来自Triton网络安全事件的建议

网络安全事故:施耐德电气和ARC咨询集团的专家表示,人为错误使其启动,但Triconex安全控制器按设计关闭了工厂。但这仍然是对工业行动的呼吁。从那以后你实施过什么改变吗?

马克·t·霍斯克,CFE传媒 2018年4月18日

破坏工业三冗余安全控制器应该打消黑客可能不关心工业设施或过程控制是低风险网络安全目标的任何想法。所有设施,即使已经听取了建议施耐德电气ARC咨询小组,需要制定应对计划。2017年8月4日,Triconex安全系统遭受网络攻击,其中包括第一个过程安全系统专用恶意软件TRITON,该事件在2月13日的媒体和分析师午餐会上被描述。该三冗余安全控制器品牌是施耐德电气EcoStruxure Triconex安全仪表系统(SIS)的一部分。以下是每位专家的建议摘要。

协同网络安全工作

这个行业存在一个问题;黑客可以到达仪器。施耐德电气负责创新的副总裁Peter G. Martin表示,导致攻击者将恶意软件注入安全控制器的网络安全事件,是对该行业采取行动的呼吁,因为它预示着新的地缘政治气候,恶意行为者拥有专业知识,以及无限的资源,可以进行网络攻击。这些攻击可以到达控制系统中的仪器,特别是如果组织不符合行业标准、最佳实践和网络安全程序。这意味着行业终端用户、标准组织、供应商和政府机构需要联合起来对抗威胁。该行业不应该认为没有问题,因为设备运行正常,安全关闭了目标工厂。

这是一个问题,因为没有遵循网络安全最佳实践;为了降低发生其他网络安全事件的风险,需要与最终用户、供应商和政府进行更多的合作。

网络安全警钟

多个网络安全漏洞导致安全控制器被攻破。施耐德电气技术、网络安全和通信高级主管Gary Williams表示,这是一个行业行动呼吁。Triconex 3008型控制器于2001年投入市场,并于2007年作为一个大型自动化项目的一部分安装,该控制器受到安全漏洞的影响。当控制器在攻击者注入其代码的恶意软件中发现异常时,控制器的反应就像预期的那样:它通过2017年8月4日的关闭安全地将工厂带到安全状态。

在接到关闭通知后,施耐德电气与最终用户、独立网络安全组织、美国国土安全部/ICS-CERT和其他机构密切合作,调查这起事件。他们收集的证据表明,多重安全漏洞导致了这次入侵。

一名远程攻击者通过公司系统,登录到一台机器上,摆弄代码。一个人犯了一个非特定于控制器的错误,并通过微软XP(不再支持)软件将其暴露给远程访问。在控制器文档中概述的做法,以及ISA99工业自动化和控制系统安全委员会关于工业自动化和控制系统(IACS)的IEC 62443系列标准,如果遵循,将阻止违规行为。

不要惊慌;评估风险

重新考虑网络安全流程、程序和培训。ARC咨询集团过程自动化研究副总裁Larry O 'Brien表示,行业不应该恐慌,但应该重新考虑有关流程、程序和人员的最佳实践。有很多方法可以执行响应和防御系统的多阶段攻击。

在同一事件中,攻击破坏了另一家供应商的分布式控制系统(DCS);因此,虽然关闭是按照设计启动的,但最好不要遭受破坏并关闭一个过程。

现场的其他人为错误,包括控制器的键开关在运行时处于程序模式,以及控制器机柜未锁定,都增加了网络安全攻击的重大风险。为了降低此类事件的风险,客户应继续在其运营中应用网络安全最佳实践,并始终执行供应商在其系统文档中提供的说明。例如,推荐的做法是将一台笔记本电脑专门用于DCS,不让任何人或任何东西连接到它。

施耐德电气对这一事件的公开和有益的回应受到了赞扬,应该成为其他供应商回应的蓝图,因为这不会是最后一次事件。

对黑客有什么吸引力?通过对DCS和安全系统重新编程,攻击者可以在工厂和安全系统不知情的情况下将工厂推入不安全状态。这意味着,如果事故发生,预期的结果,即安全系统关闭核电站,不会发生。爱达荷国家实验室至少在10年前就演示过这样的DCS欺骗事件。

程序模式,网络安全标准

你们的控制器是否处于程序模式?

Eric Cosman, ARC咨询集团的特约顾问和工业自动化和控制系统安全委员会他说,对Triton的攻击并非史无前例。他建议我们不要低估人类否认所带来的危害。科斯曼的大部分职业生涯都在陶氏化学公司工作,他说,把控制器钥匙留在项目位置是不可原谅的。ISA99委员会制定了IEC 62443,涉及人员、流程和技术。风险评估是其中的一部分。最终用户没有时间阅读1000页的标准;实践和案例研究以及经过处理的实际事件示例都是可用的。

频繁的网络安全教育

网络安全不是目的;这是一个旅程,也是一个持续的过程。施耐德电气过程自动化总裁Gary Freburger表示,网络安全就像安全一样,不是一件可以完成和完成的事情;这是一个持续的过程。如果一个系统正在做它应该做的事情,就不要碰它,这是违反直觉的。

违规行为会发生,网络安全是每个人的工作,无论是个人还是组织层面,都需要对行业、标准和透明度做出承诺。以下是三个最佳实践。

1.致力于教育并且通过不懈的努力来发布和标准化最佳实践并共享信息,从而解决人员、流程和技术问题。

2.使用通用标准在所有设备和多个供应商之间,通过相关人员的反馈和指导。

3.通过透明度确保协作。不要说或相信任何东西是安全的。很多人都试图进入这些系统。每个人都需要正确地回应,知道之前做了什么,知道如何纠正它。

弗雷伯格说,在这起案件中,施耐德电气的专家在接到通知后4小时内就赶到了现场。他说,终端用户在网络安全事件中挣扎,供应商可以利用他们的专业知识提供帮助。

马克·霍斯克是内容管理器,控制工程, CFE传媒,mhoske@cfemedia.com

关键字网络安全,过程安全

黑客可触及仪表。

过时的软件是网络安全风险。

重新考虑网络安全培训。

考虑一下这个

人们是如何在你的公司改进网络安全吗?

在线额外

施耐德电气提供网络安全门户

ARC咨询小组有一个网络安全咨询服务.https://www.arcweb.com/advisory-services/cybersecurity-advisory-service

连接到相关的控制工程下面的文章和专门的网络安全页面上有网络安全报道。

实时入侵您的流程(2005年)

您是否具有本内容中提到的主题的经验和专业知识?您应该考虑为我们的CFE媒体编辑团队做出贡献,并获得您和您的公司应得的认可。点击在这里开始这个过程。

相关文章
面向工程师的新产品
搜索产品并发现您所在行业的新创新