升安全状况。
图1第七版互联网安全中心控制措施
尽管CIS控制措施的初衷在于聚焦企业级IT信息安全,但现在CIS仍持续扩充资源和工具,帮助公司更广泛地实施此类控制措施,例如,最近发布的《第七版工业控制系统CIS控制实施指南》。[3]ICS控制措施是安全提升评估一个很好的起点,为组织支持和实现互为融合的IT/OT系统(如适用于多领域的工业IoT方案)提供了思路,而且还覆盖了组织的本地网络架构之外的层面。
专家建议:
CIS称,“尽管ICS运营者对于企业IT系统的许多核心安全问题都表示了担忧,但ICS实施最佳实践面临的主要挑战实际上是因为这些系统一般都运行着可直接控制物理设备或流程的软件和硬件此外,很多系统事实上不仅通常有高可用性需求,而且往往还要为关键基础设施提供支撑,这使得实施最佳实践愈加困难。”[4]
前三项CIS控制措施是所有其他措施的基础,提供包括硬件和软件的全面资产盘点以及安全漏洞和产品补丁管理计划的执行,如2所示。
图2 前三项CIS措施
实施这三项措施后,组织会加强安全意识,可基于风险有效划分各项事宜的轻重缓急清点所部署的产品而且确保其更新到了最新版本,这看似简单,实则存在一系列独特挑战。
过去,安装有OT或IT的系统与最初的工程图纸完全吻合,但现在则不然特别是OT系统一般均是在现场进行调整从而适应当前环境。架构和网络物理流程的支持和管理所需的活动构成一个循环的生命周期,如图3所示。
图3 IT/OT生命周期过程
该问题分为两部分:
“哪些设备接入了系统?”这一问题看似简单,但却非常难以回答。可以说,这一问题的答案是保护IT和OT系统所需的最重要信息。
要想明确系统的接入设备以及接入方式,组织需将物理和逻辑方案结合起来,最好是让这些方案植根于流程、政策和工作职责中资产发现、设备盘点以及全面的设备识别流程,这三项中的每一项对于保护系统防范安全风险来说都至关重要。
尽管实物盘点很有用,也很重要,但只能让组织了解在某一时间点有哪些设备以及哪些可供访问可见,实物盘点可能会遗漏某些设备,尤其是在系统的某些部分无法访问、网络边界不合理、无法追踪布线,或无线和移动资产仅是偶尔接入的情况下。
此外,通过手动盘点,组织无法弄清同一网络或不同网络的设备之间的逻辑关系,也无法了解VLAN或WAN连接等网络路由路径,而这些路径可能恰恰是同一系统的关键部分另外,某些地方可能存在争议,例如在工业非军事区(DMZ),某个资产的归属并不明确,组织无法判断其到底属于IT或OT系统还是均属于二者并且,实物盘点往往会遗漏某些非本地部署的基础设施、资产和服务。
总之,进行实物盘点,但这只是整个资产发现流程中的其中一个环节。
基于网络的方法可帮助组织对IT/OT系统的资产发现流程进行验证和扩展不过,并非每一种逻辑发现方案都会奏效网元会随时间变化而变化,因此需要采用多种方案,确保覆盖所有资产图4展示了美国国土安全部(DHS)的国家网络安全和通讯整合中心(NCCIC)和及其工业控制系统网络应急响应小组(ICS-CERT)推荐的架构。[5]
图4 DHS NCCIC/ICS-CERT推荐的安全的网络架构
被动监控是一种基于网络的资产发现方法这种方法尤其适用于过时且脆弱的OT系统,原因是此类系统不与联网设备交互,也不影响网络性能在不知设备对某种资产发现方法作何反应时进行被动监控尤为重要。
实现被动监控能力,需对原始网络流量进行分析。大多数情况下,流量数据从数据捕获系统的战略监听点收集,如路由器和防火墙等网络设备,这些设备在网络边界运行,转发系统之间的信息而且,此类监听点还涵盖受托管的交换机和路由器的上行,即这些设备与对端或上层的系统进行的较低级的网络通信。
被动监控技术在发现资产时会分析系统的原始流量镜像,分析网络流量包含的相关属性以识别联网设备该技术的另一个好处是组织可利用这些数据确定设备之间的通讯路径或潜在异常通信活动若合理部署,被动监控方案则不易暴露,攻击者难以发现,因此该数据镜像方案对于网络入侵检测系统来说非常有用。
安全架构师应考虑是否可尽量利用现有网络能力以及何时实施被动监控。
通常情况下,会配置三层交换机、路由器和防火墙等受托管的网络设备(若有的话)传输原始网络数据包流,从而提供网络监控流程。
网络服务,如端口镜像/交换端口分析器(SPAN)配置、远程监控(RMON)服务和网络中继能力,可结合使用,从而提供特定IT/OT系统的联网设备的总体分析理想情况下,网络架构会包括基础设施中的监听点或实现这些服务的某种能力(见图5),然而实际上并非所有网络架构都实现了这一点。
图五 网络架构中的监听点和流量收集器
出于各种原因,很多OT系统可能只有少量的L3交换机和路由器等受托管的网络基础设施设备,也可能根本没有这些设备若OT系统中确实存在这些产品,这些设备通常会安装在不太合理的系统位置,使得获取待分析流量不是那么方便有些基础设施周围部署的产品仅能提供有限性能且可用性不高,因此无法为流量更大的应用提供服务有人指出三层的托管设备可能缺乏基本的端口镜像、中继和RMON服务,而这些服务在中高端产品中非常常见这些原因部分说明了在网络设计和采购以及系统改造和升级时应对未来投资要使用具有这些能力的产品,并在决策时平衡以下因素:如何对提供这些服务的软件进行负责任地管理以及由谁管理这些问题。
为缓解软件配置的服务的管理挑战和相关风险,可在作为网络嗅探器使用的网卡上抓包利用这种方法会生成对资产发现和更深入的数据包分析活动非常有用的大量信息确保将网卡配置为混杂模式且将记录的数据保存在抓包文件中。此类文件一般为PCAP或PCAP-NG格式,原因是它们与网络分析工具存在广泛的兼容性这些文件可通过UNIX/Linux的命令行服务tcpdump和tcpreplay轻松创建和重放。[6]很多从业人员将分析流程转移至与运行特定软件的目标系统断开连接的设备上。
在利用流量捕获、分析和监控工具识别通信源和评估信息类型时,ISO开放式系统互联(OSI)通信(ISO/IEC标准7498-1:1994[7])模型是一个非常有用的参考。
图6 ISO/OSI七层通信参考模型
专家建议:
对一些高级用户而言,对流量捕获进行初步审查,基于五元组(源IP、源端口、目的IP、目的端口和OSI的三/四层协议,即网络和传输层协议)模式对数据包归类是非常有帮助的该方案省掉了数据包负载分析,因而可更快速地执行临时发现流程然而,该方案并不能发现位于很多OT系统核心位置的OSI第二层(数据链路层)设备要实施该方案需要时间和专业技术;若实施永久性方案,利用五元组模式可避免使用端点解决方案可能引入的风险。
另一种方案是利用高级自动化网络分析产品,该产品可提供量身定制的定向资产发现能力,提供更全面的盘点以及设备身份信息相关的更详尽分析此类产品还有其他好处,即通常情况下可一直安装在系统中用于简化工作流程,将资产发现建成系统内一个可持续的连续流程。
为消除对网络通信的潜在影响,在网络中串联部署物理硬件测试/终端访问点(TAP)通过电子而非物理方式将比特级别的信息(第一层)传输至下游网卡安装TAP会导致网络的物理连接暂时中断,因此确保仅在系统不运行的情况下安装。
由于IT/OT融合的系统日益增多,所配置的端口镜像、SPAN和通过网络中继实现的RSPAN会通过某种形式与硬件网络TAP配合使用。
现在,有些系统也包含独立的管理网络,将其用作回传网络传输和汇总数据包流进行集中监控特别是在此类网络增强功能的设计和实现阶段,IT人员可与OT团队分享专业技术。
要实现端点层及广泛的流量镜像能力,您需考虑添加自动化的网络监控产品作为IT、OT和二者融合的系统的不可或缺的一部分一些高级产品提供的能力远远不止手动命令行抓包和回放服务,甚至还具备定制的产品发现、跟踪和分析工具,专门作为持久化设备运行,持续捕获流量并进行数据分析。
使用功能强大的被动监控方案分析实时或历史抓包文件(PCAP)时,可以获取一系列有用的信息,对可能仅在2层(数据链路层)通信的设备和在3层(网络层)及以上通信的IP设备的硬件MAC地址进行判断,作为对实物资产盘点的补充。这种全面的覆盖大有必要,因为有些分析工具无法定位使用2层协议的设备,这些协议不可路由,普遍存在于OT系统中。这会导致在资产发现过程中出现盲点,无意间漏掉某些设备。网络监控方案优劣不一。功能更强大的产品能够分析2层通信,甚至描述设备间的交互。有些方案能够将设备信息与已知产品漏洞相关联。具有此类功能的产品对于补丁管理和事件响应流程以及采用主动网络防御周期(ACDC)的网络安全监控团队非常有用。[8]
专家建议:
抓包时,时间窗口应足够长,确保大多数事件和通信至少发生一次。24–72小时的窗口通常足以定位大多数已连接资产,但某些设备或事件不一定总是在通信,也不一定持续发送相同的数据。例如,地址解析协议(ARP)消息可能仅在设备连接到系统时出现一次,也可能由周期性发送免费ARP(GARP)的设备断断续续地发出。因此,即使从同一系统中抓取的PCAP也会因时间不同而有所不同。为了避免漏掉资产,应在即将启动流程时以及活动高发或异常期间开始抓包。
通过被动监控,还能构建基于时间的通信端口、协议、设备主机名和数据包有效载荷清单。某些情况下,它甚至可以就特定设备标识信息和用于执行任务的网络命令(例如设备配置和控制、用于网络和端点诊断的数据搜集服务)构建基于时间的清单。
专家建议:
通过被动监控获得的PCAP,可深度洞悉未联网的串行设备通过网关产品连接到系统的可能性。例如,如果显示有Modbus TCP协议,则数据包的有效载荷中会提供单元标识符标志。当该标志设置为0时,表示没有串行设备连接到IP设备。如果该标志的值为1–254,则可能连接了串行设备,这就提醒我们进行辅助物理检查,以查清网络架构中所添加的这些设备。
一些先进的自动化被动监控产品不只是简单地判断设备和5元组信息是否存在,可能还会显示详细的资产标识信息,例如设备制造商、设备类型和型号、固件/软件版本等等,所有这些都能通过分析数据包的头部和有效载荷来实现。但不可避免的是,被动监控有其局限性。如果数据在特定窗口内生成并捕获,只能发现设备且只能获得设备级详细信息。此外,若数据已加密,则被动监控将只能获取设备的MACID和5元组属性。与实物盘点一样,被动监控仍可能存在盲点。
主动扫描:IT和OT系统的资产识别
主动扫描是由直连到被监控网络的产品所启动的补充方法,有两种基本类型:
认证扫描使用精心设计的方法,发送结构化消息给其他连接设备,请求获取资产标识信息,由这些设备回复所请求的信息。它还能够推断出更深层次的信息,例如已安装的软件、用户账号、设备网络加固状态以及—某些情况下—甚至是已知恶意软件指标。
大多数IT系统由面向IT的产品组成,这些产品都会响应未经认证和经过认证的主动扫描。事实上,许多IT设备都设计了经过加固的、具有强大恢复能力的网络接口、通信堆栈和服务,这些服务本身在日常运营中都会遇到这样的请求。这是IT产品安全成熟度的标志—但在许多针对特定应用程序的嵌入式OT产品中通常缺乏这种特性。在图7中,主动扫描设备与网络设备和端点设备直接交互,以搜集信息。当系统合理分割且网络路由受限时,可能需要多个主动扫描设备。
图7主动扫描网络架构
与IT产品相比,许多OT产品显得很脆弱。由于产品设计人员没考虑到设备会有此类通信,因此OT产品常无法接受主动网络扫描。更糟糕的是,若产品逻辑混乱或不堪重负,就无法精确获悉设备故障模式。出于这些原因,对连接到OT系统的任何东西都要非常谨慎,特别是OT系统用来执行其他设备的通信服务时。幸运的是,该行业不断成熟,有越来越多的面向OT的网络监控产品精心设计了功能以发现IT与OT协议和设备(常见的IT和OT协议示例,参见图8)。
图8 OSL 2层与7层常用的IT和OT协议
负责任的OT系统主动扫描方法只使用经过测试和批准的网络通信标准和协议,涉及OSI 2层及以上,进行设备发现,揭示哪些设备连接到了特定网络。它还有一个好处,即请求和搜集资产的标识详细信息,包括:
此类信息在调试设备和ICS时要求提供,设备更换时通常也会用到。这些信息还广泛用于资产管理方案,包括备份和系统恢复计划。通过收集此类信息,可以获得更完整的系统网络清单。
专家建议:
在对OT系统进行主动扫描时,应该仅使用专门设计并确认遵循严格OT协议和产品实施标准的工具。控制系统常依赖于通信和设备的可用性,这对时间有严格要求。否则,系统可能变得不稳定甚或不安全。若网络中断导致意外故障模式,可能会产生严重后果,包括身亡、机器受影响、性能下降以及质量和生产率的损失。
许多网络设备(如托管交换机、路由器、防火墙和一些端点设备)也包含大量信息,可进一步丰富融合IT/OT系统的网络清单。
搜集并汇总这些补充数据源,形成真值表,帮助进一步确定所连接的设备。其中许多服务都包含时间戳信息,因此,也可用于跟踪移动资产和数字取证。图9列举了部分此类信息来源。
图9设备中获取的补充信息来源
专家建议:
LLDP是部分网络设备支持的主动资产发现服务。该服务旨在帮助定位2层连接设备,亦可辅助创建系统映射。有时,系统默认启用LLDP以方便故障排除,但在不需要时最好禁用LLDP。否则,攻击者可能会利用它搜集情报,躲过多数网络监控工具的检测。
要建立对风险级别、完整性和所需工作量的准确预测,需要了解每种资产发现方法的关键属性,详见表1。
表1资产发现方法及其属性
类型 | 风险 | 目标系统状态 | 速度 | 准确性 | 覆盖度 | 实时性 |
实物资产盘点 | 低 | 运行
包括安全预防措施 |
非常慢
劳动密集型; 受时间安排限制 |
尚可
有资产访问权限时 |
高
有资产访问权限时 |
低
劳动密集型;按计划进行 |
被动监控 | 低 | 运行
若在没有TAP时建立监控,或缺乏端口镜像/SPAN功能时,可能需要暂停运行 |
快
但也与所要求的详细程度相关 |
高
时间越长越准确;取决于数据包流 |
中
时间越长覆盖范围越大;取决于网络访问 |
高
可作为持续流程进行 |
主动扫描 | 高
无充分规划与预防措施 |
建议非运行状态
限制在运行系统中使用; 仅在有预防措施且保证使用了可靠方法时 |
快
但也与所要求的详细程度相关 |
高
时间越长越准确;取决于设备功能 |
中
时间越长覆盖范围越大;取决于网络访问 |
中
常取决于执行计划 |
补充数据源 | 低 | 运行
建议设置服务时暂停运行 |
慢
需要协调、解释来源 |
高
有可用信息源时 |
高
有可用信息源时 |
高
本质上,始终处于最新状态 |
每种资产发现方法都可以提供关键资产数据,帮助您就如何管理系统的连接设备作出明智决策。通过每个设备的额外详细信息,还可以判断是否已正确配置并使用了最新的软件版本。有些先进的被动监控方案将这些功能加入功能集,支持漏洞分析、管理和上报,但业界对这些产品的使用率仍然很低,尽管它们所主张的价值很高。没有自动化工具的帮助,对于多数人来说,要查清每个连接设备是否是最新状态压力巨大,更麻烦的是,设备实际更新的速度通常比产品版本更新速度要慢。即使是单个产品更新也可能非常耗时。
产品更新步骤通常如下:
由于IT/OT融合系统可能要管理数十、数百甚至更多的连接设备,上述手动过程几乎总会有漏网之鱼,导致有设备未及时更新,风险未及时解决。此种全网产品修补方案稍显盲目,可考虑采用基于风险的方法。
基于风险的产品更新策略提供了一个更有条理的流程,方法更为简单,结果更为有效,可从逻辑上降低风险:
与此同时,必须进行持续监控并持续搜集威胁情报,为IT和OT系统的主动防护者提供支持。当需要延迟安全修复或不可能进行安全修复时,这种做法就愈发重要,因为防护者只有及时获取了所有必要信息,才会采取其他预防措施来监控和减轻未处理的风险。
全面的资产清单有助于实现CIS第3条控制措施的目标,即持续的漏洞管理:
从设备发现过程中获取的补充详细信息还有助于在计划维护窗口到来之前有效识别最可能受已知风险影响的连接资产。这些信息可用于基于风险的产品更新决策,以便制定合理的修补时间表。若更细致地研究已知产品漏洞和相关风险,可以进一步优化特定产品的修补优先级。
通用漏洞评分系统(CVSS)是一种开放的、公认的行业标准方法,用以评估联网设备安全漏洞的严重程度,可以对风险等级(例如低、中、高、严重)评分并给出定性结果。CVSS由事件响应和安全团队论坛(FIRST)[9]管理,接受业界输入。CVSS v3.0[10]是评分系统的最新版本,许多公司常用它来确定优先解决哪些已知的产品级漏洞。
CVSS基准分通常列在产品漏洞披露和公告中。当这些披露与特定系统的资产清单交叉引用时,CVSS分数能够大概描述受影响产品可能为系统带来的潜在风险,尽管这些系统各有不同。例如,如果产品漏洞允许远程执行任意代码,CVSS基准分会很高,单这一项就可足以说明相关漏洞的修复优先级。
CVSS的计算公式将特定值相加,得出整体安全评分。资产负责人在确定其风险水平和修复策略时,若更仔细研究造成CVSS评分的部分,而不是仅仅关注基准分本身,收获会更大,如图10所示。
图10 CVSS 3.0基准分计算
威胁=意图+机会+造成伤害的能力。构成CVSS基准分的各组成部分的分值对公司决策具有指导意义,公司可参考这些分值决定其关注点以及投资方向,让投资发挥最大作用,减轻相关风险。更深入地剖析分数有助于更细致地规划和确定优先级。例如,若无法及时修补漏洞,则可以强化事件监控规则以识别与资产相关的任何可疑行为。
总而言之,该模式具有如下优势:通过所掌握的全面的资产清单和细粒度CVSS信息,系统负责人可采用更恰当的风险管理方法,更合理地改善IT和OT系统的安全状况。
糟糕的是,没有人可以选择是否成为目标,攻击者为我们做出了这个选择。现今的网络攻击者不仅寻求经济利益,还为了显示其中断、破坏系统的能力,甚至是更可能造成个人和大范围伤害的能力。出于这个原因,公司必须积极投资,以维护和管理其关键系统、OT和IT等的风险。
制定可持续的计划,将物理资产清单与基于网络的被动监控、主动扫描和基于风险的产品修补方法相结合,可大力帮助企业管理风险并专注于业务需求。决定在哪些方面投入时间和精力以保护系统时,首先要做的是知道哪些设备已连接并在整个生命周期内对其进行管理。这些清单对风险管理至关重要,特别是对于目前和今后的融合IT/OT系统来说。
[1]SANS 2018工业物联网安全调查:明确工业物联网安全问题
[2] www.cisecurity.org/controls
[3] www.cisecurity.org/white-papers/cis-controls-implementation-guide-for-industrial-control-systems
[4] www.cisecurity.org/webinar/cis-controls-implementation-guide-for-industrial-control-systems-launch-event
[5] www.dhs.gov/national-cybersecurity-and-communications-integration-center
[6] https://danielmiessler.com/study/tcpdump/#protocol, http://tcpreplay.synfin.net/wiki/tcpreplay
[7] www.iso.org/standard/20269.html
[8] 参考SANS ICS515:工控系统防护与事件响应
[9] www.first.org
[10] www.first.org/cvss
本文原文来自于互联网的公共方式,由绿盟科技博客和“安全加”社区出于学习交流的目的进行翻译,而无任何商业利益的考虑和利用,“安全加”社区已经尽可能地对作者和来源进行了通告,但不保证能够穷尽,如您主张相关权利,请及时与“安全加”社区联系。
“安全加”社区不对翻译版本的准确性、可靠性作任何保证,也不为由翻译不准确所导致的直接或间接损失承担责任。在使用翻译版本中所包含的技术信息时,用户同意“安全加”社区对可能出现的翻译不完整、或不准确导致的全部或部分损失不承担任何责任。用户亦保证不用做商业用途,也不以任何方式修改本译文,基于上述问题产生侵权行为的,法律责任由用户自负。