眾所周知，遺留設(shè)備(Legacy)仍將繼續(xù)在關(guān)鍵基礎(chǔ)設(shè)施的持續(xù)性和穩(wěn)定性方面起到重要作用，尤其是在工業(yè)控制系統(tǒng)(ICS)中。數(shù)字政府中心最近的一次調(diào)查研究發(fā)現(xiàn)，70%的受訪機(jī)構(gòu)依賴遺留基礎(chǔ)設(shè)施維持運(yùn)轉(zhuǎn)。

[[243648]]

德勤會計師事務(wù)所和MAPI的另一份報告《先進(jìn)制造中的網(wǎng)絡(luò)風(fēng)險》，強(qiáng)調(diào)了保護(hù)遺留控制系統(tǒng)的重要性。報告顯示，現(xiàn)代工業(yè)控制系統(tǒng)比其前輩容易保護(hù)得多。對200多家制造企業(yè)的調(diào)查發(fā)現(xiàn)，過去一年里，40%的受訪企業(yè)都受到了網(wǎng)絡(luò)事件的影響，最大的風(fēng)險存在于遺留ICS中。

遺留基礎(chǔ)設(shè)施是什么?為什么遺留基礎(chǔ)設(shè)施需要受到保護(hù)?

與智能電網(wǎng)或智能工廠之類現(xiàn)代智能企業(yè)中所用的最新先進(jìn)設(shè)備相反，遺留設(shè)備通常頗為老邁，有些甚至已存在了20年、30年，甚至更久時間。這些設(shè)備依然能用，有時候因為升級換代所需的巨大資本投入而往往沒被替換。某些情況下，因為通信協(xié)議的問題，此類系統(tǒng)甚至理解不了IP協(xié)議(網(wǎng)際協(xié)議)，可能使用某些專有通信機(jī)制。如此一來，更新工作就更令人絕望了，因為不僅控制系統(tǒng)設(shè)備需要更新，整個網(wǎng)絡(luò)基礎(chǔ)設(shè)施都要推倒重來。

另一個巨大的挑戰(zhàn)是，某些老舊控制系統(tǒng)運(yùn)行的是過時的操作系統(tǒng)或應(yīng)用軟件，不再受其制造商支持，甚至整個軟件開發(fā)社區(qū)都無視了這些操作系統(tǒng)或應(yīng)用軟件的更新。此類系統(tǒng)漏洞裸奔，對攻擊和漏洞利用程序完全開放。更糟的是，它們有時候還不支持安全套接字層(SSL)和/或傳輸層安全(TLS)協(xié)議，通信信道本身毫無身份驗證和加密保護(hù)。類似的，即便支持SSL或TLS的設(shè)備，其版本也大多過時且沒打補(bǔ)丁。

甚至即使有軟件升級或補(bǔ)丁可用，也解決不了最終的問題，因為有些系統(tǒng)根本就不升級。其間阻礙包括這些系統(tǒng)所處位置的偏遠(yuǎn)性和難以到達(dá)性，還有升級流程的復(fù)雜程度。而且，對關(guān)鍵基礎(chǔ)設(shè)施而言，僅僅是升級過程造成的那一點(diǎn)點(diǎn)停機(jī)時間，也是不可接受的。

以上不利條件造成了這些系統(tǒng)面對漏洞利用毫不設(shè)防的現(xiàn)狀，一旦被入侵，將極其難以檢測和緩解。漏洞利用不僅能令這些控制系統(tǒng)無法繼續(xù)正常操作，還會對整個工業(yè)運(yùn)營造成嚴(yán)重而災(zāi)難性的打擊。

保護(hù)遺留基礎(chǔ)設(shè)施的3種方法

1. 保護(hù)終端

終端包括多種控制系統(tǒng)設(shè)備，比如遠(yuǎn)程終端單元(RTU)、可編程邏輯控制器(PLC)、智能電子設(shè)備(IED)等等。這些終端只允許操作所需的通信消息可以接入。排除通信信道中所有不必要的流量可以防止終端暴露在漏洞利用或攻擊的威脅之下。

工業(yè)控制系統(tǒng)領(lǐng)域有個通行的理念：沒壞就別修。只要控制系統(tǒng)按預(yù)期運(yùn)行，軟件升級或維護(hù)就有可能帶來讓系統(tǒng)不穩(wěn)定的風(fēng)險。然而，另一方面，升級系統(tǒng)以防止漏洞或協(xié)議異常的需求又總是存在的。這種情況下，協(xié)議異常檢測防火墻，或者說深度包檢測防火墻(因為不僅僅查看數(shù)據(jù)包頭，還查看深藏在數(shù)據(jù)包里的協(xié)議消息內(nèi)容以應(yīng)用過濾規(guī)則)，就是只允許安全有效的協(xié)議消息抵達(dá)終端設(shè)備而減輕修復(fù)軟件漏洞需求的必備方法了。

設(shè)備級防火墻保護(hù)遺留終端設(shè)備不沾染惡意流量和非必要流量示意圖

2. 保護(hù)網(wǎng)絡(luò)

很多情況下，遺留設(shè)備本身所用的網(wǎng)絡(luò)通信協(xié)議就是不安全的。即便確實有某種程度上的安全，也頂多是SSL或SSH的弱化版本，可被輕易突破或利用。保護(hù)這些通信信道以防止中間人攻擊非常重要，這樣才可以避免對控制系統(tǒng)的任何危險影響。信道保護(hù)的方法之一，是通過 IPSec VPN 隧道來加密通信。面向單個或多個控制系統(tǒng)終端的VPN網(wǎng)關(guān)，可以確保這些消息被幾乎不可破解的強(qiáng)算法加密。

至于不支持IP協(xié)議的終端，比如傳輸Modbus、Profinet或類似協(xié)議消息的遺留串行設(shè)備，設(shè)置將串行數(shù)據(jù)轉(zhuǎn)換為TCP/IP消息的邊界終端服務(wù)器，應(yīng)能在數(shù)據(jù)傳輸前保護(hù)IP網(wǎng)絡(luò)安全。很多方法都能達(dá)成所需的安全，SSL和 IPSec VPN 是最主流的。

邊界防火墻保護(hù)遺留網(wǎng)絡(luò)不受惡意流量和中間人攻擊影響示意圖

3. 監(jiān)視網(wǎng)絡(luò)和終端

即使終端和網(wǎng)絡(luò)都已安全，仍需持續(xù)監(jiān)視網(wǎng)絡(luò)，查找影響安全穩(wěn)定狀態(tài)的任何改變。網(wǎng)絡(luò)和控制系統(tǒng)總在不斷發(fā)展變化中，新的威脅和漏洞持續(xù)涌現(xiàn)。網(wǎng)絡(luò)自身也在不斷膨脹，越來越多的通信設(shè)備融入網(wǎng)絡(luò)，隨之引入各種安全漏洞。有必要設(shè)置一套系統(tǒng)持續(xù)跟蹤網(wǎng)絡(luò)中所有資產(chǎn)(或者通信設(shè)備)，近實時地發(fā)現(xiàn)可能是潛在威脅的新設(shè)備。這一資產(chǎn)發(fā)現(xiàn)系統(tǒng)應(yīng)覆蓋IP和非IP通信，比如串行設(shè)備。

至少，確保符合行業(yè)特定標(biāo)準(zhǔn)(如 NERC CIP、NIST 800、IEC 62443 等)的審計機(jī)制，有助于保持控制系統(tǒng)的安全和可用性。

德勤與MAPI出的《先進(jìn)制造中的網(wǎng)絡(luò)風(fēng)險》報告原文地址：

https://www2.deloitte.com/us/en/pages/manufacturing/articles/cyber-risk-in-advanced-manufacturing.html

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文