OT网络安全破局之思考系列(二)-深层工业网络安全的关键抓手-OT终端安全

OT网络安全破局之思考系列(二)-深层工业网络安全的关键抓手-OT终端安全

时间:2023-09-04 作者:安帝科技 原创


编者按
后疫情时代,经济低迷、持续下行,影响后果深未见底。俄乌战争凸显“关基”安全保障的极端重要性。美中对抗、大国博弈,国际安全形势瞬息万变。网络安全行业迎来最坏的时代,也是最好的时代。

洞察未来,变的是什么?漏洞后门持续走高,攻击技术的复杂化,攻击对手的高能化,安全风险的动能化,安全需求的多样化,安全目标的弹性化,资产价值的差异化,防御能力的滞后化?等等!不变的是什么?攻防对抗的本质未变;易攻难守的常态未变;敌强我弱的态势未变;安全价值的追求没变。变局中求生存、求破局,不确定性中寻找确定性,这是今后的常态。

ICS(工业控制系统)到OT(运营技术)的转变,ICS网络安全到OT网络安全的转变,完全是数字时代之变。客观的讲,ICS网络安全十多年来的探索,始终没能摆脱移植、模仿、追新的宿命。当OT网络安全深入工业网络底层时,跟随、模仿、移植的套路已力不从心。无论各表一词的工业互联网安全、工业控制系统安全、工业信息安全、工业网络安全、工业安全,都在概念、技术、流程、规范、风险、文化等等方面,面临重大挑战。其本质是对OT域的功能安全、控制安全、过程安全、业务安全、过程安全风险的无知、畏难和回避。

当真正的IT/OT/CT/ET深度融合无处不在之时,OT网络安全如何回归工业本质,如何直面底层防御盲区?如何遏制网络攻击向动能攻击的转化?强调关注“业务、人和供应链”者有之,强调安全能力前置的“设计安全和默认安全”者有之,强调系统工程回归的“弹性工程和知情工程”者有之,强调关注“工业风险和安全运营”者有之,倡导内生的“内置安全、内嵌安全、出厂安全”者有之,等等。OT网络安全的产品技术、解决方案、发展范式,将走向何处?

安帝科技试图对这些问题进行系统思考,尝试探寻自己的解决方案和发展路径。同时,也期望与业内同仁共同探讨,共同探索,共同成长。本期推出系列思考之二:《深层工业网络安全的关键抓手-OT终端安全》,敬请批评指正。
深层工业网络安全的关键抓手-OT终端安全
电力、通信、石油和天然气、交通运输、公用事业、智能制造等行业的OT基础设施正日益成为复杂网络攻击的目标。首选的武器通常是加密软件/勒索软件,只需几秒钟就能加密关键的控制信息,从而破坏甚至关闭生产线和功能安全系统。
传统基于物理隔离的思维已行将就木。OT基础设施自闭合的时代已一去不复返。气隙隔离的OT设备越来越互联了——企图将其隔绝于基于互联网的威胁之外已不可能了。OT和IT系统加速融合,过时和未打补丁的OT终端成为网络攻击者非常诱人的切入点。

OT终端是进入工业环境的第一个物理切入点,也是可以保护的最后一个点。有效的OT终端安全框架必须具备可见性、控制和感知。完全可见性意味着组织必须能够看到网络上任何位置的任何设备。

OT网络安全能力发展现在正处于这样的一个阶段:安全能力扩展必须覆盖最接近ICS物理流程的终端,也就是工业网络底层的终端,即普渡模型的L1和L0层。它们可能是执行器、传感器、阀门、机器人和安全设备,以及人机界面 (HMI)、可编程逻辑控制器(PLC)、现场总线I/O和在控制室外部运行的其他控制器。网络风险(信息攻击)转换为过程风险(动能攻击)的最后一步,能否守得住?靠什么守?

得终端者得天下。互联网、金融、物流、通信等各个行业都在讲这个金科玉律。OT网络安全领域,情同此理!
一、底层工业网络OT终端安全的窘境
OT终端已成为黑客攻击的焦点,终端安全保护就成为OT网络安全计划的关键点。但传统上,在OT域实施终端安全保护并不那么容易,即便到目前数字化转型大力推进的关键时期,也是如此。据2023年美国SANS最新的ICS网络安全调研报告显示,在OT域部署EDR的情况并不乐观,平均有64%的终端没有部署EDR。这一结论基本反应了OT域终端安全能力的覆盖情况,如果深入到工业网络底层,这一比例可能还会更高。

问题的核心是OT网络中的终端,可见性极低。不可见便不可管,不可管理的终端和网络其安全保障便无从谈起。这也再次表明,以IT为核心的网络安全思路在OT域 ,特别是OT网络底层,严重水土不服。
1、看不见、管不了
在OT网络的L3到L0层,越向底层,设备的可见性越差。L2层包含本地人机界面HMI,专门用于监视和监督控制ICS设备。L1层集合了嵌入式硬件和可编程逻辑控制器(PLC),设备主要有批量控制、离散控制、驱动控制、连续过程控制和功能安全控制,提供对工业过程的自动控制。L0层完成所有繁重的工业工作,大到旋转离心机,小到温度的测量和报告等,主要设备有传感器、驱动器、执行器、机器人。基于流量的方法无法根本上解决OT终端可见性的问题,手工排查录入的资产台账无法准确反应最新的设备状态,大量嵌入式设备,长期处于失管、失察、失控的境地。
2、不匹配、装不上
许多0级和1级设备不具有与IT网络设备相同的技术功能性能。例如,许多变频驱动器不能容纳杀毒软件或黑名单和白名单功能。0级和1级有大量的过程传感器,用以测量许多不同的东西,如压力、液位、流量、温度、电压电流、电机速度、频率和化学成分。它们在公共设施中无处不在。过程传感器不使用COTS(商用现货)操作系统,而且许多传感器都有内置的后门以供维护。现有EDR大多只能适用Windows系列、Linux系列、国产自主OS等通用操作系统,对于Android、MacOS、WinCE、IBM AIX以及一些实时操作系统,基本没有对应版本。即使Windows、Linux系统的EDR,面对老旧的操作系统版本、有限的终端资源,只能望洋兴叹。即便能安装能运行,但安装后需要重启系统,这会拉长安装的时间窗口从而在现实上变得不可用或者部署成本急剧攀升。当面临OT网络深层的泛终端(传感器、控制器、执行器、HMI、网络设备等等)时,覆盖不全、适配不了、安装不上的情况大量存在。
3、抢资源、起冲突
通常应用于工业网络的EDR或主机卫士类产品大多采取了底层驱动的技术路线,试图融合黑白名单、病毒查杀、外设管控等特色功能,属重装配置,而这皆以牺牲终端的性能为代价,加之病毒库升级并不及时,最终导致杀毒陷入“猫鼠大战”的低质低效模式。具体来讲,终端安全系统占用消耗了大量的磁盘、CPU、内存,抢占了原本属于业务系统的不太富裕的资源,发生冲突、导致应用崩溃的情况比较普遍。客户期待的价值增益并未出现,病毒查杀的优势也未能抵消与业务应用频繁冲突的代价,终成鸡肋,效果式微。
二、底层工业网络OT终端安全的主要挑战
工业网络中的网络弹性需要类似水平的洞察、预见和规划。OT网络的更深层,特别是在普渡模型(Purdue )Level 2级以下,引入了许多独特的专有网络协议、嵌入式系统。遗憾的是,在这个级别上保障网络弹性通常需要的成本和复杂性使得许多安全企业避而远之。目前大多厂商仍然专注于普渡3级及以上的解决方案,对于工业网络最深层、最敏感的地方,基本无视其弱保护或根本没有保护的现实。
基于工业网络安全风险驱动的指引,OT终端风险分析和修复仍然面临许多挑战。首当其冲的挑战仍然是可见性,鉴于设备类型、协议、网络架构等各不相同,获取全面的OT资产清单非常困难。其次,存量的有漏洞的旧系统无法更新,除非升级整个控制系统。第三,个别关键的系统,由于运营风险/性能原因或监管变更的挑战而无法修补;第四,一些现代终端检测和响应工具需要互联网访问——这在多数OT网络中通常是不可行的。第五,无法使用传统漏洞扫描工具对大量的OT终端进行安全扫描。第六,由于设施供应商的霸王条款,迫使用户方使用了多个终端安全解决方案,等等。
1、品牌杂、型号多
根据NIST SP800-82 R3版,标准OT系统包括监控和数据采集(SCADA)、分布式控制系统 (DCS)、可编程逻辑控制器(PLC)、楼宇自动化系统(BAS) 、物理访问控制系统(PACS)、功能安全系统(如SIS)和工业物联网(IIoT)。其中最关键是控制系统,它们使用控制回路管理、指挥、指导或调节其他设备、过程或系统。控制系统包括单回路控制器;SCADA系统;工厂DCS;可编程逻辑控制器;现场设备,包括过程传感器、执行器和驱动器;操作员显示;过程历史数据库;控制系统网络;和其他控制系统设备。从中可以看到,属于OT泛终端(有OS、CPU和I/O)的设备类型至少有:通用计算机设备(包含服务器)、PLC、RTU、IED、HMI、IoT设备、过程传感器、执行器和驱动器等。如果按照设备生产厂商、支持的的操作系统版本、固件版本来算,将构成一个庞大的多品牌、多型号的终端设备库。
2、防护弱、漏洞多
0级或1级设备通常是控制系统网络安全中最不被关注的部分,但它们可能会产生一些最要命的影响和后果。传统的工程现场设备,如过程传感器、执行器、驱动器、定位器和分析仪,没有网络安全、身份验证或网络日志记录,也不能为网络安全轻松升级。为控制系统用户提供设备的控制系统供应商也就那么几个知名大厂,因此大多数行业和设施都使用具有相同或相似网络漏洞的类似控制系统设备。而单从存在漏洞的设备使用的位置来看,深层OT网络的终端上的漏洞数量持续高涨。据工业网络安全公司Dragos的统计,2021年度的ICS/OT漏洞中,76%的出现在L3-L0级设备中。更要命的是这些漏洞的修复成本可能极高,或者由于设施老旧已不再被厂商升级维护。

3、技能缺、鸿沟深
OT终端的安全问题长期得不到改善的一个重要因素应当与组织和人员甚至文化相关。IT组织和工程组织有不同的优先级。IT部门主要关注网络和信息安全。设备和工程团队专注于工艺可靠性、工艺安全性和设备运行。因此,工程团队更关心网络事件的影响,而不是它是否是恶意的或无意的。相比之下,IT和网络组织关注的是网络可用性、数据泄露和其他恶意攻击。这种文化差异和组织隔阂,致使工程团队的自动化工程师、工艺工程师等角色不了解、不掌握网络安全知识,而IT团队的人员则始终缺乏自动化工程师那样对业务、流程的熟悉。长此以往,各自对网络安全/功能安全、网络风险/过程风险的认识更加固化,知识、技能、文化的差距、鸿沟加深拉大。这直接导致在现场实施或部署安全系统时心理负担偏重,缺乏自信,如履薄冰。

三、底层工业网络OT终端安全构想
对OT终端安全的问题和挑战的认知,是突破传统EDR思路向着探索新路径迈出的第一步。初期,有三关键点必须解决。首先要解决可装,即需要适配可能常见的终端类型,比如典型的智能制造场景里的各型终端,典型发电场景下的各类终端,等等。其次是可用,就是能够轻松扩展以适应大型企业生产网络,同时最大限度地减少管理开销、对终端资源的影响以及潜在的安全和访问困扰。第三,是可管,能够有效控制安全风险,无论是存量风险,新兴风险,有细化的控制措施。OT终端安全不能是割裂的,不仅要直接触达终端,还需要与各种外形规格的现有传感器形成了有益的补充,以聚合遥测数据以在本地或云中进行分析和报告,达成探测发现前置、分析警告集中的目的。
1、泛终端、全覆盖
可装,解决的是对OT终端的适配能力。泛终端,突破了对传统计算机终端的认识,广义的计算设备都是终端。从操作系统的维度,要能够适配常见的Windows、Linux、Android、MacOS,实时的工业操作系统(VxWorks、FreeRTOS、RTX等),国产自主操作系统,还需要适配专用的小众的WinCE、欧拉、AIX系统等;从终端类型上看,要适配PDA、HMI、RTU、IED、PLC、IoT等设备,实现对典型工业场景中OT终端的全面覆盖。从体系化安全的角度,终端安全系统不仅要贡献终端本身的所有信息,还需助力东西向流量的采集,补足流量监测短板,助力OT资产全量识别和体系防御。
2、轻量化、零摩擦
覆盖OT泛终端的构想注定这类产品必须坚持轻量化的技术路线,轻装配置,即无驱动、无钩子、应用级、本体小。OT侧对扰动的要求高度敏感,无论是对设备、网络、时延,都追求极致的最小化扰动。因此,零摩擦,无限接近零摩擦,即指与终端自身的和谐共处,资源(硬盘、CPU、内存、带宽)占用消耗最少,不与既有应用抢占系统资源;降低管理开销,部署方便快捷;终端本体稳定性高、可用性强。做到不断生产、不抢资源、不起冲突、不提要求(不向工程团队/生产人员提出额外需求)。
3、自适应、控风险
细粒度控制策略设计,自学习优化控制措施,白名单、外设管控、违规连接做到一机一策。自主定义业务边界和微小网段,实现OT终端微隔离,有效地遏阻横向移动。基于对工业网络安全风险和过程安全风险的认识,遵循自动化领域的网络安全风险第一定律,把握OT技术风险、网络物理风险、社会技术风险在不同行业的特性和要求,将网络风险控制在合理的范围内。

四、OT终端安全的远期发展目标
在可装、可用、可管的基础之上,OT泛终端安全能力要融入整体的OT防御体系。通过对终端安全风险的动态跟踪、存量安全弱点/缺陷的修复以及终端安全技术的跨供应商突破,最终推动OT-XDR解决方案的成熟度,形成在OT泛终端安全技术和管理上的规范化和标准化。
1、安全能力持续演进
面向业务,面向生产,是OT网络安全的根本遵循。一是终端风险动态跟踪。掌握终端的360度风险态势评估,采用能够实现与供应商无关的深度终端可见性的技术,包括所有应用程序软件和操作系统的完整补丁状态、有关配置设置、口令和用户/帐户的详细和常规信息、安防工具状态例如 A/V、白名单、网络配置规则和设置,等等。二是修复计划个性定制。按不同方法的可行性实施修复计划,即逐个资产的配置优化、漏洞修补、加固措施等。修复计划允许企业逐步完成一系列行动和技术路线图,从而推动企业端点安全管理的持续改进。针对已识别的每个风险,优先考虑类型匹配的终端安全措施。
2、成熟OT-XDR体系
由于传统的EDR(终端检测和响应)在OT中的嵌入式设备上可能无效,甚至在基于关键控制系统操作系统的设备上的纯自动响应模式下也可能无效,因此工业安全需要广泛的遥测和响应才能有效。OT-XDR,这里的“X”不仅指检测对象的扩展,还指遥测数据的扩展,即扩展传统的遥测,例如终端日志、网络流量警报、反病毒警报等。它还应该包括设备性能指标、物理警报数据等。将各种遥测数据汇聚在一起,终端检测比仅仅监控数据包的异常流量变得更加强大。“R”或响应,也需要针对OT进行调整。每个警报的答案都不能是中断运营。需要采取一种称为“最少破坏性响应”的心态。即在任何情况下,安全部门都应该尝试采取对运营影响最小的行动。在端点采取非常具体的动作来阻止特定的攻击路径。例如,删除被盗用的帐户、修补正在利用的特定漏洞、删除有风险的软件、调整白名单规则等。
3、建立指南规范标准
最大的OT安全挑战来自于依赖每个自动化供应商在其系统上部署他们认可的工具,这容易导致复杂性、不安全性和低效率。根据关键性、冗余性等,不同的资产可能需要不同级别的安全性。不同厂站对这些资产进行优先级排序,细化到单个资产,然后为每个资产设计不同的安全目标。建立OT终端安全协调的目标和策略、指南或程序。这些策略将有助于定义“XDR”针对不同类型的攻击和资产的预期响应时间。
打破工业设备供应商主导的局面,实施与供应商无关但OT功能安全的端点安全管理技术,基于最佳实践来制定并实施终端安全管理企业指南/规范/标准,以跨供应商系统安全运行并支持集中管理功能。通过创建端点安全的集中视图,运营者可以将端点检测、警报、风险等集中到安全运营团队进行分析、响应规划等,让最了解业务系统的OT操作员能够参与批准并可能测试任何安全响应。
小结
OT泛终端安全将是整个工业网络底层安全能力生成的试金石,也将是OT网络安全发展范式变革的探路者。突破可见、遥测、汇聚、检测、响应五个方面的挑战之后,OT泛终端安全系统或能力,将演进为成熟的OT-XDR系统,融入综合的OT防御体系。日益增长的针对性OT网络安全风险要求OT安全从业者超越“不能”或“不愿意”的禁区,并基于对工业控制工程的深刻理解,找到OT网络安全的适应性,为这些关键的OT环境打造IT级别的安全能力。