在2021年RSA大會上,美國燃油管道運營商Colonial Pipeline遭網路攻擊事件引起了廣泛討論,根據有關網路安全專家分析,此次燃油管道公司遭受的攻擊是由於疫情期間該公司職員在家辦公遠端訪問輸油管道控制系統,可能導致遠端桌面軟體賬戶登陸資訊洩漏所致。
如何設計安全的控制系統遠端訪問?值得我們進一步的探討和解決。
遠端訪問存在的問題
遠端訪問有個比較容易被忽視的問題:目前關於遠端訪問的很多設計/架構已經過時,相關標準需要重新制定和更新以達到當前的安全標準,但是各種裝置的湧現導致標準制定需要考慮很多問題。完全杜絕遠端訪問,採用封閉隔離模式也不是長久之計。
在萬物互聯和IOT高速發展的情況下,遠端連線必不可少,尤其是在工業控制環境中。現場裝置的配置更新、介面設定等很多操作無法由安全人員完成,需要由供應商或控制系統現場人員協助。疫情前人們就已經在考慮摒棄傳統的人員在裝置現場操作模式,疫情的到來更加速了這個需求。一些傳統的架構設計已經不允許我們在獨立隔離的環境中完成各種操作,我們必須要直面遠端訪問帶來的各種風險。
遠端訪問的需求增加
建造落成的時間久遠等原因導致很多機構系統過時,特別是一些關鍵基礎設施的工控控制系統。在業務需求變更的條件下,系統需要進行遠端訪問進行資料互動,即使存在很大的安全隱患,也必須根據手頭的情況想辦法“完成任務”。但這些系統應用的時間久遠且牽一髮動全身,無法立刻遷移到新的安全模型。那麼到底是什麼導致了遠端訪問的需求增加呢?
1、業務需求
安全企業和客戶需要進行資料互動,從而相互協作以滿足業務需求。但是與一些科技公司相比,控制系統的工程師們有一種傳統的固有思維“能用就行”,不會更多考慮更新或安全措施等問題,因為他們認為這些“無謂”操作會引入潛在的控制環境風險,造成不必要的損失。這也是需要遠端訪問能力的原因。安全人員可以去做那些控制工程師們不願做的事情,如更新升級/打補丁等,透過開放某個遠端訪問介面,讓指定的人去提升安全性,皆大歡喜。但隨之而來的問題是:透過遠端介面在解決一些安全問題的同時,也引入了新的問題,如開放一些協議通訊的本身就存在安全隱患。當然僅僅開放一個埠用來連線肯定是不合適的,我們需要考慮如何在建立安全介面的同時,避免它帶來的安全隱患(不要給操作員和攻擊者同時開放訪問介面)。
安全人員的建議同樣可能帶來負面影響,阻礙原本業務的順利進行,出現從“新系統不太安全但是效率高”到“老系統比較安全但是效率低”的結果。所以找到平衡點也是在工業控制環境中引入遠端訪問的重要問題。
2、政策需求
政府的需求也會迫使提供遠端訪問功能,如需要在一定時間內回應突發事件,操作員第一時間響應併到現場操作的行為並不現實,只能透過遠端訪問來避免遲到。有些現場位置偏遠,離開遠端訪問的支援將導致響應突發事件效率低下,不僅無法達成政策指標,也會造成實際風險的響應延遲,增加損失。控制系統確實需要滿足發生特殊事件時的特定需求的現實,在後疫情時代更加明顯,如遠端訪問才能確保業務能夠照常進行。
3、成本和其它
還有很多原因造成遠端訪問需求的逐漸增加,如遠端維護支援比現場支援的費用更低。還有一些第三方提供的業務最佳化服務,佈置在雲端,將控制現場的資料接收過來後,透過最佳化演算法再傳回控制器,對整體工業流程進行最佳化操作。雖然確實可以讓整體生產控制過程最佳化,但這也產生了一個新的安全隱患點。
如何定製遠端訪問控制體系?
近年來,有很多ICS/OT環境的安全事件都與訪問控制有關,因此很多人並不看好遠端訪問,認為會使目標更加脆弱,但這些安全隱患都源於遠端訪問功能實現過程中的缺陷和不足。直接開放一個外界連結埠或引入一款協議用於資料通訊肯定會帶來很多安全問題(如埠忘記關閉或引入的協議本身就存在漏洞等)。理論上如何實現遠端訪問有很多更好的方式,如利用分開的Token使用多重認證系統,遠端接入的人員持有一個Token,通知控制系統的管理人員獲取響應的Token後,獲取訪問許可權。如利用DMZ對關鍵環境的網路進行隔離,在這個緩衝環境中分配指定的訪問憑證,並擁有完整的監聽許可權。
關於如何才能最大程度降低風險,目前還沒有統一的標準架構,所以企業需要根據自身的業務需求和安全標準來量身定製遠端訪問控制體系。
監控訪問行為
與一般的IT系統不同,在工業控制環境中更難監控所有訪問行文。一方面不同系統使用不同的遠端訪問功能,在成本和收益角度來看,小眾的系統由於使用人少可能會疏於監控。而有些功能雖然設計時是為了完成X目標(如開啟遠端介面用於系統韌體的下載更新),但攻擊者可能會挖掘出該系統的潛在功能Y,因此監控很難及時發現惡意的Y行為,尤其是遠端訪問。
總之,好的理論要用好的方式來實現。任何遠端行為都應該有詳盡的日誌記錄,並做好訪問的許可權控制,對於任何遠端訪問行為都擁有完整的監控能力,以便在發生異常事件後回溯定位問題根源。