黑帽大會:SCADA系統安全就像一顆“定時炸彈”
通過對120多個管理髮電廠、煉油廠和其他關鍵國家基礎設施的網路和系統的安全進行評估分析,Red Tiger Security公司發現了數以萬計的安全漏洞、過時的作業系統和未經授權的應用。
Red Tiger Security 是一家專門從事國家關鍵基礎設施安全的公司,其創始人兼首席顧問Jonathan Pollet在週三的黑帽大會2010上指出並分析了此次評估(這項評估歷經了九年的時間)。Pollet說,維護關鍵基礎設施的公司必須提高其安全性。
Pollet說,“我希望我們的訊息可以給大家一些警示。”
雖然執行監控和資料採集系統(SCADA)的公司經常聲稱這些系統是安全的,因為他們與外部世界是斷開的,並被許多物理和技術安全控制所包圍,但是,Pollet的評估分析結果顯示事實正好相反。
Pollet說,一些設施在計算機上執行Windows 95,並且執行設施所需的關鍵機器還安有未經授權的軟體,從點對點應用到遊戲到色情。
Pollet說,許多未經授權的軟體中含有主要缺陷,其中包括用於連線到網際網路的下載程式。我們還發現許多應用程式被連線到遊戲軟體的伺服器、成人影片目錄指令碼和網上約會服務資料庫。在一個設施中,安全專家發現其核心運作機器安裝有流行的Counter Strike遊戲,它還連線到一個外部伺服器。
“不需要零日漏洞,” Pollet說,“已經有很多方式能使系統陷入風險。” 聯邦政府近幾年來越來越多的考慮關鍵基礎設施和SCADA系統的安全性問題。由McAfee公司和美國戰略與國際研究中心(CSIS)發表的一份報告指出,許多已開發國家的關鍵基礎設施的安全問題亟需改善。該報告調查了600名IT和安全管理人員,三分之二的受訪者承認,他們的SCADA系統已連線到IP網路或網際網路,存在一些沒有解決的安全問題。
Pollet發現,一些中央SCADA系統可以通過它們所連線的業務系統來訪問。其他的攻擊是由配置問題、防火牆程式不當和安全系統維護不善導致的。Pollet稱SCADA系統和業務系統之間的區域為非軍事區(DMZ),一個“無人地帶”,其中企業IT專業人士不知道如何管理SCADA系統運算元據,而SCADA運營商則認為其他人在管理基礎設施。大約有一半的安全漏洞(18000個)在中間層被發現。
許多漏洞包含在Web伺服器、業務應用程式,以及和它們連線的資料庫伺服器上。大多數系統都遭受常見錯誤,容易受到SQL隱碼攻擊、跨站點指令碼和拒絕服務攻擊。超過一半的系統(62%)在基於微軟的作業系統上執行。紅帽Linux系統佔11%。
更糟糕的是,Pollet發現漏洞向公眾披露的時間與控制系統操作人員發現這個漏洞的時間相差近一年(330天)。在某些情況下,運營商甚至會花更長的時間來部署一個修補程式,因為一些系統不容許離線,而其他的設施太重要而不能去冒險安裝補丁程式(可能會破壞關鍵程式)。
北美電力可靠性公司(NERC)維護關鍵基礎設施保護標準,獨立組織國際自動化協會維護類似的標準(ISA S99)。Pollet說,這兩個標準提供了一個共同的安全框架,可以用來改善設施的安全。
相關文章
- 黑帽大會:HTTPS和SSL協議存在安全漏洞HTTP協議
- Scrum不是一顆銀彈,有時可能會浪費大量時間 - RemoHJansenScrumREM
- 蘋果安全主管將出席黑帽大會 詳解 iOS 13 和 macOS 安全性蘋果iOSMac
- 你的指紋還安全嗎? - BlackHat 2015 黑帽大會總結 day 2
- 預留後門成“定時炸彈” IoT裝置安全問題不容忽視
- 大資料“重磅炸彈”:實時計算框架 Flink大資料框架
- 佩戴安全帽識別系統
- 安全帽佩戴檢測系統
- 看駭客如何遠端黑掉一輛汽車 - BlackHat 2015 黑帽大會總結 day 1
- 兩大研究成果入選!360政企安全集團亮相Black Hat 2022 亞洲黑帽峰會
- 安全帽佩戴檢測識別系統
- 煤礦安全帽佩戴檢測系統
- 網路安全中什麼是白帽、黑帽、灰帽駭客?有什麼區別?
- DNA to Face,會是尋人緝凶的一顆“銀彈”嗎?
- opencv 黑帽操作OpenCV
- 黑帽大會:蘋果網路伺服器比微軟易入侵蘋果伺服器微軟
- 安全帽人臉閘機聯動系統
- 安全帽佩戴識別系統攝像機
- 基於施工現場安全的安全帽識別系統
- 補天白帽大會&MOSEC:一場“安全風暴”即將登陸上海灘
- DCS系統和SCADA系統有什麼區別?
- 工地安全帽影片智慧識別監測系統
- 一顆賽艇!“大資料+AI”黑科技改變競技體育大資料AI
- “戰術競技”賽道的一顆炸彈?《小動物之星》上線首日空降免費第二
- 安全帽反光背心穿戴識別系統 反光衣穿戴檢測系統
- 安全帽識別系統-智慧船舶的守夜人
- 工地人員行為分析安全帽識別系統
- 人工智慧識別安全帽佩戴監測系統人工智慧
- win10系統執行lol出現炸彈人警告修復方法Win10
- 如何在LOL中成功製造一顆飛彈?
- 安全帽穿戴檢測人臉閘機聯動系統
- HPE固態硬碟成定時炸彈?部分型號裝置將在通電32768小時後完全損壞硬碟
- 現場測試安全帽檢測系統win7版Win7
- 最新黑帽SEO全套 共22課
- 黑帽SEO之搜尋引擎劫持
- 先知白帽大會2018 | 議題下載
- 定時任務管理系統
- linux系統時間設定Linux