昨天发的报告中我们确定了石油与天然气上游产业中的网络风险,这是第一步。下一步就是制定风险应对策略。在减少网络风险方面, 普遍的反应是试图锁定一切。但是, 随着IoT技术的发展,系统间的联系越来越多,攻击手段变得更加复杂, 使网络事件数量降低到零是根本不现实的。因此, 企业应该更多的专注于了解威胁, 并通过有效的手段减少其影响。简单来说, 一个有效的网络策略需要兼顾安全性、警惕性和弹性。
所以对于石油天然气行业来说,关键是如何使生产环节的关键操作——勘探阶段的地震成像、开发阶段的钻探、以及生产阶段——具有安全性、警惕性和弹性。下面我们就以这三个关键操作中的三个典型网络事件为例,来说明应对策略。
勘探阶段
场景:在一个远程地震成像项目中,使用了NAS存储和数据管理系统。接近完工的时候,恶意软件通过其中的一个存储节点进入了系统。虽然恶意软件没有影响运行,但是它窃取了用于投标的敏感数据。企业如何才能保护地震数据呢?
应对一:令牌
即使PB级的地震数据本身对于黑客来说就是一个障碍,但是随着地震数据在云中的数字化存储趋势愈演愈烈,还是需要警惕工业间谍的入侵。企业可以使用令牌(Token)系统,将敏感的数据元素替换为等价的非敏感令牌,而让系统运行在令牌之上而非真实的数据。这样,即使系统被攻击,黑客也一无所获。而核心的令牌系统则隔离放置,真实的数据则使用加密方式存储在具有严格访问控制的系统中。
应对二:流量监测
由于不同业务分支都需要访问地震模型,而地震模型也需要通过不同数据的新数据进行不间断的改进。因此,企业需要监测内部不同分支的网络流量,并制定不同的安全基线。例如,某员工下载了大量文档或者频繁的访问某个文档。这样企业可以对重要的地震数据的去向一目了然。
应对三:备份
考虑到地震数据采集的巨大成本,对地震数据进行可靠的备份是关键。这样可以确保即使数据遭到破坏,也不至于产生业务中断。企业应该摒弃需要时间来恢复数据的单节点方案,而是构建一个基于集群的方案,将备份存储集群中的每个节点连接到其他存储节点,使发生问题时能够更快地恢复数据。
开发阶段
场景:一个流氓软件程序(也许隐匿在钻机组件的系统中,也许出现在一个网络回路中)进入了钻机控制系统并控制了钻井参数。结果导致了油井角度的偏差、突发的液体流入、以及油井完整性问题,增加了一大笔额外开销,并将人生安全和环境问题置于危险境况。如何最好的避免此类问题发生?
应对一:前置系统
考虑到供应商和设备在钻探过程中的复杂生态,企业可以引进一套新的前置系统、设备和软件,置于主流系统之前。拿钻机系统来说,这套前置设备可以帮助操作员及早识别存在
的恶意软件从而确保系统的安全。
应对二:扫描
由于确保每一个钻井资产的安全几乎是不可能的, 而且附加的安全功能可能会干扰操作的可用性或延缓时间敏感的决策,因此企业需要采用一个全面的警觉战略。企业可以在克隆的数据采集与监视控制系统(SCADA)中进行网络扫描,以及利用物理或者非物理数据在搜索“正常基线”的异常情况,从而能在威胁接近目标之前,及时检测它。
应对三:网络手册
虽然为机密数据建立气隙或者隔离受感染的系统是最常用的弹性策略之一, 为钻井平台和陆上控制中心的利益相关者开发一个跨分支的网络手册也不为一个好办法,它可以显著减少响应时间并减少损失。响应时间至关重要, 尤其离岸, 因为钻机的每日合同费率高达500,000美元。例如在2010年,韩国到南美的一条钻井平台因为恶意软件攻击而关闭了19天。
场景:一个陆上工业控制系统中的蠕虫病毒,可以改变可编程逻辑控制器中的逻辑, 绕过马达泵的保护变速箱。蠕虫病毒屏蔽了控制室的变速箱状态,随意改变了马达泵的转速。这些变化影响了石油生产,增加了泵的磨损,甚至会导致油井破裂。企业如何应对这一情况呢?
生产阶段
场景:一个陆上工业控制系统中的蠕虫病毒,可以改变可编程逻辑控制器中的逻辑, 绕过马达泵的保护变速箱。蠕虫病毒屏蔽了控制室的变速箱状态,随意改变了马达泵的转速。这些变化影响了石油生产,增加了泵的磨损,甚至会导致油井破裂。企业如何应对这一情况呢?
应对一:补丁更新
企业可以通过一个全面且灵活的补丁管理程序来确保其关键控制系统的安全, 而不仅仅是定期进行补丁更新。这需要清点资产, 并对每项资产进行详细的漏洞/严重性评估, 并为关键资产及时安排更新。
应对二:外部资源
通过将外部资源的威胁信息反馈与内部网络数据关联起来, 企业可以及早识别和解决威胁,从而提高其网络警惕性。对企业来说, 共享、建立和监控外部资源的关键指标是至关重要的。因为已经发生的攻击很可能会以不同的形态卷土重来。例如, 2016年沙特阿拉伯的 Shamoon 攻击使用了和2012年Shamoon 1攻击同样的技术。
应对三:应急响应演练
为了迅速地控制威胁或具备弹性, 企业可以通过网络模拟来进行定期应急响应演练。分期模拟, 特别是对于离岸或者远程工作的人员, 可以更好地理解威胁, 并能尽可能的提高网络判断力。
对报告具体内容感兴趣的小伙伴可以戳下面的链接下载,仔细研读。
DUP_Protecting-the-connected-barrels
绿盟科技凭借安全界多年的攻防经验,针对能源行业提供全面的产品和解决方案,为能源行业的安全问题保驾护航!
声 明
本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。
关于绿盟科技
北京神州绿盟信息安全科技股份有限公司(简称绿盟科技)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。
基于多年的安全攻防研究,绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。
北京神州绿盟信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市交易,股票简称:绿盟科技,股票代码:300369。
如果您需要了解更多内容,可以
加入QQ群:570982169
直接询问:010-68438880