改善遗产关键基础设施保护

分布式网络协议3.0（DNP3）是在Modbus之后的工业控制系统（ICS）中使用的第二个最广泛使用的串行通信协议。作为2019年技术更新中提到的EPRI（电力研究所）：“它是北美最广泛使用的公用事业通信协议用于过程自动化系统中组件之间的通信。

它用于监督控制和数据采集（SCADA）系统，用于数据采集设备，以与控制设备进行通信。它最初是为电网而设计的，但现在也用于石油和天然气，水和污水，运输等。DNP3授权运营商跟踪设备级别，如电流，电压，报警状态，设备控制或断路器状态，以便检测出现任何问题。该协议是在1993年开发的，没有内置安全性（无身份验证，也没有加密）以及常见的功能代码和数据类型，使其成为黑客攻击欺骗或窃听攻击的兴趣传染媒介。

就运营技术（OT）网络的网络安全而言，人们倾向于专注于传输控制协议/互联网协议（TCP / IP）水平，因为这是大多数商业解决方案的优惠。在过去，它更容易忽略串行通信安全性，因为没有办法安全或安全地识别正在较低水平的发生，因为从SCADA调查的数据通常来自TCP / IP连接的设备（如可编程逻辑控制器）（PLC）和远程终端单元（RTU）。最近对关键能量的攻击强调了重新检查公用事业网络安全的重要性 - 这项努力的一个重要方面是在公用事业部门广泛使用的DNP3连接设备。

我们在数字转型中面临的问题是，所有资产都连接到互联网上。这意味着没有任何东西是完全安全的，如果对手获得访问网络的任何部分，他们可以进入更关键的操作，造成严重的停机时间，损坏资产，甚至成为对人类安全的威胁。继最近佛罗里达州奥兹玛的供水供应链和殖民管道遭受攻击后，我们需要改善关键基础设施的网络安全态势。

据报道，殖民地管道不需要离线，但如果其IT / OT系统是连接的，则可以这样做。在这种情况下，勒索软件攻击针对IT侧，但可能已经枢转到OT侧的管道操作。我们可以肯定一旦Mandiant / Fireeye已经结束他们的调查，攻击者不再在网络中立足？众所周知，黑客喜欢留在他们工作的系统中，这么难以控制。

提高依赖遗留控制的关键系统的网络安全的一步是监控普通模型的串行通信，0/1级，以帮助早期检测。如果系统已经泄露，它是检测攻击的一种方法。

较低级别的这些通信可以信任携带可靠的未触及数据，因为该数据是物理设备正在通信的位置，而不是在可以改变数据的级别2及更高的位置。该数据可以显示PLC和断路器之间的直接通信，例如将其引导到打开或关闭该断路器。如果您正在监控它，则可能已经修改了糟糕的演员;这意味着它并不代表物理过程级别发生的事情。

例如，Stuxnet对针对伊朗核计划的人机界面（HMI）进行了错误的反馈攻击。它是一个瞄准PLC的计算机蠕虫，并命令离心机以比正常的速度更快地运行。但是，由于对HMI的反馈伪造，因此操作员观察到正常流量，并且无法看到它们运行的​​速度有多快。

Another example is the BlackEnergy attack on the Ukrainian power grid in December 2015. The attacker took control of the HMI, switched off breakers and changed the password so the operator wouldn’t be able to log in. This caused over 230,000 people to lose electricity for up to 6 hours. The operators had to control the breakers manually to restore power. In the US, many power grid control systems don’t have manual backups, which would make it even more challenging to restore service in such a situation.

关键基础设施已成为一个大目标，我们实现了越来越多的人，这是一天的不安全。Solarwinds和Microsoft Hacks还经过验证，我们再也没有准备捍卫自己反对这种威胁。Solarwinds感染了许多公司但是“还感染了电气，石油和制造业的十几家关键基础设施公司。“

我们远非网络安全，需要升级我们的网络习惯，以争取我们今天面临的越来越多的攻击。这些袭击变得越来越有害，对人类安全造成威胁。我们应该更新网络安全程序对新选项，可以帮助关闭循环以监控和保护所有级别的普渡模型更加安全，而不会忽略较低级别。

与Solarwinds一样看出，许多组织已经损害，攻击者在计划攻击时潜伏在网络中。即使在攻击之后，Hackers始终有可能留在环境中窃取更多文件，阅读电子邮件甚至计划另一个攻击。不要假设系统是安全的，因为任何系统都可以是针对性的。为了安全，至少用户应该监视网络中发生的事情，以便检测这种隐秘的妥协。这不是任何东西的保证，但它将提供一些舒适。

本文最初出现在Cynalytica。Cynalytica是CFE媒体内容合作伙伴。