越来越多的脆弱性研究人员将将注意力集中在工业控制系统(ICS)在新的一年里,但将cyberattackers,安全专家认为。
控制系统由监控软件运行在专用的工作站或服务器和智能化可编程硬件设备连接和机电控制流程。这些系统用于监控和控制各种工业设施、军事设施、电网、水分配系统,甚至是公共和私人建筑。
一些用于关键的基础设施——电力系统庞大的人口依赖,干净的水,运输等等,所以他们潜在的破坏可能产生深远影响。然而,另外一些人只有主人的业务及其相关故障不会产生广泛的影响。
SCADA的安全监控和数据采集和其他类型的工业控制系统一直是一个争论的话题在IT安全行业自2010年超级工厂病毒恶意软件被发现。
Stuxnet是第一个已知的恶意软件具体目标和感染SCADA系统,并成功地用于损害铀浓缩离心机在伊朗在纳坦兹的核工厂。
Stuxnet是一个复杂的网络武器被认为是发达国家,据报道,美国和以色列——提供熟练的开发人员,无限的基金和详细信息控制系统的弱点。
攻击关键基础设施控制系统需要认真规划,情报收集和使用替代访问方法——Stuxnet是为了传播通过USB设备,因为纳坦兹电脑系统被孤立的从互联网上,利用未知的漏洞和有针对性的非常具体的SCADA配置只在这个网站找到。然而,控制系统不属于关键基础设施越来越容易低技能攻击者的攻击。
这是因为许多这些系统连接到互联网远程管理的方便,因为ICS软件的漏洞信息,设备和通信协议更容易比pre-Stuxnet天。数十名SCADA和ICS漏洞细节公开披露了安全研究人员在过去的两年里,常常伴随着概念开发代码。
“我们将会看到增加开发互联网的访问控制系统设备的利用自动化,”戴尔·彼得森说,首席执行官在数字键,一个公司,专门从事集成电路安全研究和评估,通过电子邮件。
然而,大多数的网络访问控制系统设备不属于大多数人会考虑关键基础设施,他说。“他们代表小市政系统,楼宇自动化系统,等等。他们对公司很重要,拥有并运行它们,但不会影响人口众多或经济的大部分。”
攻击者可能感兴趣目标这样的系统包括政治动机黑客试图发表声明,黑客团体有兴趣关注他们的事业,罪犯勒索公司感兴趣甚至黑客做有趣或吹嘘的权利。
最近泄露的美国联邦调查局cyberalert文档日期为7月23日透露,今年早些时候,黑客获得未授权访问的加热、通风和空调(HVAC)系统操作在新泽西的办公楼空调公司利用一个后门漏洞控制箱连接到它——尼亚加拉控制系统由Tridium。目标公司为银行和其他企业类似的系统安装。
违约发生后的信息漏洞在尼亚加拉ICS系统被黑客使用共享在线1月绰号“@ntisec”(antisec)。操作AntiSec一系列黑客攻击是针对执法机构和政府机构策划的黑客与LulzSec,匿名和其他团体。
“21日和2012年1月23日,一个未知的主题在一个已知的我们网站上发表评论,题为“# # SCADA #我们白痴”和“# # SCADA #我们白痴第二部分”,“联邦调查局在泄露的文档表示。
“这不是攻击ICS是否可行的问题不是因为他们,”鲁本Santamarta,安全咨询公司的安全研究员IOActive,发现漏洞在SCADA系统在过去,通过电子邮件说。“一旦足够强大的动力,我们将面临巨大的事件。地缘政治和社会形势不帮助,当然,这不是可笑的认为2013年将会是有趣的一年。”
有针对性的攻击并不是唯一的问题;SCADA恶意软件太。维塔利·Kamluk首席专家杀毒厂商卡巴斯基实验室的恶意软件,相信一定会有更多的恶意软件针对SCADA系统在未来。
“多么脆弱ICS的Stuxnet演示/ SCADA打开了一个全新的区域正直善良的好公民和而言,研究人员,”他通过电子邮件说。”这个话题将在2013年的排行榜。”
然而,一些安全研究人员相信创建此类恶意软件仍然超出了平均攻击者的能力。
“创建恶意软件,成功地攻击ICS不是微不足道的,可能需要大量的洞察力和规划,”托马斯·Kristensen情报和脆弱性管理公司首席安全官Secunia,通过电子邮件说。“这也大大限制了人或组织能够实现这样的攻击。”
不过,“我们是毫无疑问的,我们会看到攻击ICS,“Kristensen压力。
“大多数部署SCADA和DCS(分布式控制系统)的应用程序和硬件是没有开发的安全开发生命周期(SDL)——认为微软在90年代末,所以它充满了常见的编程错误,导致错误,漏洞,并利用,”Peterson说。”也就是说,plc和其他领域设备被设计和不需要一个不安全的脆弱性关键过程或改变它在la Stuxnet恶意方式。”
彼得森的公司,数字键,释放了几个利用漏洞中发现许多plc(可编程逻辑控制器)——SCADA硬件组件——来自多个供应商的模块流行Metasploit渗透测试框架中,可以使用开源工具,几乎任何人。这样做是作为一个研究项目被称为项目Basecamp的一部分,其目标是展示脆弱和不安全的许多现有的plc。
“唯一限制发现大量的SCADA和DCS的漏洞是研究人员获得设备,”Peterson说。“更多的成功尝试,所以会有增加的漏洞将会以任何方式披露研究者认为合适。”
Santamarta同意研究人员很容易找到今天在SCADA软件漏洞。
甚至有一个市场SCADA脆弱性信息。ReVuln Malta-based启动安全公司由安全人员路易基奥列马和Donato费,销售信息软件漏洞,政府机构和其他私人买家没有对受影响的供应商报告。超过40%的漏洞在ReVuln SCADA的目前的投资组合。
这一趋势似乎越来越多的攻击和SCADA安全性领域的投资,根据Donato费。“事实上如果我们认为SCADA的几个大公司市场投资很多钱在硬化这些基础设施,它意味着SCADA / ICS主题和仍将是一个热门话题为即将到来的年,”费通过电子邮件说。
然而,确保SCADA系统不是简单易懂获得定期的IT基础设施和计算机系统。即使SCADA产品安全补丁发布的供应商,脆弱的系统的所有者可能需要很长时间来部署它们。
很少有自动化SCADA系统补丁部署解决方案,路易基奥列马通过电子邮件说。大多数时候,SCADA管理员需要手动应用适当的补丁,他说。
“形势非常糟糕,”Kamluk说。SCADA系统的主要目标是连续操作,通常不允许热修补或更新,安装补丁或更新不重启系统或程序,他说。
此外,SCADA安全补丁需要彻底的测试之前部署在生产环境中,因为任何意想不到的行为可能会对业务产生重大影响。
“即使在这些情况下一个补丁的漏洞存在,我们会发现脆弱的系统很长一段时间,“Santamarta说。
大多数SCADA安全专家希望像plc工业控制设备进行再工程与安全。
“我们需要的是plc基本安全措施和计划部署这些最重要的基础设施在未来一至三年,”Peterson说。
“最理想的情况就是工业设备安全设计,但我们必须面对现实,这需要时间,“Santamarta说。“工业是一个世界。我们不应该严格看通过我们的视角。也就是说,每个人都意识到,有些事情必须做,包括工业供应商。”
在缺乏secure-by-design设备,ICS的主人应该确保这些系统深度防护方法,Santamarta说。“考虑到有工业协议在默认情况下都是不安全的,是有意义的增加气候变化和不同层的保护。”
“从网络上断开电路,把它放在一个独立的网段,严格限制/审计访问,“Kamluk说。
“关键基础设施的所有者应该意识到独立的网络,或者至少需要单独的凭证访问关键基础设施,“Kristensen说。“不理智和安全意识到管理员登录到任何系统使用管理证书和在同一个会话中访问充满敌意的互联网和阅读电子邮件。这也应该适用于集成电路;使用一组凭证访问ICS会话或者访问您的互联网连接会话使用虚拟和/或远程桌面设置。”
政府监管的必要性,迫使运营商的关键基础设施保护他们的工业控制系统一直是一个热议的话题,许多SCADA安全专家认为这可能是一个很好的起点。然而,到目前为止进展甚微朝着这一目标。
“最雄心勃勃的政府监管,NERC CIP北美电力部门,一直失败,”Peterson说。“最有希望成功的政府监管,但不能确定这是什么。”
“我想政府大声说实话和状态,这些系统被设计和组织运行不安全的关键基础设施SCADA和DCS应该有一个计划升级或替换这些系统在未来一至三年,”他说。
政府监管将是非常有用的,Kamluk说。一些SCADA供应商牺牲安全为发展节约成本不考虑这些决定的风险及其对人类生活的潜在影响,他说。
今年早些时候,卡巴斯基实验室透露计划开发一个操作系统这将提供一个secure-by-design操作SCADA和其他ICS系统环境。操作系统背后的想法是能够保证没有未申报的功能运行,这将防止攻击者执行恶意代码利用补丁。
虽然这听起来像一个有趣的项目,还有待观察SCADA社区和产业部门将如何反应,Santamarta说。
“没有足够的细节新的操作系统来评估其特性,”费说。“要做到这一点,我们需要等待官方发布。无论如何采用新操作系统时的主要问题是,它需要能够运行现有的SCADA系统,而无需重写代码。”