您当前的位置是:  首页 > 资讯 > 国内 >
 首页 > 资讯 > 国内 >

思科探究工业物联网安全防御之道

2020-09-22 09:37:56   作者:   来源:CTI论坛   评论:0  点击:


  物联网( IoT )无处不在-这已然成为我们无法忽视的一大事实。即使您坚决抵制像智能扬声器、联网型温控器或智能手表等消费型物联网设备,依然无法阻止工业物联网( IIoT )设备的发展-物联网领域的一个子集-因为它们已经构成我们日常生活不可或缺的一部分。从水电供应到生产制造,再到休闲娱乐( 比如游乐设施 ),工业物联网设备已成为更多行业的一部分,而且这种情况已经存在了一段时间。根据 Gartner 近期所作的估计,到 2019 年底,全球工业物联网资产总量已达到 48 亿台,并预计这一数字在 2020 年将增长 21 个百分点。
  许多负责托管工业物联网资产的运营技术( OT )环境都面临一个最大的问题:不仅要应对工业物联网设备数量的不断增长,还要支撑一些比较陈旧的工业控制系统( ICS ),其中有些系统的运行历史已长达 30 年之久。多年来,这其中的许多资产均已实现联网,并很容易成为网络恶意攻击者的潜在目标。这些老旧的设备通常部署在只强调高可用性和性能的平面网络上,而安全方面却考虑的很少。
  在这些系统中发现漏洞并不总是意味着我们可通过推出补丁予以修复。对大批工业物联网资产进行修复,就意味着大批设备需要下线-而这对于严重依赖设备高可用性的关键基础设施或生产线来说,绝对是不可取的。所以最终的结果就是,补丁程序往往被扔在一边,而且随着设备的老化,漏洞日积月累,由此给恶意攻击者留下了可借以破坏工业物联网资产的大量漏洞。
  此外,思科 Talos 安全研究团队(这个团队的任务即在恶意攻击者之前发现漏洞)的研究结果也表明,在工业物联网设备中发现的漏洞数量正呈增长趋势。回顾整个 2019 年,Talos 指出,他们全年一共发布了 87 篇有关 IoT 和 ICS 设备漏洞的报告-这也是 2019 年迄今为止报告发布数最多的类别。事实上,Talos 针对该领域发布的报告数量比排在第二位、同时也一直被恶意攻击者视为主要目标之一的桌面操作系统的报告数量高出了 23 个百分点。
  在一个极速发展的领域中,出现这种情况并不值得惊讶。但是有一点很值得我们去思考:在 OT 网络中如何新增设备时,也同时考虑如何保护好 OT 网络,以免这些设备带来了新的挑战导致攻击面的扩大。
  所以,如果您所在的企业正在使用工业物联网资产,那么有哪些威胁值得您加倍留意?您又该如何对设备进行有效保护呢?
  恶意攻击者如何开始发起攻击
  好的方面是大多数工业物联网资产并非直接暴露在互联网空间,这意味着恶意攻击者必须依靠其他方法才能访问它们。事实上,在其他攻击上使用的技术同样也可被用于攻击工业物联网资产。
  最常见的攻击载体-电子邮件-在发动此类攻击时自然也适用。恶意攻击者会试着收集有工业物联网资产系统访问权限的工程师、工厂负责人以及开发人员的相关信息,并将他们设定为网络钓鱼邮件的攻击目标。对这部分用户中任何一位的电脑进行攻击,就算是找到了攻击工业物联网资产的最直接途径。
  未打过补丁的系统、设置过于简单或默认的设备密码、以及网络维护承包商过于宽松的远程访问策略,都为恶意攻击者提供了入侵途径。透过其中任意一个薄弱环节,恶意攻击者都能找到若干种进行横向移动以及获取访问权限的方法。
  然而专门针对 IoT 设备发起的威胁在现实中并不常见。有些威胁已经对普通的物联网设备发起了大规模攻击,例如 Mirai 和 VPNFilter 。还有一些威胁,比如 Stuxnet ,专门以 PLC 为攻击目标。这类针对性较高的威胁当然值得关注。但是,工业物联网设备被攻击者入侵并修改配置的可能性,远比被木马或蠕虫病毒感染的可能性要大得多。
  如何让企业运营陷入瘫痪?
  假设恶意攻击者的目标是使某个特定企业陷入瘫痪,他或她首先会制作一封包含恶意 PDF 文件且具有迷惑性的钓鱼邮件,然后将其伪装成求职申请发送给公司的人力资源部门。当负责求职申请的员工打开这个 PDF 文件时,这台电脑就可能遭到入侵。
  恶意攻击者在被入侵的网络中横向移动,持续监控网络流量并扫描易受攻击的系统,抓取用户的登录和认证信息。如果没有启用 MFA 多因素认证,攻击者就会有机可乘。最后,攻击者会想办法控制域控服务器,并使用组策略对象( GPO )的方式向所有终端下发恶意软件,从而在整个 IT 网络中进行实施入侵。
  由于在网络分段上不够完善,恶意攻击者最终摸爬滚打地进入了目标企业的 OT 网络。攻击者进入 OT 网络后会立即执行侦察,以便对网络中的工业物联网资产进行标记。这样一来,它们就有机会发现这些资产中存在漏洞的服务,然后对其进行攻击,将其下线。
  正常生产陷入停顿,企业经营被迫中断。
  我们如何防御?
  那么,如何从整体上保护您的物联网资产和整个 OT 网络免受恶意攻击,尤其是那些无法快速修复的高可用性资产?
  网络监控通常是您可采取的最有效措施。但是一旦涉及工业物联网资产,对网络流量进行被动监控就显得尤为重要。主动式监控的方法由于会产生流量,还要通过网络专门发送这些流量才能对其进行观察,因此会增大网络负载,从而使设备性能受到影响,甚至发生故障。相比之下,被动式扫描则是通过流量监听并记录流量的特征,而不会将新的流量引入 OT 环境。
  及时盘点网络上的资产对于保障 IT 和 OT 网络的安全也非常重要。被动式监控可帮助企业了解网络上的资产,包括存在漏洞的设备以及非法设备。在对网络设备进行综合全面地清点之后,您就能针对不同的资产组创建相应的策略。
  此外,对网络进行合理的分段也很重要。如果您还不清楚该如何对工业物联网资产和 OT 网络进行合理的分段,那么全面的资产盘点以及相应的策略会为您提供很大的帮助。但是对于攻击意图明确的攻击者来说,那么这项措施对于阻止它们突破不同网区间的边界可能起不到什么作用,但是起码可以减缓它们的进攻速度,从而为企业争取更多的时间以采取应对策略。
  根据 ISA 99 和 IEC 62443 的相关内容,寻求您所在企业的可实施区域和渠道。
  然而值得一提的是,许多工业物联网资产都采用广播和组播的网络通信方式,参与此类通信的一台或多台设备会向网络上的其他所有设备发送流量。如果采用过于激进的网络分段策略,则可能会带来麻烦。要解决这个问题,就必须对网络上的资产进行全面的清点。此外,采用数据流镜像的方法,能为我们了解哪些资产正在彼此通信,以及这些资产在整体上如何交互提供很大帮助。
  为此我们强烈建议在发现漏洞后尽快对工业物联网资产进行修复。但是,如果无法在脱机状态下修复设备,就务必强化对设备的洞察。所以要明确哪些设备绝对需要修复,您必须搞清楚您的网络资产状况以及具体的网络布局。此外,分析工业物联网的冗余度也是有意义的,因为在维护过程中,您可参考这个数据关闭某台设备,与此同时安排其他设备接管这台设备的负载。
  工业物联网流量异常检测也是一种非常有用的方法。这种方法能帮您找到不应该发生的网络异常行为,比如两台本不应相互通信的工业物联网设备、计划外的固件更新、意外的配置更改等一系列异常情况。
  最后介绍一种在 OT 环境中搜索和清除威胁的好方法-威胁追踪。您首先主动出击寻找网络中的恶意行为者,然后制定相应的策略,并自动执行策略,经过这一系列过程,您的网络安全状况将得到大幅改善。
  思科安全防御之道
  保护工业物联网资产无疑是网络安全领域比较棘手的任务之一。它不但涉及类型繁多的设备,且其中很多设备的运行方式极具个性化,因此无法有效应对因多个安全流程和程序引起的中断。
  但幸运的是,思科推出的网络安全系列产品,能够为您有效解除这方面的忧患。
  • 思科 Cyber Vision 方案旨在帮助 OT 团队和网络管理员全面洞察其网络中的工业资产和应用流程。这套方案内嵌在思科工业网络设备中,通过解码各种工业协议对您的 OT 网络进行映射,并检测异常流程或不应该发生的资产修改行为。
  • 思科身份服务引擎( ISE )借助基于思科 Cyber Vision 构建起的资产清单来创建动态安全组,并通过 TrustSec 自动执行分段策略。
  • ISA 3000 是一款适用于恶劣环境的加固耐用型工业防火墙设备,可帮您执行区域网路分段、检测入侵行为并有效阻断网络威胁。
  • 思科安全分析解决方案 Stealthwatch 通过整合行为建模、机器学习和全网威胁情报来检测各种高级威胁。与思科 Cyber Vision 集成后,原本通过 Stealthwatch 获得的全网可视性得以在工业物联网基础设施中广泛延伸。
  • 思科终端安全方案( AMP for Endpoints )专门用于保障 OT 环境中每个工程设计工作站的安全。
  • 思科 Duo 多因素身份验证功能可防止恶意攻击者通过横向移动获取网络上的系统访问权限。
  • 思科电子邮件安全解决方案可检测专门针对工业物联网设备操作者等角色发起的定向网络钓鱼电子邮件,从而防止恶意有效载荷访问预期目标。
  最后,思科通过一套分层防护方案为您提供最出色的安全体验。例如,通过思科 Cyber Vision 自动洞察所有工业设备,确保操作流程安全可靠。在与思科网络安全系列产品集成后,它就能为 Stealthwatch 系统提供用于深入分析工业设备的上下文信息,同时梳理网络流量的通信模式,以便借助基于 ISE 的细粒度的分段功能来实现策略的定义和执行。
  扫描二维码 免费测试网络可视性,帮助您了解企业网络中存在哪些风险。
【免责声明】本文仅代表作者本人观点,与CTI论坛无关。CTI论坛对文中陈述、观点判断保持中立,不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。请读者仅作参考,并请自行承担全部责任。

专题

CTI论坛会员企业