众所周知,遗留设备(Legacy)仍将继续在关键基础设施的持续性和稳定性方面起到重要作用,尤其是在工业控制系统(ICS)中。数字政府中心最近的一次调查研究发现,70%的受访机构依赖遗留基础设施维持运转。

1

德勤会计师事务所和MAPI的另一份报告《先进制造中的网络风险》,强调了保护遗留控制系统的重要性。报告显示,现代工业控制系统比其前辈容易保护得多。对200多家制造企业的调查发现,过去一年里,40%的受访企业都受到了网络事件的影响,最大的风险存在于遗留ICS中。

遗留基础设施是什么?为什么遗留基础设施需要受到保护?

与智能电网或智能工厂之类现代智能企业中所用的最新先进设备相反,遗留设备通常颇为老迈,有些甚至已存在了20年、30年,甚至更久时间。这些设备依然能用,有时候因为升级换代所需的巨大资本投入而往往没被替换。某些情况下,因为通信协议的问题,此类系统甚至理解不了IP协议(网际协议),可能使用某些专有通信机制。如此一来,更新工作就更令人绝望了,因为不仅控制系统设备需要更新,整个网络基础设施都要推倒重来。

另一个巨大的挑战是,某些老旧控制系统运行的是过时的操作系统或应用软件,不再受其制造商支持,甚至整个软件开发社区都无视了这些操作系统或应用软件的更新。此类系统漏洞裸奔,对攻击和漏洞利用程序完全开放。更糟的是,它们有时候还不支持安全套接字层(SSL)和/或传输层安全(TLS)协议,通信信道本身毫无身份验证和加密保护。类似的,即便支持SSL或TLS的设备,其版本也大多过时且没打补丁。

甚至即使有软件升级或补丁可用,也解决不了最终的问题,因为有些系统根本就不升级。其间阻碍包括这些系统所处位置的偏远性和难以到达性,还有升级流程的复杂程度。而且,对关键基础设施而言,仅仅是升级过程造成的那一点点停机时间,也是不可接受的。

以上不利条件造成了这些系统面对漏洞利用毫不设防的现状,一旦被入侵,将极其难以检测和缓解。漏洞利用不仅能令这些控制系统无法继续正常操作,还会对整个工业运营造成严重而灾难性的打击。

保护遗留基础设施的3种方法

1.保护终端

终端包括多种控制系统设备,比如远程终端单元(RTU)、可编程逻辑控制器(PLC)、智能电子设备(IED)等等。这些终端只允许操作所需的通信消息可以接入。排除通信信道中所有不必要的流量可以防止终端暴露在漏洞利用或攻击的威胁之下。

工业控制系统领域有个通行的理念:没坏就别修。只要控制系统按预期运行,软件升级或维护就有可能带来让系统不稳定的风险。然而,另一方面,升级系统以防止漏洞或协议异常的需求又总是存在的。这种情况下,协议异常检测防火墙,或者说深度包检测防火墙(因为不仅仅查看数据包头,还查看深藏在数据包里的协议消息内容以应用过滤规则),就是只允许安全有效的协议消息抵达终端设备而减轻修复软件漏洞需求的必备方法了。

2

设备级防火墙保护遗留终端设备不沾染恶意流量和非必要流量示意图

2.保护网络

很多情况下,遗留设备本身所用的网络通信协议就是不安全的。即便确实有某种程度上的安全,也顶多是SSL或SSH的弱化版本,可被轻易突破或利用。保护这些通信信道以防止中间人攻击非常重要,这样才可以避免对控制系统的任何危险影响。信道保护的方法之一,是通过IPSec VPN隧道来加密通信。面向单个或多个控制系统终端的VPN网关,可以确保这些消息被几乎不可破解的强算法加密。

至于不支持IP协议的终端,比如传输Modbus、Profinet或类似协议消息的遗留串行设备,设置将串行数据转换为TCP/IP消息的边界终端服务器,应能在数据传输前保护IP网络安全。很多方法都能达成所需的安全,SSL和IPSec VPN是最主流的。

3

边界防火墙保护遗留网络不受恶意流量和中间人攻击影响示意图

3.监视网络和终端

即使终端和网络都已安全,仍需持续监视网络,查找影响安全稳定状态的任何改变。网络和控制系统总在不断发展变化中,新的威胁和漏洞持续涌现。网络自身也在不断膨胀,越来越多的通信设备融入网络,随之引入各种安全漏洞。有必要设置一套系统持续跟踪网络中所有资产(或者通信设备),近实时地发现可能是潜在威胁的新设备。这一资产发现系统应覆盖IP和非IP通信,比如串行设备。

至少,确保符合行业特定标准(如NERC CIP、NIST 800、IEC 62443等)的审计机制,有助于保持控制系统的安全和可用性。

相关阅读:

现在是提升数据中心安全的时候了

面对静默错误,超融合只能束手无策?

连年上涨,全球信息安全支出明年或超1240亿美元

关注中国IDC圈官方微信:idc-quan 我们将定期推送IDC产业最新资讯

查看心情排行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党
2020-02-25 15:43:36
边缘计算 2020三大关键词:带宽、边缘设备、PoE
随着Wi-Fi6等新技术的出现、共享频谱的推出、以及5G网络的持续部署,消费者和企业用户将在新的一年里拥有更多连接选择。 <详情>
2020-02-24 15:19:50
云资讯 基础设施即代码模板是许多云计算基础设施弱点的根源
一份新的调查报告表明,在云计算部署中,基础设施即代码(IaC)模板配置错误的比例很高,这使它们容易受到攻击。 <详情>
2020-02-14 19:11:02
5G终端 GSMA:5G建设引发网络基础设施资源整合
2018年11月,GSMA Intelligence研究了运营商之间共享或剥离铁塔资产的做法,发现两个明显的趋势:一是运营商正在采取全新的5G建网策略,二是运营商与通信基础设施趋于解耦 <详情>
2020-02-05 17:02:30
云资讯 为什么现在是让私有云取代本地基础设施的时候
通过克服内部部署的挑战,企业可以构建私有云解决方案,将性能、成本和安全性融合在一起以满足他们的精确需求。 <详情>
2020-02-01 16:34:37
国际资讯 Facebook工程副总裁离职 曾负责数据中心基础设施
北京时间1月29日早间消息,Facebook工程副总裁杰伊·帕里克(Jay Parikh)周二宣布离职。过去几年中,Facebook已有多名高管离职。 <详情>