搜搜吧

查看: 6|回复: 0

[综合] 3种方法保护遗留基础设施安全[含3P]

[复制链接]
  • TA的每日心情
    开心
    3 天前
  • 签到天数: 418 天

    [LV.9]以坛为家II

    研究生

    7242

    主题

    7679

    帖子

    2万

    积分

    Rank: 8Rank: 8

    UID
    15343
    威望
    -427
    贡献
    3894
    在线时间
    146 小时
    注册时间
    2015-10-12
    发表于 2018-9-14 16:20:03 | 显示全部楼层 |阅读模式
    推广者专属福利,新客户无门槛领取总价值高达2775元代金券,每种代金券限量500张,先到先得。

    众所周知,遗留设备(Legacy)仍将继续在关键基础设施的持续性和稳定性方面起到重要作用,尤其是在工业控制系统(ICS)中。数字政府中心最近的一次调查研究发现,70%的受访机构依赖遗留基础设施维持运转。

    68699a2ceb0ee523a5b9582bc6b27e0d.jpg-wh_651x-s_1184281703.jpg

    德勤会计师事务所和MAPI的另一份报告《先进制造中的网络风险》,强调了保护遗留控制系统的重要性。报告显示,现代工业控制系统比其前辈容易保护得多。对200多家制造企业的调查发现,过去一年里,40%的受访企业都受到了网络事件的影响,最大的风险存在于遗留ICS中。

    遗留基础设施是什么?为什么遗留基础设施需要受到保护?

    与智能电网或智能工厂之类现代智能企业中所用的最新先进设备相反,遗留设备通常颇为老迈,有些甚至已存在了20年、30年,甚至更久时间。这些设备依然能用,有时候因为升级换代所需的巨大资本投入而往往没被替换。某些情况下,因为通信协议的问题,此类系统甚至理解不了IP协议(网际协议),可能使用某些专有通信机制。如此一来,更新工作就更令人绝望了,因为不仅控制系统设备需要更新,整个网络基础设施都要推倒重来。

    另一个巨大的挑战是,某些老旧控制系统运行的是过时的操作系统或应用软件,不再受其制造商支持,甚至整个软件开发社区都无视了这些操作系统或应用软件的更新。此类系统漏洞裸奔,对攻击和漏洞利用程序完全开放。更糟的是,它们有时候还不支持安全套接字层(SSL)和/或传输层安全(TLS)协议,通信信道本身毫无身份验证和加密保护。类似的,即便支持SSL或TLS的设备,其版本也大多过时且没打补丁。

    甚至即使有软件升级或补丁可用,也解决不了最终的问题,因为有些系统根本就不升级。其间阻碍包括这些系统所处位置的偏远性和难以到达性,还有升级流程的复杂程度。而且,对关键基础设施而言,仅仅是升级过程造成的那一点点停机时间,也是不可接受的。

    以上不利条件造成了这些系统面对漏洞利用毫不设防的现状,一旦被入侵,将极其难以检测和缓解。漏洞利用不仅能令这些控制系统无法继续正常操作,还会对整个工业运营造成严重而灾难性的打击。

    保护遗留基础设施的3种方法

    1. 保护终端

    终端包括多种控制系统设备,比如远程终端单元(RTU)、可编程逻辑控制器(PLC)、智能电子设备(IED)等等。这些终端只允许操作所需的通信消息可以接入。排除通信信道中所有不必要的流量可以防止终端暴露在漏洞利用或攻击的威胁之下。

    工业控制系统领域有个通行的理念:没坏就别修。只要控制系统按预期运行,软件升级或维护就有可能带来让系统不稳定的风险。然而,另一方面,升级系统以防止漏洞或协议异常的需求又总是存在的。这种情况下,协议异常检测防火墙,或者说深度包检测防火墙(因为不仅仅查看数据包头,还查看深藏在数据包里的协议消息内容以应用过滤规则),就是只允许安全有效的协议消息抵达终端设备而减轻修复软件漏洞需求的必备方法了。

    b26a1cabd4478d8d227d882e4f3c7d55.jpg

    设备级防火墙保护遗留终端设备不沾染恶意流量和非必要流量示意图

    2. 保护网络

    很多情况下,遗留设备本身所用的网络通信协议就是不安全的。即便确实有某种程度上的安全,也顶多是SSL或SSH的弱化版本,可被轻易突破或利用。保护这些通信信道以防止中间人攻击非常重要,这样才可以避免对控制系统的任何危险影响。信道保护的方法之一,是通过 IPSec VPN 隧道来加密通信。面向单个或多个控制系统终端的VPN网关,可以确保这些消息被几乎不可破解的强算法加密。

    至于不支持IP协议的终端,比如传输Modbus、Profinet或类似协议消息的遗留串行设备,设置将串行数据转换为TCP/IP消息的边界终端服务器,应能在数据传输前保护IP网络安全。很多方法都能达成所需的安全,SSL和 IPSec VPN 是最主流的。

    a37e1151276eb897f643a66d683b1f57.jpg

    边界防火墙保护遗留网络不受恶意流量和中间人攻击影响示意图

    3. 监视网络和终端

    即使终端和网络都已安全,仍需持续监视网络,查找影响安全稳定状态的任何改变。网络和控制系统总在不断发展变化中,新的威胁和漏洞持续涌现。网络自身也在不断膨胀,越来越多的通信设备融入网络,随之引入各种安全漏洞。有必要设置一套系统持续跟踪网络中所有资产(或者通信设备),近实时地发现可能是潜在威胁的新设备。这一资产发现系统应覆盖IP和非IP通信,比如串行设备。

    至少,确保符合行业特定标准(如 NERC CIP、NIST 800、IEC 62443 等)的审计机制,有助于保持控制系统的安全和可用性。

    德勤与MAPI出的《先进制造中的网络风险》报告原文地址:

    https://www2.deloitte.com/us/en/pages/manufacturing/articles/cyber-risk-in-advanced-manufacturing.html

    【本文是51CTO专栏作者“”李少鹏“”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】


    楼主热帖排行榜
    搜搜吧社区温馨提示:
    搜搜吧(www.sosoba.org)十分重视网络版权及其他知识产权的保护,针对网络侵权采取如下版权政策:
    1、本站有理由相信网友侵犯任何人的版权或作品,(图文,文字,下载,视频,非法传播),本站有权不事先通知即删除涉嫌侵权的作品和内容!
    2、本站将采取必要的网络技术手段,确认为侵权作品或内容的用户有权进行警告、屏蔽、删除的行为,尽可能的防止侵权行为的发生!
    3、如若您的作品或内容在搜搜吧被侵权,请及时联系我们并提供能证明版权所有的物品,我们将及时进行处理,给您造成不便,敬请谅解!
    4、搜搜吧删帖,投诉,举报,侵权,账号解封唯一指定快速受理频道,请直接发送邮件到 kefu-sosoba@qq.com 一个工作日内核实并邮件通知立即删除
    soso搜搜吧社区是聚合百度搜索,搜狗搜索,360搜索,新闻,教育,站长,广告,娱乐,影视,微信,网盘,营销,手机,汽车,游戏,论坛综合为一体的大型门户社区www.sosoba.org
    Powered by www.sosoba.org X3.4© 2013-2018 搜搜吧社区 小黑屋|手机版|地图|关于我们|新闻资讯|soso搜搜吧社区官网
    本站所有的内容均来自互联网以及第三方作者自由发布、本站soso搜搜吧不承担任何的法律责任、若有侵权请来信告知,我们在收到举报后的一个工作日内立即删除
    推荐使用:chrmoe谷歌浏览器,搜狗浏览器,QQ浏览器,360极速浏览器,360安全浏览器,猎豹浏览器,火狐浏览器,世界之窗浏览器,百度浏览器,Safari浏览器,访问本站效果最佳,移动端支持ios和Android

    GMT+8, 2018-9-24 09:47 , Processed in 1.125000 second(s), 30 queries , Gzip On.

    快速回复 返回顶部 返回列表