自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

SCADA系統(tǒng)安全就像一顆“定時炸彈”

作者:Robert Westervelt
安全 網(wǎng)站安全
本文介紹了黑帽大會上,Red Tiger Security公司展示的對120多個管理發(fā)電廠、煉油廠和其他關(guān)鍵國家基礎(chǔ)設(shè)施的網(wǎng)絡(luò)和系統(tǒng)的安全進行評估分析的結(jié)果。

通過對120多個管理發(fā)電廠、煉油廠和其他關(guān)鍵國家基礎(chǔ)設(shè)施的網(wǎng)絡(luò)和系統(tǒng)的安全進行評估分析,Red Tiger Security公司發(fā)現(xiàn)了數(shù)以萬計的安全漏洞、過時的操作系統(tǒng)和未經(jīng)授權(quán)的應(yīng)用。

Red Tiger Security 是一家專門從事國家關(guān)鍵基礎(chǔ)設(shè)施安全的公司,其創(chuàng)始人兼首席顧問Jonathan Pollet在周三的黑帽大會2010上指出并分析了此次評估(這項評估歷經(jīng)了九年的時間)。Pollet說,維護關(guān)鍵基礎(chǔ)設(shè)施的公司必須提高其安全性。

Pollet說,“我希望我們的消息可以給大家一些警示?!?/P>

雖然運行監(jiān)控和數(shù)據(jù)采集系統(tǒng)(SCADA)的公司經(jīng)常聲稱這些系統(tǒng)是安全的,因為他們與外部世界是斷開的,并被許多物理和技術(shù)安全控制所包圍,但是,Pollet的評估分析結(jié)果顯示事實正好相反。

Pollet說,一些設(shè)施在計算機上運行Windows 95,并且運行設(shè)施所需的關(guān)鍵機器還安有未經(jīng)授權(quán)的軟件,從點對點應(yīng)用到游戲到色情。

Pollet說,許多未經(jīng)授權(quán)的軟件中含有主要缺陷,其中包括用于連接到互聯(lián)網(wǎng)的下載程序。我們還發(fā)現(xiàn)許多應(yīng)用程序被連接到游戲軟件的服務(wù)器、成人影片目錄腳本和網(wǎng)上約會服務(wù)數(shù)據(jù)庫。在一個設(shè)施中,安全專家發(fā)現(xiàn)其核心運作機器安裝有流行的Counter Strike游戲,它還連接到一個外部服務(wù)器。

“不需要零日漏洞,” Pollet說,“已經(jīng)有很多方式能使系統(tǒng)陷入風(fēng)險?!?聯(lián)邦政府近幾年來越來越多的考慮關(guān)鍵基礎(chǔ)設(shè)施和SCADA系統(tǒng)的安全性問題。由McAfee公司和美國戰(zhàn)略與國際研究中心(CSIS)發(fā)表的一份報告指出,許多發(fā)達國家的關(guān)鍵基礎(chǔ)設(shè)施的安全問題亟需改善。該報告調(diào)查了600名IT和安全管理人員,三分之二的受訪者承認(rèn),他們的SCADA系統(tǒng)已連接到IP網(wǎng)絡(luò)或互聯(lián)網(wǎng),存在一些沒有解決的安全問題。

Pollet發(fā)現(xiàn),一些中央SCADA系統(tǒng)可以通過它們所連接的業(yè)務(wù)系統(tǒng)來訪問。其他的攻擊是由配置問題、防火墻程序不當(dāng)和安全系統(tǒng)維護不善導(dǎo)致的。Pollet稱SCADA系統(tǒng)和業(yè)務(wù)系統(tǒng)之間的區(qū)域為非軍事區(qū)(DMZ),一個“無人地帶”,其中企業(yè)IT專業(yè)人士不知道如何管理SCADA系統(tǒng)操作數(shù)據(jù),而SCADA運營商則認(rèn)為其他人在管理基礎(chǔ)設(shè)施。大約有一半的安全漏洞(18000個)在中間層被發(fā)現(xiàn)。

許多漏洞包含在Web服務(wù)器、業(yè)務(wù)應(yīng)用程序,以及和它們連接的數(shù)據(jù)庫服務(wù)器上。大多數(shù)系統(tǒng)都遭受常見錯誤,容易受到SQL注入、跨站點腳本和拒絕服務(wù)攻擊。超過一半的系統(tǒng)(62%)在基于微軟的操作系統(tǒng)上運行。紅帽Linux系統(tǒng)占11%。

更糟糕的是,Pollet發(fā)現(xiàn)漏洞向公眾披露的時間與控制系統(tǒng)操作人員發(fā)現(xiàn)這個漏洞的時間相差近一年(330天)。在某些情況下,運營商甚至?xí)ǜL的時間來部署一個修補程序,因為一些系統(tǒng)不容許脫機,而其他的設(shè)施太重要而不能去冒險安裝補丁程序(可能會破壞關(guān)鍵程序)。

北美電力可靠性公司(NERC)維護關(guān)鍵基礎(chǔ)設(shè)施保護標(biāo)準(zhǔn),獨立組織國際自動化協(xié)會維護類似的標(biāo)準(zhǔn)(ISA S99)。Pollet說,這兩個標(biāo)準(zhǔn)提供了一個共同的安全框架,可以用來改善設(shè)施的安全。

【編輯推薦】

  1. 搜索結(jié)果十六進制編輯器WinHex查找系統(tǒng)安全漏洞
  2. 提升Linux系統(tǒng)安全系數(shù)的十大策略
責(zé)任編輯:許鳳麗 來源: TechTarget中國
系統(tǒng)安全安全漏洞
相關(guān)推薦

2021-07-12 06:43:13

網(wǎng)站安全應(yīng)用安全網(wǎng)絡(luò)攻擊

2010-03-05 10:03:04

2013-06-06 13:40:00

2009-07-08 15:57:43

2018-08-20 07:04:35

2012-11-09 16:50:56

2013-12-23 10:46:30

2013-05-30 11:00:04

2013-05-06 14:15:51

2021-01-21 21:14:53

人工智能AIOpenAI

2011-12-13 16:41:01

2009-07-24 12:42:23

刀片服務(wù)器數(shù)據(jù)中心多核

2021-06-30 13:20:05

Windows 11芯片PC

2020-06-30 15:38:17

戴爾

2010-10-12 16:30:25

2012-07-30 11:16:35

2016-09-24 23:21:57

2009-06-10 18:15:36

電腦下鄉(xiāng)家電下鄉(xiāng)

2022-12-27 14:29:37

javascript動畫
點贊
收藏

51CTO技術(shù)棧公眾號