基于云的SCADA系統的必須部署適當的框架和網絡安全措施,以幫助基于云的監控和數據采集(SCADA)系統預防網絡攻擊。
基于云的監控和數據采集(SCADA)系統,具有更大的靈活性、可擴展性和確定性。它還能夠大幅減少資本支出,提供可預測的成本,加快實施,并在增加或更改資產時快速適應變化。作為一種更高效的部署模型,基于云的SCADA系統可以降低很多行業的進入壁壘。
使用基于云的SCADA系統,無需控制或備份中心。用戶可以利用其首選服務提供商的云基礎架構,從資本支出模式轉變為運營支出模式。
以往周期為8 至10 個月的SCADA 系統項目,現在可以縮短到幾周。用戶可以從較少的資產開始,并按需增加或移除。此外,軟件版本可以始終保持最新狀態。在行業中,收益不斷得到驗證。例如,加拿大一家原油和天然氣勘探和生產公司的項目,利用基于云的SCADA 系統,在訂單簽署后一個月成功將300 多口油井運營上線。
工業控制系統面臨的安全隱患
基于云的SCADA 系統提供了一種可靠、安全的方法?,F場資源和專業知識,可以通過遠程支持、持續監控和服務提供商提供的自動更新來補充。在許多方面,通訊的設計與早期SCADA 系統中考慮的內容類似,但現在,更重要的是需要一個強大的網絡安全設計。
隨著工業控制系統(ICS)面臨的威脅越來越多,網絡安全問題變得至關重要。工業控制系統向數字化的轉變,也間接增加了網絡風險。手動操作的設備有一個好處:它不能被黑客攻擊。由于控制功能自動化水平的提升,潛在攻擊目標范圍也在增加。隨著更多的設備和系統連到工業物聯網(IIoT)網絡上,連接性的增加在帶來諸多好處的同時,但也帶來了網絡安全方面的擔憂。
不僅僅是 “攻擊面”或漏洞數量的增加,網絡泄露的潛在后果也在增加。監管預期的提高,意味著企業即使沒有發生泄露,也有可能造成嚴重的聲譽損害和成本(有些來自于監管處罰)。與此同時,過往經驗表明,風險與理論相去甚遠:
2012 年,Shamoon 病毒使中東能源公司的數萬臺計算機癱瘓,4 年后再次出現。
2016 年,“沙蟲”黑客發動了針對烏克蘭的攻擊,造成了大規模的停電,影響超過50 萬人。
2017 年,WannaCry 勒索軟件在全球爆發,超過三分之一的英國國家衛生服務信托基金受到影響。不僅僅是醫院計算機系統,還有醫療設備,如 MRI 掃描儀和血液檢測設備。
據卡巴斯基實驗室,超過半數的工業設施經歷了某種形式的網絡安全事件,四分之三的工廠預計其工業控制系統或將會受到攻擊。
應對網絡攻擊的上升
隨著攻擊類型的演變,網絡攻擊的數量和范圍也在增加。其中最令人擔憂的事態發展是,工業系統正成為黑客的攻擊目標。2017 年12月,黑客入侵了一個關鍵基礎設施的安全系統,這被稱為工業網絡安全的“分水嶺”。但它實際上發生在中東一家石油公司的安全系統遭到襲擊之后。
在應對這些風險時,企業受到許多因素的阻礙。首先是由于勞動力迅速退休而造成的通用技能的短缺,特別是技術技能的缺乏。Petroplan 公司發布的《2017 年人才觀察指數》指出,超過五分之一的石油、天然氣和能源部門表示,他們缺乏合適的人才來應對發展,超過三分之一的人表示,由于需要信息技術來實現數字化和大數據增長,因此他們需要更多的信息技術技能。
與此同時,在企業內部,孤立運營依然存在——站點之間、集團內部的企業之間,尤其是信息技術(IT)員工和運營技術(OT)員工之間的信息隔離依然存在——盡管在技術上已經融合。
信息孤島會造成很多混亂,比如誰應對風險負責。由于傳統IT 和OT 方法的不同,了解這一點很重要。具體而言,在運行方面可用性具有更高的優先級,但是很多情況下安全至關重要。因此,對IT 和 OT 適用的安全解決方案,彼此之間有很大差異。
由于在網絡安全方面還沒有形成統一的標準,因此在實施網絡安全戰略方面也就沒有“一刀切”" 的方法。
工業網絡安全的挑戰
對于基于云的SCADA 系統來說,網絡安全存在兩個關鍵的危險因素。
首先,網絡安全措施被忽視或沒有得到充分解決。通過衛星或無線通信進行的不安全連接,為黑客提供了侵入遠程站點、云和SCADA 系統的機會。例如,每個沒有配置安全設施的閥門站,都可能是重要的漏洞源。
其次,有些風險被過度夸大了,以至于企業推遲了云的部署。這不僅意味著他們會錯失基于云的SCADA 系統所帶來的效率提升,還將對行業產生潛在的影響。從長遠來看,這比已經發生的任何網絡攻擊的危害都要大。由于缺乏應對網絡風險的技能和內部資源,改善企業安全的可能性也不大。
當已經考慮攻擊媒介時,如何發生泄露,以及惡意軟件或黑客是如何進入的就顯而易見。容易被黑客利用的常見漏洞包括:
與工業控制系統環境的連接點不安全,多個設備和系統供應商可以訪問;
外部或業務網絡安全受到損害;
員工或供應商的筆記本電腦、手機、智能手表、物聯網設備或可移動媒體等,容易成為網絡釣魚或網絡攻擊的目標。
保護接入點
SCADA 系統的數據,本質上是良性信息。該系統從可編程邏輯控制器(PLC)或遠程終端單元(RTU)收集和顯示數據。它本質上是單向通訊,提供了設施內的狀態信息。它不是控制功能。在查看基于云的SCADA 系統時,安全性非常重要,但這并不是一個無法克服的挑戰。
保護異地SCADA 系統解決方案需要克服的核心問題是缺乏集中化。企業不得不嘗試保護遠程員工、承包商、客戶以及控制系統和第三方設備和軟件供應商使用的多個接入點(圖 1)(為了進行升級、修補、監視或支持而獲得遠程連接權限)。
這些接入點的數量以及缺乏有效的中央監督和控制容易導致各種問題,包括:
資產和事件的部分數據可用性;
沒有適當的強化;
沒有適當的監測,也沒有管理;
沒有圍繞網絡安全的適當規劃和問責。
企業可以相信通過這些接入點建立和管理連接的人員是以安全的方式這樣做的,但這是一種不應該做出的假設。
隨著連接工業物聯網設備數量的增加,此問題只會變得更突出。此外,越來越需要先進的大數據分析,以便從生成的海量數據中獲得價值,并將其轉化為可操作的信息。這些分析功能可布置在設施內或基于云的設備上,需要安全的數據傳輸通道(圖 2)。
集中式網絡安全
基于云的SCADA 系統的關鍵是云的安全——通過基于云的安全中心和通信中心來實現安全集中化(圖 3)。
該安全中心,可以對連接進行身份驗證,在允許訪問通信服務器之前確保它們的有效性。同時,通信服務器使用位于每個工廠或站點的虛擬安全引擎(VSE)進行身份驗證。虛擬安全引擎還可以從遠程站點啟動與通信服務器的連接,并且可以自動在指定的時間間隔或時間進行連接,這樣服務器就不必一直保持連接。
來自這些工廠或站點的所有通信都通過安全通道,使用443 端口進行傳輸層安全性加密,并且可以對所有遠程連接強制執行防火墻規則。這提供了一種分布式架構,其中包含了從運營到遠程站點間的安全通道。
來自工廠或站點的通信,都是通過安全通道進行的,而通信服務器則受到防火墻的保護。但是,如果需要向下推送修補程序或更新,安全連接也可用于給技術人員提供遠程訪問權限。
這種集中式網絡安全方法,使運營能夠定義、自動化和監控整個SCADA 系統環境中的安全策略,從而提供更高的可見性、可靠性和合規性。企業可以集中定義整個工廠的策略,自信地部署它們,并自動執行和監視。它確保所有遠程現場資產都能獲得運營中心的安全保護。
結合自上而下的安全管理平臺,此體系結構可提供強大的工業控制系統安全性,并遵循NIST 網絡安全框架。此框架定義了行業標準和最佳實踐,以幫助組織管理網絡安全風險。將集中控制與安全管理平臺相結合,使企業能夠在所有站點上滿足這些標準,保持一致性(圖 4)。
現有的手動安全過程,如打補丁,不能很好地擴展?;谠频腟CADA 系統可以通過自動化來集中實現這些功能,同時為整個企業的網絡安全帶來一致性、可見性和控制能力。
基于云的SCADA系統帶來了巨大的優勢,但對安全性的擔憂,可能會導致企業無法堅持實施到底。有了合適的架構和網絡安全,企業可以享受部署云所帶來的好處,同時最大限度地降低網絡攻擊的風險。
來源:網絡整理