经常有报道称不同国家的工业企业遭受网络攻击,这使公众感到不安。 俄罗斯监管机构要求保护对经济运行至关重要的设施。
我们正在对CIGRE工作组负责人Vladimir Karantaev进行采访,该工作组是Rostelecom Solar自动化过程控制系统的网络安全方向负责人,该网络安全专家是作为情景感知系统一部分的电力行业安全运营中心的实施,该报告涉及自动化控制系统领域的攻击趋势技术援助,工业物联网安全中的体系结构问题,数字经济计划以及保护工业企业免受网络威胁的必要步骤。
-通常,与信息安全领域的专家进行的对话始于“恐怖的故事”,这些故事激发了普通人的想象力。 告诉我们您对与工业企业有关的此类最重大事件的态度。
-是的,新闻媒体喜欢讨论网络攻击的高调报道。 这可能是关于与Stuxnet病毒有关的针对工业设施的针对性网络攻击的第一次讨论。 尽管此事件已经过去十多年了,并且仍然写过几本书,但仍经常以它为例。 在最近的案例中,Industroyer恶意软件在2015年底导致乌克兰大规模停电,Triton于2017年夏天在沙特阿拉伯的一家石化厂被发现。
我看到这些事件背后的某种趋势。 根据各种估计,专门针对自动化过程控制系统的攻击开发的专用恶意软件不超过5种,其中只有3种直接针对破坏过程。 然后特里顿(Triton)出现了-攻击,其最终目标是对危险生产设施(OPO)起作用的物理后果的发作,即 引发所谓的HSE风险,近年来对这种风险的评估已纳入公益组织的管理实践中。 这种情况与以前完全不同。 我认为,Triton将来自ICS的网络安全威胁带入了下一轮开发。
Triton病毒专注于一种特定类型的自动化系统-紧急防护(PAZ),这是HOP安全运行的“最后领域”。 如今,PAZ支持通过网络从工作站进行远程配置,这就是攻击。 它的最终目标是使用调整其设置的能力来代替配置PAZ控制器的合法过程。 尤其是由于配置软件或网络协议均未提供安全措施这一事实而得到了促进。 尽管有这样一个事实,在监管和技术文档方面,早在2013年就已描述了网络安全措施。 如果攻击成功,很可能会给企业造成物理后果。
-企业可以采取保护措施吗?
-是的,运营PAZ控制器的企业可以采取某些措施:使用工程软件在AWS上使用OS强化,组织和实施用于标识和身份验证的措施,使用SOC监视此类AWS的关键系统和流程。 特殊之处在于,由于某种原因,PAZ控制器的硬件密钥处于允许进行编程和配置的位置。 有可能而且有必要采取组织措施来控制手术期间使用这种制度。
值得注意的是,系统制造商可以采取更广泛的措施。 例如,实施和使用受信任的操作系统,安全协议,提供用于在人员级别和过程级别上标识和认证访问主题和对象的机制,在配置期间提供信任等。
施耐德电气-该制造商的控制器正在受影响的工厂中运行-对其产品进行了相应的修改。 但是,这不是一件容易的事,而且我们观察到行动的先例性质是不好的,因为即使一次成功的攻击也可能造成灾难性的后果。 我们需要考虑采取预防措施来应对威胁和风险。
-世界上有人在积极思考吗?
-正在开发制造未来工业技术的严格流程:德国的“工业4.0”倡议,据作者称,该倡议应有助于世界走向新的技术结构。 美国工业物联网(IIoT)计划:它基于类似的想法,但涵盖了更多的经济领域。 这种国家计划出现在中国,日本。
显然,任何认为自己是世界舞台上重要角色的国家都必须应对此类挑战,并制定自己的国家议程。 与我们一起,采取了国家计划“数字经济”的形式。
-您认为我们的数字经济是美国IIoT规模的项目吗?
-是的 实际上,在过去的7-8年中,我们一直在观察全球在技术领域争取技术领导地位的战略斗争是如何加剧的,这将决定未来30-50年的主导概念和方法。 这场斗争的结果实质上归结为业务模型的转换,而业务模型的转换又基于一组特定的技术。 它们在我们的俄文文档中被称为端到端技术。
实际上,数字经济的基础是某种技术堆栈,包括那些通过自动化(或数字化)提高不同行业的工业企业效率的技术。 目前,这种自动化的基础是自动过程控制系统,该系统的实施始于上世纪70年代的苏联。 然后出现了第一个可编程逻辑控制器,这为发达国家工业的发展提供了严重的动力。 今天,我们正在接近里程碑,下一阶段的全球快速增长开始了,它的基础很可能是一套称为工业互联网或工业物联网的技术。
-这与公共互联网无关吗?
-物联网通常涵盖两个领域:用户(或消费者)物联网,其中出现了各种可穿戴式插入式设备:用于医疗,健身等,以及工业IIoT-一套可提高企业效率的技术并在不久的将来。 我们正在谈论它们-那些应该提高特定企业,行业和整个国民经济运作效率的技术。 这种效率的参数将由一组技术(国际电信联盟称为信息通信)确定,这些技术将用于组织基础架构内或不同基础架构之间的元素或对象的交互。
-任务规模大。 与IIoT相比,它在工业自动化技术方面的进展如何?-对于IIoT,国际互联网协会(IIC)参与了该概念的开发。 其目的是特别是通过推广最佳实践来帮助加速企业和国民经济的数字化转型。 他们创建了理论级的文档,白皮书类的第一批文档出现了,即,技术文档为那些专家(例如,应用系统开发人员)解释了特定技术。 由于网络安全是工业系统的关键主题,因此相关技术应被视为贯穿所有过程和级别的跨领域技术。 因此,正在开发用于工业Internet系统安全性的新方法。
-俄罗斯结构在未来工业自动化技术方面的进展如何?-有专门的工作组,其中包括Rostelecom Solar专家,这些专家组成了开发这些技术的议程,尤其是有关网络物理系统和工业互联网系统的网络安全的开发。 有一种普遍的理解,即今天的保护对象是企业内部(例如,在工业控制系统级别)以及企业之间(例如,在垂直整合的控股公司内,甚至在控股公司之间)的要素相互作用的过程。 反过来,这意味着业务模式的转变。
在此极其重要的是,此类转换需要在同一行业甚至不同行业的企业之间非常深入地整合技术和业务流程。 从目标受众的角度来看,这将使企业能够快速创建和营销更个性化的新产品。 这意味着当今已经在现代企业中广泛使用的技术将更加广泛。 换句话说,它将是各种电信协议的集合:从低级协议到将在构成非常网络物理系统的自动化或机器人系统之间交互的协议。 此外,还将有各种各样的信息技术-系统范围的软件和应用软件的结合。 这有风险。
-选择技术时有犯错误的风险?-由于工业互联网是信息和通信技术的组合,从上到下渗透到整个系统:从智能传感器到控制技术过程或发出特定任务或做出预测的系统,网络安全的主题是跨领域的。 从这个意义上讲,最初在新技术的开发中应该存在安全方法,甚至在需求形成的水平上也应如此。 它们应同时应用于整个系统和实施该系统的技术。
自然,在不同的行业中,这些系统具有并且将具有自己的特性。 例如,在电力行业中,即使“工业互联网”一词也没有扎根,他们谈论的是智能电网技术或有源自适应网络,尽管任务通常是相同的:智能传感器(例如电流,电压互感器)是同一系统顶层。 石油和天然气中也是如此:从智能压力水平传感器和其他传感器到决策支持系统。 网络安全是一组端到端技术和方法,应确保网络物理系统的可持续运行。
但是,在数字经济计划中,在我看来,未来技术发展的这一重要组成部分实际上并未得到反映,实际上,我们在谈论工业系统的安全性。 这个方向是在一个单独的小组中分配的,但是有必要-绝对有必要-在讨论跨领域技术的每个工作组,每个垂直部门中都存在网络安全主题。 我们始终为此提倡,并希望他们能听到我们的声音。
-为什么仅仅作为一个专业团队来解决安全问题还不够?-事实是我们正在谈论一个非常复杂的多级数据交换系统。 正如我所说,有必要为整个系统及其组成部分制定网络安全技术要求。 但这还不是全部。 我们必须基于针对要素和系统的适当威胁模型和入侵者模型来制定此类网络安全要求。 显然,只有在专题小组内持续不断地开展工作,才能以适当的质量执行这些任务。 通过建立的生态系统合作伙伴关系,可以制定全面的IIoT网络安全建议。
如果即使在数字经济路线图形成阶段也没有规定这些特定功能,则将不会执行相应的工作。 而且,如果我们不对系统和整个数字经济系统的各个要素制定基本要求,那么对应该出现的技术也将没有要求:微处理器保护技术,安全协议,定制ASIC芯片,其他芯片,水晶等
-今天,工业控制系统的主要网络威胁是什么? 像Triton这样的针对性攻击?
-统计数据表明,如今,ICS已与顶级系统(SCADA调度系统或MES车间控制系统)高度集成,支持密集的双向数据交换以及ICS级别的组织和技术保护措施级别通常很低。
重要的是:就企业系统的五个级别而言,近年来,在高层上,他们至少参与了安全性,但在较低层上,他们根本没有做任何事情。 在这种情况下,级别的整合显然会导致风险增加。 对工厂持续运行的威胁不仅是针对性攻击,而且还包括任何其他计算机事件,包括大规模的非特定性网络攻击,例如WannaCry和Petya。 已经注意到工业企业感染了这些病毒的案例:最初,攻击很可能不是针对ICS的,而是偶然地落入了基础架构中。
实际上,在企业中通常没有信息流控制,也没有当前的安全更新。 没有用于响应这种情况的内置过程。 如果在公司系统级别的某个地方开始了WannaCry的大规模攻击,它可以轻松地到达工业控制系统级别,并且将“生存”在这种结构中。 相对而言,在自动化过程控制系统的大规模感染期间实施拒绝服务攻击的恶意软件很可能会对过程本身产生影响。 不幸的是,并非所有企业都意识到这种风险。 他们经常对这种想法感到放心:“作为有针对性的攻击的对象,我对任何人都不感兴趣,这意味着我对生产的网络安全没有任何问题。” 但是事实并非如此。
我认为,当今的主要问题是,未来的工业互联网(被理解为技术的组合)最初具有严重的漏洞-用于创建关键系统的现代电信协议,不同级别的软件和硬件最初并未受到保护免遭暴露对他们的计算机攻击。
-这是所有行业的问题吗?-大家 如今,在ICS系统中有明显的趋势是统一和使用来自IT世界的技术:交换设备,电信协议栈。 以电力为例。 数字变电站使用基于TCP / IP堆栈的协议。 TCP / IP最初容易受到计算机攻击的事实是任何新手信息安全专家都知道的。 在所有部门中,通用操作系统已被广泛使用,这些操作系统具有大量定期发现的漏洞,并且工业企业中的利用细节无法迅速关闭它们。 嵌入式操作系统也是如此。 监视控制的SCADA系统在自动化过程控制系统的上层工作-实际上,普通工作站和服务器在通用OS的控制下。
-您能估计引进新技术的数量吗?-以电力行业为例-该行业已经宣布了数字化转型计划。 目前,在我国只有五个数字变电站。 五! 但是在10年内,必须创建数十万个。
这不是一个双关语,而是一个现实-一个真正的新“ GOELRO计划”。如果从网络安全的角度来看,如果未来的这类决定没有得到认真的考虑,它们肯定会出现,但是会以什么形式出现?因此,我敢肯定:如果我们当前不制定网络安全的系统要求,这将成为未来系统技术中有效安全技术的出现的限制因素,并从一开始就构成系统性风险,使其容易受到计算机攻击。尽管存在这样的事实,但实际上此类系统旨在在未来的系统重要经济领域中发挥作用:能源,石油和天然气部门,冶金,农业,现在即使是普通的谷物联合收割机也已经变成了``CNC机器''-工业互联网的``事物''。— , ?-从不同行业的生产自动化角度来看,它们的当前状态极为不同。后苏联时代的遗产受到影响。虽然是30年前,但对于每个行业来说,这几十年已经过去了,以不同的方式来温和地说。该国已发展出一些力所能及的东西。有些甚至能够以一种或另一种方式现代化其固定资产和技术流程。可以说,在“追赶”行业中,还有一些与工业控制系统中的网络安全问题根本不相关的行业。 “我们没有微处理器设备需要警惕。我们有一个弹簧继电器。唯一的威胁是过时,Petrovich用螺丝刀拧错了这个弹簧,“他们听到了。当然,在工业控制系统中没有网络安全问题。它们与至少具有高度机械化程度的企业有关,因为当前自动化的基础已成为在体系结构上构建的,不考虑信息安全性问题的工业系统。例如,工业控制系统的电信网络最初在项目级别与企业的办公网络集成在一起。这是一个非常糟糕的决定。-是否可以访问公共互联网?-不幸的是,我不能开个玩笑,因为这也经常发生。对于那些有疑问的人,我可以推荐Shodan资源。更常见的是“扁平”网络:如果攻击者(或恶意软件)达到较高级别,则它可能会利用所有相应的攻击开发功能而无法进入较低级别。-一些专家认为,从安全角度来看,与其使用相同的TCP / IP,最好使用某些专有协议。你同意吗-这是一个早已消除的神话。那些需要它的人早已学会了为自己的目的研究和使用这些协议。气隙-所谓的气隙-隔离环境的想法也是如此。似乎每个人都意识到,实践中实际上没有气隙,如果仍然可以组织起来的话,可以根据需要轻松克服。所有有关带有受恶意软件感染的闪存驱动器的故事都与此有关。在这里,您应该赞扬供应商。例如,在新版本的操作系统中,许多人开始更加关注网络安全问题,并为其产品添加保护机制。但是他们花了很长时间(十年)才做出这个决定。但是在这段时间里,我们还有很长的路要走:从误解,甚至是对工业控制系统网络安全主题的拒绝到现在,当最有远见的企业已经开始以端到端系统安全的范式制定自己的自动化控制系统开发计划时。-他们使用什么准则?
-长期以来,我们国家开始形成对该领域进行监管的方法和监管框架。十多年前,信息安全领域的行业监管机构FSTEC发布了第一份有关保护自动化过程控制系统和自动化过程控制系统的要求的文档,其中描述了威胁模型。 2016年,俄罗斯联邦采用了新的信息安全学说。俄罗斯联邦的关键信息基础架构(CII)的安全性是关键主题之一。我还单独指出,该学说特别强调说,俄罗斯联邦面临的风险是使用最初并未受到计算机攻击保护的信息技术。2014年,俄罗斯FSTEC还发布了第31号命令“批准关键设施,潜在危险设施以及对人类生命,健康和生命构成更大威胁的设施的生产和工艺流程自动控制系统中的信息安全要求2017年,“环境”和187-“关于俄罗斯联邦关键信息基础架构的安全性”。因此,早在2014年就开始使用当今国家提出的最佳实践进行系统开发的组织处于令人羡慕的位置-他们并不需要迫切从头开始实施FZ-187。-在FZ-187管制下的那些行业中,企业的自动化平均水平如何?-最广泛地涵盖了工业控制系统(根据法律规定为自动控制系统)充分发展的行业:电力,燃料和能源联合体,军事工业联合体,核工业,冶金,化工,采矿等。但是,工业企业的基础设施的安全水平仍然不足。 FZ-187的生效为该过程带来了积极的动力,但是大多数正在进行的保护关键基础设施的项目仍处于早期阶段。对于这些企业而言,将重点放在提高系统的真实安全性上,而不是正式遵守法律法规,这一点极为重要。-如何不混淆正式遵守实际安全性?-通过评估特定企业的过程控制系统的网络安全成熟度来分析您的工业系统非常有用。该经验标准涉及四个阶段。第一阶段:已经实现了自动化过程控制系统,具有较高水平的大规模自动化(针对该行业),但是没有实现基本的网络安全功能。也就是说,我们所说的网络卫生甚至还没有达到最低水平。第二阶段:在工业控制系统的系统中,实现基本的安全功能。例如,所谓的强化是操作系统的特定配置,目的是减少计算机入射到自动化过程控制系统上层的可能性。或者使用非特定的信息保护手段,例如,在工业控制系统或非专用IDS(入侵检测系统,入侵检测系统)外围的防火墙。第三阶段:有专门设计用于工业控制系统的信息保护工具,但相对于它们而言,它们是叠加系统。这些可以是专门的防病毒软件或专门的防火墙。有这样的产品,但是不幸的是,其中没有俄罗斯的发展。第四阶段:嵌入式信息安全工具的有效共生,例如,使用工业IDS系统。通过自动化过程控制系统本身(在控制器中,在顶层系统中)实现安全功能时,也可以选择。实际上,在这种情况下,实现了有针对性的端到端网络安全概念。-您是否有用于衡量行业实际安全程度的工具?
-目前,没有任何行业的统计数据是特征。而且,如果没有统计信息,那么,正如某些企业所相信的那样,就没有问题,也不需要做任何事情。我认为随着GosSOPKA(用于检测,预防和消除计算机攻击后果的国家系统)系统的广泛传播,这些情绪将消失,该系统也受FZ-187的监管。当企业独立或通过外包监控中心连接到GosSOPKA时,将显示统计信息。针对性攻击将被考虑在内,并且是非特定性的。显然,与技术并行,必须提高成熟度和安全性管理流程的水平。而且,这项任务远非总是快速而轻松地解决。-这部分最经常出现什么问题?
-法律的一项要求给企业带来一定的困难。俄罗斯联邦政府第127号法令“关于批准对俄罗斯联邦关键信息基础设施的对象进行分类的规则以及有关俄罗斯联邦关键信息基础设施的对象及其价值的标准的指标列表”的详细说明。根据法律,KII本身必须进行分类,但即使是高级企业,通常也没有足够的内部能力来正确评估与之相关的整套风险。在这里,我们作为专家合作伙伴,对有关风险和可能的后果的方法进行了广泛的验证。您可能会想,这完全不是恐吓,也不是“恐惧中的交易”。我们与行业代表进行了专家对话:首席工程师,技术人员,计量学家。这些人通常会惊吓保安人员:他们说您从未与他们达成任何协议。没什么!这些人一生都承担着责任,非常清楚地将浊语与真正的专家支持区分开。他们非常了解:如果定性地进行分类,那么这是朝着形成平衡的安全方法的第一步。我们为过程控制系统和工业互联网提供全面的安全分析服务。它涉及分析客户的基础结构,以发现与过程控制系统的网络安全性相关的体系结构问题。分析当前的安全级别,以平均级别在操作系统和内置于工业控制系统设备中的微程序软件级别检查基础结构中是否存在已知漏洞。直至最新的ACS TP。-应用软件还能成为安全问题的根源吗?-当然了这些风险的持续发展是我们的监管者。 2015年,俄罗斯FSTEC发布了安全软件开发工具的国家标准,最近,所谓的“信任要求”是所有信息安全工具开发人员的强制性要求。其中一项是确保安全发展。我认为,这是一项严肃的系统措施,将有助于提高生产系统的安全性。但是我认为类似的要求不仅应该来自国家,而且还应该来自基础架构的所有者。“即使是商业软件?”-客户拥有完全权利规定自动过程控制解决方案的供应商必须开发出安全的开发过程。例如,国际供应商(例如Schneider Electric或Siemens)已经开始按照国际标准IEC 62443-4-1工业通信网络来实施这种机制。网络和系统的安全性。”俄罗斯供应商也沿着这条道路前进-我们开始与他们合作,使用静态代码分析器构建有关安全开发的建议系统。此外,企业自身可以使用安全开发生命周期(SDL)方法来测试新软件的安全性。当然,这需要一些资源,但是成本稳定了一段时间后,软件质量有了总体改善,漏洞数量有所减少。-从系统的安全性方法的角度来看,在自由软件(例如Linux)中是否有特殊性?-发现在ICS中使用Linux。甚至,也许我们可以讨论在不同级别的工业控制系统上更多使用Linux的某种趋势:作为操作员调度控制(SCADA)顶层的操作系统还是控制器级别的嵌入式操作系统。在此,以下几点很重要。如果在ICS中使用任何基于Linux的操作系统,则为了增加对其使用的信任度,必须根据两种类型的要求对它进行认证。首次认证-关于软件可靠性的要求。这样的要求例如在IEC 61508标准“电气,电子,可编程电子安全相关系统的功能安全”中。第二次认证-根据要求,例如在信息安全方面要信任。最后,基于Linux的操作系统可能包含所谓的安全模型。对实时操作系统有特殊要求,包括俄罗斯的FSTEC。因此,在实现了满足当今特定要求的系统后,我们将获得一个满足可靠性要求并从安全性角度来看是最佳的操作系统。-但是最简单的方法不是冒险,而是仅使用经监管机构认证的安全设备?-我们有一项有关技术法规的法律,该法律提供了几种方法来评估已开发产品与其声明特性的符合性。认证就是其中之一。合格评定的另一种形式是验收测试。但是在这一部分,我必须说,没有发达的方法和方法论上的支持。我们计划同时采取两种方式,第二,我们现在正在创建“ ASU TP网络安全实验室”。其目标之一是形成根据网络安全参数测试ICS系统的方法论基础。今天,我们-整个国家-处于形成国家规模的我们自己的技术积压工作的活跃阶段,这很棒。同时,我们了解到,如果一开始您没有就形成该保护区建筑外观的系统方法做出平衡的决定,那么未来的道路可能会变得极为无效。因此,在制定计划的路线图时,我们采取了主动行动:应开发不同类型和类型的入侵者威胁模型-根据形成的路线图,针对系统的各个要素以及整个系统。例如,正在为特定行业中的工业Internet发展创建路线图。对于她而言,我们具有特定的建筑结构原理,每个级别使用的信息和通信技术的类型。然后,对于整个数字经济,将创建一个安全框架。