以网络安全保障供应链安全

安全意识正在席卷整个制造自动化领域，毫无疑问，让你的房子井然有序是首要任务，但这并不是确保安全环境的结束。

在这个合作伙伴、供应商、第三方供应商和开放通信的时代，供应链上的某个组织的安全性可能会很弱，这是不可避免的。

问问塔吉特或者蜻蜓/Havex攻击的受害者就知道了。

工业控制系统(ICS)网络安全专家、SCADAhacker.com网站创始人Joel Langill表示:“供应链是当今工业控制系统面临的最大风险之一。“近年来，有一些重大事件表明，不仅供应链，而且ICS供应商供应链都可以被成功利用。戴维斯贝斯核电站的Slammer感染是2003年这种攻击载体潜力的教科书案例。然而，最近的攻击应该提醒我们，这些威胁可能会对所有部门的资产所有者构成威胁。

“2012年对Telvent的攻击表明，攻击者可以利用资产所有者的远程连接和供应商拥有的额外知识产权来促进对关键资产的未经授权访问。2014年，Dragonfly/Havex活动采取了不同的方法，并表明由于供应商在自己的基础设施中采取了不安全的安全措施，合法软件可能会被改变，从而让资产所有者、集成商等下载他们认为安全且“可信”的软件，但实际上包含后门，不仅允许远程命令和控制，而且能够通过潜在的安全加密隧道进入系统。”

蜻蜓/Havex的攻击应该会让制造业自动化领域的任何用户感到不寒而栗。它采用了值得信赖的供应商/用户关系，并将其颠覆。

供应链攻击

“我们知道Dragonfly/Havex是针对工业远程访问和成像产品供应商的供应链攻击，”安全控制专家埃里克•拜尔斯(Eric Byres)表示。“被蜻蜓攻击者入侵的供应商并不是预定目标，而只是通往更大、更有价值目标的渠道，可能是一家或多家主要的欧盟制药公司。攻击者能够成功地将这三家供应商支持站点上的合法安装软件替换为包含恶意组件的软件，即Havex恶意软件。

“换句话说，恶意内容被捆绑到一个软件包中，而ICS界的大多数人会认为这个软件包是‘可信的’，因为它是从可靠的来源获得的。一旦受感染的软件包安装在工厂车间，攻击者就可以完全访问最终用户的整个VPN和/或成像基础设施以及受其保护的所有ICS资产。这次攻击凸显了利用可信供应链供应商直接向难以到达的端点(如可编程逻辑控制器(plc)和隐藏在防火墙或数据二极管后面的pc)传递恶意有效载荷的可能性。”然而，供应链有多个方面。

“这个问题有两个部分。安全与安全集成商aeSolutions的工业网络安全主管John Cusimano表示:“供应链是指你从供应商那里获得的产品，供应链是指系统集成商等外部服务公司，这两者都是你需要关注的事情。”“以塔吉特为例，黑客是通过暖通空调供应商入侵的。有很多直接通过服务提供者进入的例子。对于震网病毒，进入伊朗核设施的途径是通过第三方承包商。”

信心不强

一项调查显示，如今终端用户对合作伙伴和供应商的安全信心并不强。

与此同时，47%的受访者表示，他们对业务合作伙伴和供应商的安全性没有信心。

根据Dimensional Research为Tripwire进行的一项研究，这与公司对自己的评价大相径庭，81%的IT专业人士对自己保护敏感客户数据的能力充满信心。调查对象包括320多名IT专业人员，他们对组织供应链的安全性具有可视性。

霍尼韦尔过程控制公司首席网络工程师兼全球解决方案总监Eric Knapp表示:“我注意到81%的受访者对自己的能力充满信心，但47%的受访者对合作伙伴缺乏信心。“81%的比例让我很担心，因为在我看来，这像是过度自信，还有一些指责。如果我能给这81%的人一些建议，那就是真正审视自己的能力，因为如果这包括允许使用不安全的合作伙伴的政策(正如调查所显示的那样)，他们自己的能力就没有他们想象的那么好。”

人的因素

沿着这些思路，人类在整个问题上发挥了重要作用。

SCADAfence首席执行官Yoni Shohet表示:“我认为人为因素是个大问题。“供应商从最终用户那里得到了很多信任，他们被允许执行最终用户没有能力帮助他们并理解其后果的操作。在德国核电站事故中他们发现了恶意软件。恶意软件是由一名技术人员通过u盘引入环境的，但他们不知道恶意软件的威力。技术人员插入一个u盘，开始在环境中传播恶意软件，并影响了20台设备。

“即使在一个空气隔离的环境中，总会有来自外部信息技术(IT)世界的承包商和技术人员将某种设备连接到网络上。这是公司必须开始评估的一项巨大工作，特别是当你谈论供应链时，因为他们有太多的环境是基于他们的工业供应商的这些操作。”

“每个人都必须考虑整个供应链——包括他们使用的硬件和软件，也许更重要的是，他们使用的人，”Berkana资源公司的首席安全官Graham Speake说。“当你购买任何东西时，总是会有风险，有些东西你的资源有限。如果我们考虑一下我们使用的硬件和软件，可能没有任何实体(也许除了政府)能够彻底检查系统中的固件是否正确，软件中没有后门，没有硬编码密码。最终用户需要依赖供应商的良好安全实践，并且只从信誉良好的公司和授权供应商处购买。虽然可以通过购买灰色进口产品或从第二级供应商处节省费用，但该装置的有效监管链可能无法核实。最终用户应确保从授权经销商处购买设备，并在原始制造商处注册设备，后者可能会发现设备中的异常。

“随着公司之间合作的增加，最终用户越来越依赖供应商来诊断故障、优化流程和远程支持控制系统，从而节省了差旅和费用成本。然而，这依赖于供应商拥有与最终用户一样好的安全策略和实践。很难管理这个过程，并确保供应商保持所需的安全性。最终用户需要倾向于假设供应商的安全级别较低，并添加额外的控制来缓解这种情况(在哪里登陆VPN，限制供应商将笔记本电脑连接到控制网络等)。我曾多次看到控制网络段被“可信”合作伙伴感染病毒的笔记本电脑所破坏。此外，最终用户需要在初始合同和rfp中构建供应商将满足某些安全标准的内容——甚至可能将IEC 62443-2-4标准视为一个很好的基准。

沟通，沟通，再沟通

最后，它真正成为了一个在供应链上上下传递安全信息的领域，因为攻击者不遵守任何规则，如果目标受害者让它变得容易，那么所有的赌注都结束了。

兰吉尔说:“我们都意识到，潜在攻击者的能力正在以惊人的速度增长，他们行动的恶意意图也在增加。”“让我感到震惊的是，我观察到许多ICS供应商已经被资产所有者和客户授予了‘默认信任’，这让我感到自满。他们中的许多人没有为他们的软件提供足够的数字签名，但却有效地迫使他们的客户下载软件并修补关键的控制系统，以解决功能和安全相关问题。即使他们不能签署他们的代码库，我也会期望通过使用数字哈希或其他类似的方法来确保软件的真实性，这些方法可以通过电话或电子邮件等“带外”方法与用户共享。这种盲目信任使资产所有者容易受到各种从简单到复杂的攻击向量的影响，这些攻击向量要么源于他们的主要供应商，要么以其为中心。

“是时候让供应商和顾问都意识到，攻击者会选择阻力最小的路径。与其试图砸开关键基础设施资产的大门，不如找到一个可能由关键供应商打开的窗口，这要容易得多。”

格雷戈里·黑尔是《工业安全与保安资源》(ISSSource.com)是一个新闻及资讯网站，内容涵盖制造业自动化领域的安全及保安事宜。本内容最初出现在ISSSource.com。Chris Vavra编辑，CFE Media制作编辑，控制工程，cvavra@cfemedia.com。

在线额外

请参阅下面ISSSource关于安全的其他故事。

原创内容可在www.isssource.com。

您是否具有本内容中提到的主题的经验和专业知识?您应该考虑为我们的CFE媒体编辑团队做出贡献，并获得您和您的公司应得的认可。点击在这里开始这个过程。