贝尔登:保护自己

“我会问你最大的威胁是什么:恐怖分子、黑客分子还是控制工程师?”周二，在德克萨斯州休斯顿举行的2014年工业以太网基础设施设计研讨会上，来自红帽网络公司的独立ICS安全研究员Joel Langill在题为“使用先进防御提高系统弹性”的主题演讲中问道。答案是控制工程师。当你进行现场评估的时候，没有人会保护那些在里面工作的人。这并不是说他是坏人，他可能只是不知道该做什么。”

“控制工程师是系统最大的风险，”Langill说。“威胁不应该是行政特权。”

防御内部攻击的概念有点不同，因为吸引最多头条新闻的是外部攻击，比如震网(Stuxnet)或最近的Havex/Dragonfly。与深思熟虑的全面安全计划相比，大多数公司依赖的是短期或反动的防御。Langill说:“目前的安全是短期的战术措施，比如补丁管理或安装防病毒软件。”“安全必须考虑战略控制或长期规划。”他提到的一个例子是补丁管理。

“我不是补丁管理的强烈支持者。还有其他办法可以帮助解决这些问题。”相反，Langill说，有其他方法可以确保一个安全的环境，保护用户免受不良代码的侵害，直到安装补丁。

他说:“我关注的是系统，我不带标准，我只凭常识。”部分常识也符合IEC 62443标准，该标准讨论了通过区域和管道进行分割。区域和通道是深度防御模型的一部分，有助于锁定网络。使用这个模型，用户应该只允许最小需要的流量进入区域，当威胁通过警报声音到来时。管道是进出一个区域的通信通道。区域是网络中需要保护的特定区域。对内部攻击进行分割和保护是强大的安全程序的一部分，但有时系统也会受到来自外部的攻击。

攻击向量

兰吉尔谈到了一些著名的攻击。

“震网很糟糕，但Havex要糟糕得多，”他说。“Havex或Dragonfly对更多人的伤害要大得多。在这两种情况下，人们现在都采取了基本的安全控制措施，袭击不会停止。问题是人们只是在战术上思考，而不是战略上。”

震网病毒是美国和以色列发起的攻击，目的是破坏伊朗纳坦兹的铀浓缩设施，根据ISSSource的一份报告．

根据一份报告，Havex/Dragonfly是针对制药行业的恶意软件，而不是之前认为的能源行业兰吉尔为贝尔登写的白皮书．

兰吉尔在之前的一份报告中说:“我认为制药公司正受到积极的攻击。”“这一结论是基于目前针对制药行业的Epic Turla运动所披露的信息得出的。《Dragonfly》和《Epic Turla》之间有许多相似之处，这让我得出了这个结论。”

Havex/Dragonfly的后果:

• 未经授权的代码执行
• 信息披露
• 未经授权的远程访问
• 对控制函数的未授权写访问
• 拒绝服务/失去视野

兰吉尔说:“我们今天不得不处理昨天没有处理过的问题。”“这些都是我们必须应对的袭击。防范明天的事件意味着用户必须改善访问控制，获得态势感知，并为网络事件做好计划。”

对工业场所的袭击仍在继续。虽然他说他不能透露细节，但Langill提到了一家南美炼油厂，该炼油厂的恶意软件漏洞影响了3000个节点，并侵入了他们的plc。

有针对性的攻击

这个故事的寓意是，你可以保护你的公司不受内部和外部的攻击，但如果你有一个目标，你最好有一系列的层，可以帮助减缓任何类型的攻击。兰吉尔说:“无论如何，有针对性的攻击都会成功。“多年来我们学到的是，如果有人有一个特定的目标，他们就会进入。如果你成为目标，你就会受到威胁。”

在遭受攻击后，问题只在于用户有什么样的安全程序以及他们保持警惕的程度。虽然这听起来有点吓人，但在当今的环境中，用户需要关注并专注于创建安全程序。恐惧和不确定性不应该阻止人们进入更强的安全态势。“当你谈到安全问题时，人们的眼神开始变得呆滞，”他说。“网络安全的现实是，我们受到时间和金钱的限制。”

然而，最终的结果是，当安全程序最终实现时，正常运行时间和生产力可以增加。“如果你设计一个系统来保护你的系统不受内部工程师的攻击，”Langill说，“你就能保护自己不受大多数攻击。”

格雷戈里·黑尔是工业安全和安保来源(ISSSource.com)的编辑和创始人，这是一个涵盖制造业自动化领域安全和安保问题的新闻和信息网站。本内容原载于ISSSource网站．ISSSource是CFE Media的内容合作伙伴。由数字项目经理Joy Chang编辑，控制工程，jchang@cfemedia.com

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。