工业控制网络:物理隔离还是不隔离?

什么是物理隔离?为什么要物理隔离不同网络?

2.jpg


你站哪个阵营?是物理隔离派,还是认为真正的物理隔离根本不存在的不隔离派?

物理隔离网络是逻辑上和物理上都与其他网络隔离开的网络,与其他网络间的通信无论走物理信道还是逻辑信道都走不通。多年来,政府、军队、金融服务、核电站及工业制造等多个不同垂直行业中的很多网络都被称作所谓的 “物理隔离网络”。

在工业界,这些物理隔离网络是支持工厂中工业控制系统的网络,与企业网络间的通信在物理上和逻辑上都是断开的。

在当今网络即是控制系统的 “工业 4.0” 革命中,工业过程数据分析是驱动优化和效率的关键所在,越来越多的现场设备变身 “智能设备”(接入网络并通过网络加以管理)。这种情况下,物理隔离工业网络的观念在未来还切实可行吗?如今真的存在物理隔离的网络吗?

物理隔离真的有效吗?只是虚假的安全感?

理论上,物理隔离网络似乎是个不错的主意。但实际情况又是另一番景象。

物理隔离真的能保证与互联网或公司业务网络隔离开来吗?事实上,已有多起案例证明物理隔离网络是可以被渗透的。最著名的例子就是“震网”,该蠕虫能够入侵并破坏铀浓缩过程,令伊朗纳坦兹核设施的核弹头制造陷入停滞。

其他不那么可怕的案例也有很多,比如承包商、运维团队或控制工程师会为了自己方便而设置调制解调器和无线网络,以便能够与物理隔离网络间互传数据。更何况还有笔记本电脑、平板电脑和智能手机这种临时性设备。也别忘了通过可移动载体(光盘、U盘等)、远程访问和人力网(无需通过网络即可转移数据的任意方式)转移进来的数据。这些环境都是真正物理隔离的吗?

所有这些案例无不证明:没什么是真正物理隔离的,或者说,没办法永远保持 100% 物理隔离。物理隔离有没有给我们一种虚假的安全感呢?网络安全人员听到过多少次 “哎呀,我们是物理隔离的,没有必要担心网络安全” ?如果真是这样的话,一没有评估有没有新数据被可移动载体/临时设备带进来,二没有监测有没有通过调制解调器或 VPN 设置的外部网络连接,谁能知道自己到底是不是物理隔离的?

最终,总有新数据跑进这些所谓的 “物理隔离” 环境中。我们该如何解决这种情况?

问对问题值万金

你怎么知道有没有数据进出你的网络?你怎么知道有没有为便于雇员、承包商或供应商使用而设置了外部连接?

要能够回答此类 “你怎么知道” 的问题,就得真正了解你的网络,并布置预防性控制措施以能够持续回答下列问题:

  • 网络上有什么设备?

  • 这些设备的通信内容是什么?

  • 这些设备在与谁通信?

  • 这些设备间的正常通信是什么样子的?

  • 有没有设置外部连接?

正如我们监测工业过程产出的品质性状(如库存、废品率、返工率、物理尺寸、设备综合有效性、故障率等等),我们也需要监测工业环境中的异常行为——配置修改、通信模式改变、漏洞利用和新/非预期网络连接等。这么做有助于从影响工业过程运行的特殊因素中恢复过来,而这些特殊因素包括但不限于错误配置、人为失误、网络安全事件、机器故障等等。

从哪里着手?

如果还没开启工业网络安全之旅,可以从工业网络安全漏洞或风险评估开始。

网络安全漏洞评估通常都会发现给定的环境从未完全物理隔离过。评估往往会发现未经批准的外部连接,可能是被控制工程师出于非威胁或非恶意原因而设置的。

工程师在进行系统维护或问题处理时为了免于人工将文件或程序拷入控制环境,就会取巧建立这些未经批准的网络连接。大多数时候,这些连接都只是临时应急用,但事情往往会发展成连接忘了撤销,本应物理隔离的网络对其他通信信道门户洞开,其上行为可能被用于恶意目的。

还需要做些什么?

专注基本网络安全控制。不要好高骛远,尽去尝试先进技术。三个基本的网络安全控制就能缓解大多数内部和外部威胁带来的风险:

1. 理解并管理数据流,也就是网络通信。

维护好准确的资产库存清单(供应商、型号、模型、固件版本等等)。

监视设备数据流,查看哪些是预期的,哪些是异常的。

2. 以网络分隔实现预期的通信模式或数据流。

3. 监视并管理控制网络中所有设备的配置修改。

数据流管理始于创建并维护包括硬件和软件在内的准确资产库存清单。只要构建完准确的资产库存清单,就可以开始理解并管理进出控制网络的所有数据流(通信模式)了。可以查看并管理的东西包括:

1. 文件传输:FTP、SFTP/SCP 等等。

2. 临时设备:笔记本电脑、平板电脑、手机等等。

3. 可移动载体:如 U 盘。

4. 内部网络连接:部门或区域内网络连接,以及部门或区域间网络连接。

5. 外部连接:通往/来自业务或公司网络、供应商、销售商等的连接。

6. 无线网络:尤其是为了方便而临时设置的那些。

怎样获取数据流可见性呢?你必须清楚有哪些东西连接到自家网络(准确的资产库存清单),然后监视自家网络上出自这些设备的数据流走向。

Tripwire 提供被动式监视解决方案——Tripwire Industrial Visibility。该解决方案专为理解工业协议和工业控制网络而生,可制作设备库存清单(供应商、型号、模型、固件版本等等),还可以获悉设备正用哪些协议在网络上通信。Tripwire Industrial Visibility 的学习模式可建立所有资产和通信的基准,投入运营模式后便能以这些基准发出设备异常警报。

充分了解数据流后,下一步就是设置预防性控制措施以实施这些通信模式。这方面可以借助 Tofino Xenon 之类工业安全设备,执行深度包检测和工业协议健全性检查,实现设备及网络间的授权通信。

IEC 62443 中将区域定义为拥有相似功能/风险模型的资产(即人机界面 (HMI) 区域或可编程逻辑控制器 (PLC) 区域),管道则规划不同区域间设备的授权/预期通信(即仅允许 HMI 区域和 PLC 区域间的 Modbus 串行通信协议,或仅允许变电站区域与控制中心区域间的 DNP3 分布式网络协议)。Tofino Xenon 工业安全设备就能辅助实现 IEC 62443 中描述的区域和管道方法。无论你有没有物理隔离网络都值得应用该方法,因为该方法可缓解恶意或非预期流量在工厂或车间内传播的风险。

最后,还须具备管理设备配置的能力,无论设备是控制器、HMI、远程终端设备 (RTU)、工程工作站、路由器、交换机、数据库、防火墙,还是别的什么设备。

影响工厂产品生产能力的生产停滞发生时往往会出现什么情况?结果就是有些东西被改变了——配置设置、固件版本、新开的端口、新接入网络的设备等等。意识到有东西被改变,再将之复原,以便工业过程能转回正常生产运营状态需要多长时间呢?

管理变动和了解变动是否合法是 Tripwire Enterprise 的强项。Tripwire Industrial Visibility 也可用于管理变动,尤其是围绕控制器的各种变动,无论是新添了梯形逻辑,还是改了控制器运行模式:执行、编程、测试等等。别让这些变动支配了日常运营,要通过可见性管理这些变动,让变动管理策略能够得以实施。

无论物理隔离还是不隔离,可见性、预防性控制措施和持续监视都是关键

无论是否采用物理隔离维持自身工业环境的完全控制,监视解决方案都是必须的。Tripwire 的解决方案有助于提供可见性、防护控制和持续监视,便于监测和防止威胁安全、生产力和质量的网络事件。

IEC 62443:

https://www.isa.org/training-and-certifications/isa-certification/isa99iec-62443/isa99iec-62443-cybersecurity-certificate-programs/


发表评论 取消回复

电子邮件地址不会被公开。 必填项已用*标注