安全远程访问的提示
随着行业变得更加开放和互联,远程访问将成为一个更加重要的因素,如果采取正确的步骤,安全通信将成为一个常数。
随着行业继续向更加开放和互联的环境扩张,远程访问将成为一个更加重要的因素,但只要采取正确的策略,安全通信应该不是问题。
aeSolutions高级工业网络安全项目经理Marco Ayala在拉斯维加斯举行的西门子2016自动化峰会上发表演讲时表示:“毫无疑问,控制系统已经进化了。“我们认为网络是一个巨大的信息。工人们需要确保安全始终是最重要的。你在监视吗?你在写日志吗?我们是说信息技术(IT)拥有它吗?我们是说运营技术(OT)拥有它吗?”
阿亚拉指出,去年12月对乌克兰电网的攻击是远程安全的一个完美案例。
2015年12月23日,由地区配电公司服务的乌克兰西部地区大量客户(报告范围从8万客户到70万家庭)停电。这些公司最终由火力发电厂提供电力(乌克兰也有大量的核设施发电,但不在这个地区)。
到年底,当地媒体对该事件的报道迅速传播到国际社会,西方工业网络安全利益集团开始分析和讨论。虽然讨论还在继续,但情况已经很清楚,这是一次涉及多个组成部分的协调袭击。
攻击的细节
以下是乌克兰电网攻击的组成部分:
BlackEnergy(也称为DarkEnergy)是自2008年以来就存在的恶意软件,其模块化组件随着时间的推移而发生变化。在这次事件中,BlackEnergy的第三个变种是一个关键向量,为攻击者提供了访问公用事业公司计算机网络的权限,并能够与他们远程通信。这种妥协和由此产生的远程通信可能是不在工业控制系统(ICS)网络中。
BlackEnergy的一个名为KillDisk的组件具有删除功能,可能会拒绝使用监控和数据采集(SCADA)系统,延迟恢复并掩盖犯罪者的踪迹。受到KillDisk影响的实际主机尚未公布。
此外,对电话系统的攻击,可能是拒绝服务(DoS)攻击,使公用事业公司无法接到客户报告停电的电话。
此外,电力中断,并在当天由现场工作人员手动重新闭合受影响变电站的断路器恢复。
阿亚拉说:“攻击者在袭击发生前几个月就进入了系统。”“他们利用了SCADA系统和社会工程。此外,在虚拟专用网络上也没有实施双重认证。”
虚拟专用网络(VPN)是一种使用公共电信基础设施(如Internet)为远程网络或计算机提供对另一个网络的安全访问的网络。
信息最终被加密并发送到目标网络,在到达时被解密。
当数据在不受信任的网络中传输时,加密保护了数据的机密性和完整性。
vpn本身不限制协议,也不检测恶意代码或行为。如果远程计算机或远程网络上的机器最终被感染或受到威胁,那么可以通过VPN访问的设备就会受到攻击。
远程最佳实践
要避免远程攻击,请考虑以下一些最佳实践:
- 要求使用公司拥有的笔记本电脑进行远程访问,并根据组织的安全政策进行维护
- 为远程访问用户提供安全的可引导映像
- 以合同形式要求并强制具有远程访问权限的第三方接受并遵守组织的安全规则
- 对任何远程访问会话要求双重身份验证
- 配置VPN,使技术策略不允许隧道分裂
- 监视并记录所有远程访问会话的用户ID、时间和远程访问持续时间
- 提供按需自动终止会话的机制
- 加密所有通信和不可信网络
- 配置调制解调器和远程访问软件,以获得最大的安全性
- 将远程连接限制到IACS非军事区(DMZ)中的特殊机器,然后该机器可以访问控制系统中的选定资源。
当谈到远程访问时,压裂行业可能会想到他们的远程操作需要发送数据,工人需要随时提取信息。
除了所有远程最佳实践之外,在压裂环境中,用户还需要注意其他一些细节。阿亚拉说,首先,“控制系统必须能够承受剧烈的振动和扩大的温度范围,还必须能够承受狂风暴雨。”此外,它们还必须具有操作员友好的诊断,必须能够登录查看过程,必须具有远程访问的网络安全,还必须具有入口/出口日志。
此外,阿亚拉说,该系统并不是一直在运行互联网,但用户必须能够在需要时上网并提取数据。
安全和保障是共生的
保护远程访问连接不仅可以保护网络,还可以提高安全性。“流程安全和网络安全是第一位的,”阿亚拉说。“它们是共生的;它们是相辅相成的。我们有适当的政策和程序,但人为因素推动了这一切。”
他强调,监测、记录和纵深防御至关重要。
简而言之,阿亚拉认为应该:
- 多层安全是至关重要的
- 安全性是与生俱来的
- 前端工程与设计(FEED)
- 安全验收测试(SAT)
- 工厂验收测试(FAT)
- 生命周期;持续测试和审核。
“我们必须聪明地配置我们的系统。一个系统受到攻击,充其量意味着经济损失,在最坏的情况下,这可能是一个灾难性的事件,”阿亚拉说。
格雷戈里·黑尔是《工业安全与保安来源》(ISSSource.com),这是一个新闻资讯网站,内容涵盖制造业自动化领域的安全及保安事宜。本内容最初出现在ISSSource.com。由CFE媒体制作编辑克里斯·瓦夫拉编辑,控制工程,cvavra@cfemedia.com。
在线额外
参见ISSSource关于网络安全的其他报道,链接如下。
原始内容可以在www.isssource.com。
您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献,并获得你和你的公司应得的认可。点击在这里开始这个过程。