随着企业投资数字化转型,工业网络安全将越来越成为通过技术创新安全可靠推进业务目标的关键推动因素。虽然运营技术(OT)的转型带来了巨大好处,但也随之带来了网络安全风险。
对此,Dragos发布了《工业网络安全管理指南》报告,详细分析了企业如何更好地保护运营技术系统,具体包括:ICS/OT系统成为业务运营的关键、数字化转型及连通性增加OT系统风险及暴露程度、OT与IT网络安全的不同之处、OT威胁形势快速增长且日益复杂、与IT相关的威胁仍然影响OT、修复OT漏洞及IT漏洞的不同方法、评估及应对独特的OT网络安全威胁。
一、工业网络安全的重要性
随着企业大力投资数字化转型,工业网络安全将越来越成为通过技术创新安全可靠地推进业务目标的关键推动因素。推进运营技术(OT)的连接性和数字化可为企业带来重大利益,包括:
提高自动化程度;
提高流程效率;
更好地利用资产;
增强用于业务预测和设备可维护性的机械遥测功能。
但是,当这种连接的网络风险没有与创新同步解决时,安全事件的影响可能会加剧,从而减少收益。
近期发生了一些关键基础设施的事件,如发电厂使用易受攻击的IT远程管理工具、Oldsmar水处理设施及Colonial天然气管道遭受破坏性网络攻击。这些风险因缺乏有效的OT网络安全准备而加剧。
二、主要趋势
90%的组织对其OT环境(包括ICS网络、资产及其之间的信息流)的可见性非常有限,甚至无法了解;
88%的组织在ICS网络周围表现出较差的安全边界,这意味着通过IT网络或整个互联网遭受攻击的风险增加;
只有五分之一的组织每年进行一次以上的ICS网络安全评估;
近一半甚至不做年度评估;
63%的受访者表示,OT和IT安全风险管理工作没有协调,因此难以在OT环境中实现强大的安全态势。
三、工业环境中的OT
工业控制系统(ICS)和运营技术(OT)是控制整个企业物理流程的系统和网络。ICS/OT系统架起了从软件世界到物理世界的桥梁。
在工业环境中普遍存在的ICS/OT系统是控制物理过程的系统,包括发电、石油和天然气精炼和管道、自动化采矿设备和工厂自动化。但OT实际上存在于比这更广泛的用例中。它对于在数据中心、大型建筑和校园中运行仓储和配送系统、运输线路,甚至HVAC系统至关重要。简而言之,OT之于物理系统就像IT之于业务系统。
OT和IT通常共享相似的技术,运行在相似的操作系统、网络连接和数字架构上。但是OT并不是直接与IT一一对应。OT工作环境与IT非常不同,并且与业务的核心功能相关:生产电力、制造产品、运输产品以及保持设施的开放性和功能性。
因此,OT的业务风险不同,OT的业务连续性要求要更为严格,并且增加了物理安全考虑因素和监管义务。
OT系统也经过严格设计,与专用机器密紧密相连,采用独特的协议运行,并且比IT设备的生命周期长得多。OT系统运行的流程需要来自运营商的极其深厚的领域专业知识,才能胜任管理和监督。此外,OT中复杂的供应商关系通常会在合同中规定如何以及何时更改系统配置,甚至谁可以进行这些更改。
这些OT系统首先在“气隙”环境中发展,并且不与外部IT系统连接。即使这种情况发生了变化,OT仍然在一个远离IT的世界中运行。直到最近,也很少有IT供应商能够根据OT环境的独特需求定制网络安全解决方案,因此与IT相比,OT网络中潜在风险的可见性通常非常有限。
四、OT网络安全的重要性
随着数字化转型计划的加速,依赖工业流程推动核心业务的企业集体站在了网络风险的十字路口。在数字时代,公司领导层推动其组织使用先进技术来提高生产力、效率、质量和安全性。然而,实现这些目标所需的数字化进步和超连接性为新的网络风险打开了大门,并加剧了现有的风险。
虽然IT和OT系统多年前使用类似的技术融合,但网络安全主要集中在IT系统上,造成了IT与OT的网络安全差距。这种滞后的原因是多方面的,因为许多利益相关者都有这些误解:
OT系统保持气隙,或气隙仍然足够;
物理风险管理措施足以保证工业系统的安全;
网络安全措施总是会带来不成比例的运营风险;
现有工具未能解决OT网络安全的独特性。
面对这些持续存在的OT网络安全误解,数字化转型继续推进,进一步增加了OT系统与更广泛的企业和互联网的连接性。因此,OT网络风险和暴露不断增加。
许多IT网络安全策略人员专注于隐私问题,将稀缺资源从OT中更多的生存风险中转移,例如安全风险、业务连续性风险、知识产权风险、以及公司声誉和品牌的风险。
根据2020年IDC对1,014家制造商的调查结果显示,79%的全球运营资产连接到网络,高于2016年的60%。其余的21%运营资产中,大部分根本没有数字功能。
Forrester Research研究人员Allie Mellen及Steve Turner表示,“关键基础设施提供商正成为勒索软件攻击者的目标,因为当受到勒索软件攻击时,他们需要在关键业务流程无限期暂停或支付赎金之间做出选择。”
Gartner分析师Barika Pace表示,“IT和OT系统的融合正在挑战许多安全实践,以定义与转型和现代化环境保持一致的最佳安全架构。OT所有者的气隙受到侵蚀。”
新书《网络危机》作者、前奥巴马政府网络安全专员Eric Cole表示,“关键基础设施始终设计为将控制系统与企业网络和互联网隔离并在物理上分开。这些系统最初是为了实现自动化,并因新冠疫情而加速,现在已连接到互联网。已知的漏洞使它们很容易成为目标。”
五、工业网络威胁形势
与此同时,工业攻击的频率和复杂性正在增加。不仅存在针对IT资产的威胁和攻击载体的交叉,而且存在越来越多的专门针对ICS/OT环境的威胁行为者。在2020年Dragos威胁情报团队报告表示,明确试图访问ICS网络和运营的主动威胁的增长速度是处于休眠状态时的三倍。
针对OT的勒索软件的兴起预示着该领域目前正在加速发生的风险。2020年,Dragos情报分析人员发现了第一个针对ICS资产的勒索软件证据,攻击频率在一年中不断增加。到2021年上半年,工业界遭受了两次勒索软件攻击。在过去的18个月中,Dragos目睹了一系列针对工业环境的其他威胁活动,包括:
水坑凭证获取攻击和随后使用有效账户对欧洲关键基础设施发起入侵;
针对美国电力行业的初步访问和侦察活动;
针对涉及远程访问木马(RAT)恶意软件的美国公用事业公司的活动;
完全入侵欧洲能源组织的IT网络及其Active Directory。
美国CISA表示,“与OT网络和设备的远程连接提供了可被网络参与者利用的已知路径。应尽可能减少外部接触。”
现如今,很多OT攻击者的行为都集中在安静的前置和侦察工作上,如果没有适当的可见性,这些攻击就不会被发现。随着时间的推移,威胁行为者通常会缓慢地制定计划和活动,由于先前的努力,后续的活动会更成功且更具破坏性。Dragos分析人员追踪的许多威胁可能不会引起重大破坏,但它们通常为演变成未来可能具有破坏性的攻击奠定了基础。
六、OT及IT安全性差异
许多网络安全风险管理模式和实践都与OT和IT领域相关。例如,通过减少重要资产周围的攻击面和强化配置来限制风险暴露的方式在OT环境中同样适用。
但是,许多根本差异对OT中的网络安全战略和执行产生了重大影响。有效管理OT环境中的网络安全风险需要认识到一些关键差异。
风险状况不同:OT漏洞带来的最高风险往往是威胁系统可用性或完整性的风险,而不是威胁系统处理数据的机密性的风险。虽然IT经常被隐私和数据泄露问题所困扰,但让OT运营商夜不能寐的是系统中断或故障,这可能威胁到业务甚至人员的安全。
策略及方法不同:不适合OT的安全措施导致的安全事件和停机的后果比IT系统的要严重得多。虽然在IT中仍有可能,但OT攻击可能更容易影响品牌、股票价格和创收。但是,暂停水电大坝的运行或制造设施中的连续过程以实施安全控制或修补操作系统根本不可行。此外,严格的安全法规对系统的处理方式增加了额外的限制。
技术不同:OT系统使用不同的协议,适用于特定用途的硬件和软件,每个组织具有特有的配置、神秘的嵌入式技术和各种端点,其中许多端点运行不受支持的版本,由于运营风险而无法更改。昂贵的OT机器的生命周期以几十年来衡量,遗留的系统根深蒂固。
漏洞及补丁方法不同:对于许多OT和ICS系统,没有每周或每月的维护窗口,管理员可以轻松地推送补丁。在许多情况下,通过侧重于网络配置更改而不是修补的缓解措施,可以更好地解决ICS环境中的漏洞。此外,用于检测IT系统漏洞的传统主动扫描方法可能会导致OT环境中的重大流程中断。
所需技能不同:OT系统的独特性质意味着操作人员必须具备一套非常专业的流程管理和工程领域专业知识。这意味着安全团队需要特别小心地与专家密切合作以协调安全执行。
利益相关者不同:由于业务风险如此之高,OT网络风险管理是一项组织范围的活动。CISO作为风险顾问发挥着关键作用,但风险由各业务部门领导以及最终由CEO和董事会承担。规划和战略必须与所有相关利益相关者持续合作,特别是在保持OT设备运行和维护复杂ICS供应商关系方面具有专业知识的运营工程师。
七、评估及应对风险
由于OT安全的独特性质,工业网络安全计划不能是IT网络安全计划的复制粘贴。ICS环境需要专门针对工业组织面临的不同任务、挑战和威胁量身定制的网络安全策略和工具。
制定OT网络安全规划:有效的工业网络安全计划往往由OT资产的威胁和后果驱动,优先考虑资产的业务价值和给定攻击场景的可能性。
理想情况下,组织应该能够在整个OT环境中获得可见性、控制和最低限度的网络安全卫生,但这需要时间和金钱。为了制定可以逐步采用良好网络安全实践的可靠网络安全路线图,组织应首先从发现流程开始,从董事会、高管利益相关者和资产所有者那里收集与OT流程相关的最高业务优先级的意见,然后进行调查,了解所有现有OT资产以及这些资产如何映射到高优先级流程的环境。
然后,团队根据业务重要性识别并排列所涉及的OT资产。在此基础上,团队应绘制出最有可能影响高优先级资产的威胁驱动和后果驱动的场景。
威胁驱动场景是威胁情报报告显示会影响组织的场景。结果驱动场景是通过从管理层希望在ICS环境中避免的高优先级的攻击的导致的最坏结果,然后向后移动,并勾勒出可用于触发它们的常见攻击技术,来构建结果驱动场景。
考虑到这些情况,团队应该检查现有的控制措施,以及它们如何与攻击者在每种情况下使用的战术、技术和程序(TTP)相抗衡。使用它来识别与理想控制相比的差距,这为制定路线图提供了基础。随后将其分解为持续改进的多年计划,根据从利益相关者那里收集的资产排名,优先考虑投资范围和速度。
获取正确工具:许多IT检测和监控工具无法很好地转换到ICS环境。IT检测工具通常无法与OT系统很好地交互,或者在ICS环境中不实用。例如,端点保护不适用于PLC。
更重要的是,检测机制和输出都是基于以IT为中心的威胁,因此对于OT运营商来说重要的上下文和相关性将丢失。机器学习模型在ICS环境中没有用处,因为它们是为IT环境设计和调整的。Dragos研究人员发现,Windows防病毒软件经常误报ICS应用程序,因为其不习惯ICS功能运行方式,对于启发式引擎来说很奇怪。
这就是组织需要特定于OT的网络安全工具的原因,支持工业环境中最重要的风险管理。
技能提升:OT网络安全是一项专门的工作。虽然企业网络安全团队可以牵头制定战略规划,与大量的OT利益相关者协作,甚至承担一些日常工作,但该团队将需要额外的资源来执行计划。对于许多组织而言,快速建立必要技能的最佳方法是利用合作伙伴和第三方来弥补内部差距,例如聘请公司进行快速事件响应。
IDC研究报告显示,由于董事会层面对安全风险的要求,到2023年,90%的工业公司将开发IT驱动的OT安全治理,以支持工程师通过关联资产进行快速创新。