网络安全漏洞评估

决定实施网络安全计划的公司往往在起步阶段就步履蹒跚，因为他们没有从解决一些最基本的安全概念开始。没有这些知识，就不可能制定计划，而没有计划，结果最多只能是偶然的，可能会让事情变得更糟。明智的方法需要从基本了解系统中可能存在哪些漏洞开始。这样的分析在概念上很简单，但如果执行得不好，在实践中可能会变得复杂。在大多数情况下，这是痛苦的，因为公司经常发现情况比他们想象的更糟。

第一个步骤是确定需要处理的安全标准或指导。有一些可能的寻址控制系统组件的历史，如NERC CIP-005, CIP-007, INGAA, CPNI和DHS CFATS。您的行业和流程的性质将指导这个决定。当您真正想做的是出去开始购买防火墙时，您可能认为选择一个标准太“高海拔”了，但是考虑一下这个类比:假设您想要建立一个食品加工厂，所以您想要使用卫生措施。如果你不知道像3-A和FDA这样的组织是如何建立卫生实践的，你的工厂几乎没有机会通过检查。工厂安全系统也是如此。您可以修复一些明显的危险，但最终您需要标准提供的指导。

接下来，您需要说服自己，脆弱性评估不是一个事件。这是一个不断进行的过程。你需要每天都思考这个问题，因为你的系统不是静态的，威胁也不是静态的。从DHS ICS-CERT开始，将自己插入网络安全组的信息源。这将帮助您了解最新情况，并为您自己的分析提供方向。

痛苦的过程

在这个过程中，公司觉得最痛苦的部分，无论是生理上还是心理上，可能是盘点你所有的网络资产，它们是如何连接的，以及它们是如何编程的。如果你没有太多的文档，或者你所拥有的不是最新的，这可能是一项艰巨的任务。但它意味着一切:

•服务器
•网络交换机
•用户终端
•台式机和笔记本电脑
•plc和控制器
•端子架
•无线发射器和接收器
•网络上的移动设备，以及
•其他一切。

找到所有这些设备后，记录每个设备上安装了什么软件，以及它们是如何相互连接的。是的，这可能是一项艰巨的工作，但这是绝对必要的。这不仅包括像文件、数据库、打印和web这样的服务器，还包括像Microsoft Word这样的应用程序，甚至包括系统固件。一旦编译完成，文档必须在每次更改时更新，包括软件补丁和更新。否则，您不可能阻止有创意的黑客可能找到的所有点。

在一个完美的世界里，这根本不应该是一个重大的任务，因为所有这些都已经存在并且是最新的。然而，我从来没有见过。没有一家公司的一切都是完整和最新的，所以不要认为你是孤独的。

如果你有一个计划，执行这个过程会更容易:

与您的人员交谈—使用您的网络的人员可能非常熟悉您的系统的特定部分，并且可能对漏洞存在的位置有一些想法。如果你想要合作，确保你们的讨论不会变成审问。还要确保您有一个适当的流程来保护所有这些文档。您最不希望发生的事情就是执行漏洞分析并让此信息落入错误的人之手。

检查您的文档—有总比没有好。即使是过时的和不完整的图表也可以作为起点并加以修改。

检查设备配置—这可能是一个非常乏味的过程，但您需要了解设备中运行的所有软件，精确到修订级别。在特定区域或机器中的代码来自OEM或系统集成商的情况下，找到答案可能很困难。这样的第三方供应商可能不想泄露这些信息，尽管越来越多的人开始理解在这种情况下对它的需求。这个练习可能是一个处理不应该在那里的东西的好时机，比如安装在控制室终端上的MP3播放器。

追踪电线——买一些护膝，开始在桌子底下爬，在架子后面找。您需要看到连接在哪里，以及可能存在哪些您不知道的连接。有各种各样的理由，为什么有人认为把各种设备捆绑在一起是一个好主意，你需要找到它们。

分析网络流量——当您看到网络上的事物是如何交互的时，它可以提醒您各种各样的事情。你需要知道谁在和谁说话，因为这些沟通渠道需要控制和指导。这个VPN通向哪里?当我们改变所有权时，需要创建哪些新渠道?

分析无线通信——虽然你可以追踪电线，但无线可以传播到任何地方。首先要确定你使用了多少频率和哪种频率。蓝牙，802.11,Zigbee, 900 MHz，以及更多的可能性。这一点尤其重要，因为侵入你的网络可能只需要购买别人安装的同一种无线中继器来替换损坏的线路。

一旦你的文档有了更好的结构，就测试你自己。进入工厂并运行审计，以查看图表是否与现实相匹配。如果图上说这个开关应该有5个连接，为什么会有6个?选一根电缆，确保你能在平面图上找到它。防火墙是否安装了正确的规则?如果你没有通过这些测试，你就需要好好审视一下你目前的工作。

下一阶段

一旦文档整理好了，就可以开始更复杂的分析。看看你的系统，问自己一些问题:

哪些流程和工具可以手动操作?如果您遭受攻击或其他系统故障，会发生什么?你有可能在手动模式下独立运行任何东西吗?如果你被困在一个降级的情况下，这种能力可能是继续生产和完全关闭的区别。

有多少系统共享基础设施?你的人际关系是否过于紧密?在工厂或生产单元的各个部分之间保持一定的分离有助于隔离问题，并将入侵的影响降至最低。

你的安全感有多“平淡”?如果您在一个通常无人值守的位置有一个远程终端，那么该位置的物理和网络安全级别可能应该高于您工厂内的控制室。安全级别应反映入侵的可能性。

工厂内的各种设备存在哪些安全漏洞?在您的网络中，可能有许多设备本身几乎没有保护。plc有默认密码，甚至是硬口令，供应商实现的所有解决方案可能对每个客户端使用相同的架构(甚至到MAC地址)，或通过明文交换数据。如果这些无法更改，这类设备将需要额外的网络保护。

带着故意使某些东西发生故障或损坏的想法审视您的系统。你能强迫阀门打开或关闭吗?你能让水泵在不该启动的时候启动吗?如果一个黑客试图闯入你的工厂，这是可能发生的事情。

一个不那么关键(和不那么受保护)的系统可以作为通往重要内容的门户吗?看看各种系统是如何相互连接的。低级别的系统可能没有什么保护，因为造成破坏的可能性很小。虽然这是合适的，但你必须确保底层系统不能提供渗透更关键的东西的手段。

工业的现实

在IT环境中工作的工程师看到工业网络时，通常会问为什么我们不使用一些办公和商业系统常见的基本安全技术。事实上，许多工业设备相当薄弱。如果黑客能侵入PLC，它可能就是个软目标。这意味着我们的网络必须在多个层面加强;否则，突破警戒线的人走动起来不会有什么麻烦，甚至可能会使某人的生命处于危险之中。

这就是为什么全面了解你的人际网络是如此重要的原因之一。你必须能比黑客想得更早，找到可能的弱点，并在外面的人利用这个漏洞之前修复它们。你永远不会完全安全，但通过一些协调一致的努力，你可能会领先一步。

Matt Luallen是Cybati的创始人，Cybati是一家网络安全培训和咨询机构，他经常为CFE Media撰稿。

https://www.us-cert.gov/control_systems/ics-cert/

https://cybati.org

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。