洞见RSA 2021|如何设计安全的控制系统远程访问

在2021年RSA大会上,美国燃油管道运营商Colonial Pipeline遭网络攻击事件引起了广泛讨论,根据有关网络安全专家分析,此次燃油管道公司遭受的攻击是由于疫情期间该公司职员在家办公远程访问输油管道控制系统,可能导致远程桌面软件账户登陆信息泄漏所致。

如何设计安全的控制系统远程访问?值得我们进一步的探讨和解决。

一、远程访问存在的问题

远程访问有个比较容易被忽视的问题:目前关于远程访问的很多设计/架构已经过时,相关标准需要重新制定和更新以达到当前的安全标准,但是各种设备的涌现导致标准制定需要考虑很多问题。完全杜绝远程访问,采用封闭隔离模式也不是长久之计。

在万物互联和IOT高速发展的情况下,远程连接必不可少,尤其是在工业控制环境中。现场设备的配置更新、界面设置等很多操作无法由安全人员完成,需要由供应商或控制系统现场人员协助。疫情前人们就已经在考虑摒弃传统的人员在设备现场操作模式,疫情的到来更加速了这个需求。一些传统的架构设计已经不允许我们在独立隔离的环境中完成各种操作,我们必须要直面远程访问带来的各种风险。

二、远程访问的需求增加

建造落成的时间久远等原因导致很多机构系统过时,特别是一些关键基础设施的工控控制系统。在业务需求变更的条件下,系统需要进行远程访问进行数据交互,即使存在很大的安全隐患,也必须根据手头的情况想办法“完成任务”。但这些系统应用的时间久远且牵一发动全身,无法立刻迁移到新的安全模型。那么到底是什么导致了远程访问的需求增加呢?

1、业务需求

安全企业和客户需要进行数据交互,从而相互协作以满足业务需求。但是与一些科技公司相比,控制系统的工程师们有一种传统的固有思维“能用就行”,不会更多考虑更新或安全措施等问题,因为他们认为这些“无谓”操作会引入潜在的控制环境风险,造成不必要的损失。这也是需要远程访问能力的原因。安全人员可以去做那些控制工程师们不愿做的事情,如更新升级/打补丁等,通过开放某个远程访问接口,让指定的人去提升安全性,皆大欢喜。但随之而来的问题是:通过远程接口在解决一些安全问题的同时,也引入了新的问题,如开放一些协议通信的本身就存在安全隐患。当然仅仅开放一个端口用来连接肯定是不合适的,我们需要考虑如何在建立安全接口的同时,避免它带来的安全隐患(不要给操作员和攻击者同时开放访问接口)。

安全人员的建议同样可能带来负面影响,阻碍原本业务的顺利进行,出现从“新系统不太安全但是效率高”到“老系统比较安全但是效率低”的结果。所以找到平衡点也是在工业控制环境中引入远程访问的重要问题。

2、政策需求

政府的需求也会迫使提供远程访问功能,如需要在一定时间内回应突发事件,操作员第一时间响应并到现场操作的行为并不现实,只能通过远程访问来避免迟到。有些现场位置偏远,离开远程访问的支持将导致响应突发事件效率低下,不仅无法达成政策指标,也会造成实际风险的响应延迟,增加损失。控制系统确实需要满足发生特殊事件时的特定需求的现实,在后疫情时代更加明显,如远程访问才能确保业务能够照常进行。

3、成本和其它

还有很多原因造成远程访问需求的逐渐增加,如远程维护支持比现场支持的费用更低。还有一些第三方提供的业务优化服务,布置在云端,将控制现场的数据接收过来后,通过优化算法再传回控制器,对整体工业流程进行优化操作。虽然确实可以让整体生产控制过程优化,但这也产生了一个新的安全隐患点。

三、如何定制远程访问控制体系?

近年来,有很多ICS/OT环境的安全事件都与访问控制有关,因此很多人并不看好远程访问,认为会使目标更加脆弱,但这些安全隐患都源于远程访问功能实现过程中的缺陷和不足。直接开放一个外界链接端口或引入一款协议用于数据通信肯定会带来很多安全问题(如端口忘记关闭或引入的协议本身就存在漏洞等)。理论上如何实现远程访问有很多更好的方式,如利用分开的Token使用多重认证系统,远程接入的人员持有一个Token,通知控制系统的管理人员获取响应的Token后,获取访问权限。如利用DMZ对关键环境的网络进行隔离,在这个缓冲环境中分配指定的访问凭证,并拥有完整的监听权限。

关于如何才能最大程度降低风险,目前还没有统一的标准架构,所以企业需要根据自身的业务需求和安全标准来量身定制远程访问控制体系。

四、监控访问行为

与一般的IT系统不同,在工业控制环境中更难监控所有访问行文。一方面不同系统使用不同的远程访问功能,在成本和收益角度来看,小众的系统由于使用人少可能会疏于监控。而有些功能虽然设计时是为了完成X目标(如开启远程接口用于系统固件的下载更新),但攻击者可能会挖掘出该系统的潜在功能Y,因此监控很难及时发现恶意的Y行为,尤其是远程访问。

总之,好的理论要用好的方式来实现。任何远程行为都应该有详尽的日志记录,并做好访问的权限控制,对于任何远程访问行为都拥有完整的监控能力,以便在发生异常事件后回溯定位问题根源。

版权声明

本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。

Spread the word. Share this post!

Meet The Author

Leave Comment