量化网络安全风险
本文的第1部分发表在2008年3月的《控制工程》杂志的Inside Process上。网络安全从业者通常将风险分为两类,每一类都有自己的威胁级别:第一种安全风险视图是公司在连接到互联网的情况下,在没有防火墙或任何其他安全保护的情况下运行SCADA系统。
本文的第1部分发表于2008年3月的Inside Process控制工程。
网络安全从业者通常将风险分为两类,每一类都有自己的威胁级别:
一个简单的,未受保护的控制系统安装的风险,运行一个普通的,标准的操作系统,直接连接到互联网(见图表);和
配备了多级保护的更高安全控制系统的风险(见图表)。
| 在没有任何保护的情况下,直接连接到互联网的SCADA系统很可能在几分钟内被漫游的恶意软件入侵,并迅速无法运行。 |
第一个安全风险视图是公司在没有防火墙或任何其他安全保护的情况下运行SCADA系统,同时连接到互联网。这种基于通用计算机操作平台并连接到互联网的无保护SCADA系统很可能在瞬间遭到攻击,并在数小时内完全瘫痪。显然,这一类别具有最高的风险等级,在任何情况下都必须避免。
在这种情况下,第二个风险概况更适合实际操作的SCADA系统。在这种观点中,相关的风险与特定的目标攻击有关,而不是来自漫游在互联网上寻找未受保护系统的恶意软件代码主机的随机网络威胁。
评估你的情况的一种方法是查看历史先例,包括你所在公司和行业的网络事件。如果有足够的历史信息,风险分析团队可以将历史发现推断或解释为未来发生的概率。由于大多数公司缺乏足够的内部历史事件来形成一个现实的分配,风险概率分配的发展依赖于行业报告的事件。请记住,网络活动正在上升,所以不要自欺欺人地认为它将保持在历史水平。总是假设你的历史图景是不完整的,黑客活动水平只会上升。
网络安全社区内部对报告的SCADA网络安全攻击的数量和频率存在分歧。一些消息来源表明,报告的攻击水平非常低,而另一些消息来源则表明,攻击水平要高得多,而且趋势还在继续上升。这种差异让工程师们想知道如何最好地解释数据。
了解网络事件
对网络安全事件有完整记录的报道相对较少。受害者不愿意讨论细节是可以理解的,专家也不喜欢美化或鼓励网络罪犯。因此,网络安全文献倾向于讨论相同的具体的、可验证的SCADA网络安全事件:
2000年4月,澳大利亚昆士兰州马鲁奇郡,污水被排放到公园、河流和一家酒店;
2001年5月,加利福尼亚独立系统操作员,黑客进入了一个计算机网络,但未能渗透到任何控制网络;
2003年1月,Slammer蠕虫病毒侵入美国一座核电站的控制系统;和
2008年1月,美国中央情报局报告称,网络犯罪分子入侵了一家身份不明的电力公司(美国境外),并关闭了服务,这显然是勒索计划的一部分。
| 防火墙和其他保护策略必须允许所需信息畅通无阻地流动,同时切断未经授权的访问。 |
其他人则列举了更广泛的事件。不列颠哥伦比亚理工学院(BCIT)的Byres和Lowe编制了一个1995年至2003年的工业网络安全事件数据库。他们报告说,数据库中有41起事件,其中34起被认为是具有足够质量的事件,可以进行统计分析。分析时间跨度从1995年到2003年。在1995年至2000年期间,据报道,网络安全攻击每年发生一到三次。从2001年开始,2001年为4起,2002年为6起,2003年为10起。
虽然对可验证的SCADA网络安全事件的频率有不同的看法,但一个一致和共同的主题是,这个数字被低估了。缺乏报告是由于行业不想发布这种负面信息,以及缺乏向任何特定机构报告的监管要求。一旦公司接受了网络犯罪和恐怖主义的现实,它就必须分析事件在其系统中发生的可能性。
量化公司特定事件发生的概率是一项复杂的活动,它建立在最主观的分析基础上。由于缺乏具体和可证实的威胁,例如美国国土安全部可能提供的威胁,任何风险分析都必须首先提出一些潜在的难题:
我们会不会受到内部心怀不满的员工的攻击,就像Maroochy污水排放事件一样;
黑客会纯粹出于个人娱乐或恶名而随机找到我们吗?
潜伏在互联网上的恶意软件会不会突破我们的保护?
是试图以勒索或其他经济利益为目的闯入的黑客;
恐怖分子是否为了发表政治或宗教声明而闯入;而且,
对黑客来说,我们是多么有吸引力的目标啊。
每个进行风险分析的公司必须至少尝试建立一个基于风险属性的个性化风险概率因子。对于任何运营SCADA系统的公司来说,有一件事是肯定的,那就是发生这种情况的概率不是零。一旦公司确定了发生的概率,下一步就是确定成功攻击的严重性或后果。
理解程度
由于每个系统可能出现的潜在结果范围的宽度,得出事件严重性排序变得复杂。低后果事件是黑客只是获得了系统的访问权限,但没有负面后果。上面提到的加州独立系统运营商黑客事件就是这种类型的一个例子。另一个极端是会引发灾难性后果的事件,包括生命损失、广泛的环境危害,并可能导致公司倒闭。低后果和灾难性黑客事件之间的区别可能取决于黑客进入你的控制系统后决定打开什么阀门。
预测可能性涉及一些最坏情况的分析,例如:
潜在爆炸性工艺事故;
中断提供公用事业服务;
因篡改配方而污染产品的;
产生环境后果的成品或原料的排放;
工艺设备损坏;
操作数据和生产历史的丢失;
在恢复和清理过程中丧失生产能力;而且,
根据您的制造业务的性质,公司特定的可能性。
在确定了这些潜在的结果之后,下一步是对它们进行排序,而不是试图分配一个特定的值。考虑到这两种事件的潜在严重范围,很难将原料损失与设备损坏进行比较。此外,这两种功能可能受到同一缓解解决方案的保护。尽管如此,根据派生的概率和后果严重性分配清楚地确定一组风险级别,为决策者提供了一组支持值,供他们在考虑潜在的风险缓解工作时使用。
不祥之兆
成功的网络攻击可能会导致大范围的电力中断,类似于2003年8月14日的美国东北部大停电,或者导致天然气输送等其他基本服务的中断。虽然不是网络事件,但东北地区的停电确实展示了主要SCADA系统事件的规模和影响。这一单一事件的结果影响了至少5000万人,造成了至少60亿美元的经济损失。
每家公司都必须平衡潜在SCADA网络安全事件的风险,事件可能对公司、客户和其他利益相关者产生的影响,以及网络安全缓解计划的成本。在设计和部署整体风险缓解策略的过程中,最困难的一步是对风险进行量化。然而,当以客观和周到的方式进行时,公司可以提高后续保护策略计划的有效性并降低成本。
| 作者信息 |
| 摩根·亨利(Morgan Henrie)是阿拉斯加大学安克雷奇分校的物流研究助理教授。打电话给他。afmeh1@uaa.alaska.edu. |
| Paul Liddell是Alyeska管道服务公司的SCADA主管liddellp@alyeska-pipeline.com. |
您是否具有本内容中提到的主题的经验和专业知识?您应该考虑为我们的CFE媒体编辑团队做出贡献,并获得您和您的公司应得的认可。点击在这里开始这个过程。
