任何想要优先考虑网络安全的政府都应该把能源基础设施放在首位。
[可变的默认密码不会被ICS-CERT视为漏洞,但它们应该被视为漏洞?]
如果你的电力或燃料供应中断,就很难提供任何其他东西。供热、制冷、供水、工厂、金融服务、电力设备、食品杂货、零售和娱乐——它们都依赖于电网。
因此,能源行业接近网络攻击者的头号目标也就不足为奇了。如果你真的想削弱任何东西,从一个企业到一个国家,那就摧毁它的电力基础设施。
能源是一个风险越来越高的行业的另一个原因是对它感兴趣的各种攻击者。安全公司赛门铁克(Symantec)的研究员Candid Wueest在最近一份名为“针对能源部门的定向攻击从所谓的脚本儿童到竞争对手公司,有政治议程的黑客活动分子,敌对的内部人士,通过破坏或勒索民族国家或那些在他们的赞助下行动的网络罪犯,都想窃取专有信息或破坏电网。
wuest报告称,2012年7月至2013年6月期间,平均每天发生74起有针对性的网络攻击,其中能源行业占16.3%,仅次于25.4%的政府/公共部门。
美国政府国土安全部(DHS)去年报告称,2012年10月至2013年5月,其工业控制系统网络应急响应团队(ICS-CERT)应对了200多起事故,其中53%的事故发生在能源领域。
到目前为止,还没有任何成功的对电网的灾难性攻击,但有正在进行的辩论前国防部长利昂·帕内塔和前国土安全部长珍妮特·纳波利塔诺都称其为网络珍珠港袭击.
一些专家认为,虽然风险是真实存在的,应该引起关注,但它们不太可能造成灾难性的长期损害。其他人说,在关键基础设施(CI)系统重建期间,美国经济可能会瘫痪几个月到一年多。
无论目前的危险是什么,韦斯特写道,“互联系统和工业控制系统(ICS)的集中控制数量的增加意味着未来遭受攻击的风险将会增加。”能源和公用事业公司需要意识到这些风险,并制定相应的计划来保护他们有价值的信息以及他们的ICS或SCADA(监控和数据采集)网络。”
实际上,像应用控制解决方案(Applied Control Solutions)管理合伙人乔•韦斯(Joe Weiss)这样的ICS专家多年来一直在警告,不仅拥有集中控制系统,而且几乎所有集中控制系统都由同一家公司——西门子(Siemens)制造——也会增加脆弱性。
再加上连接到电网的设备数量的爆炸式增长——无论是通过风力和太阳能收集器等小型发电单元,还是个人家庭中的“智能”设备的数量——潜在的攻击面正在呈指数级增长。
美国联邦贸易委员会(FTC)主席伊迪丝•拉米雷斯(Edith Ramirez)在去年秋天关于物联网的一次会议上表示,目前网络上的35亿个“智能”传感器有望实现这一目标在未来十年内增长到数万亿.
零售商塔吉特(Target)在感恩节和圣诞节期间发生的灾难性违规事件,是一个鲜明的例子,说明中央系统的保护是如何不够的;黑客并没有直接侵入该公司的POS(销售点)终端。据报道,他们通过对宾夕法尼亚州一家与塔吉特有业务往来的暖通空调公司的电子邮件钓鱼攻击获得了访问权限。
面对这一切,太多的控制系统不幸地没有准备好抵御威胁。大约一年前,ICS-CERT报告了一系列针对天然气压缩站运营商的暴力攻击,这意味着这些系统是面向互联网的,尽管ICS-CERT有许多建议反对它。
Co3系统公司的首席技术官,安全专家布鲁斯·施奈尔宣布去年8月的一篇博客文章从消费设备到大型工业控制系统,所有的东西都“长期以来是可以破解的”。
战术网络解决方案公司(Tactical Network Solutions)的漏洞研究员克雷格·赫夫纳(Craig Heffner)去年秋天在华盛顿联邦贸易委员会会议“消费类设备通常不具备任何安全性,至少按照今天的标准是这样。”
本月初,在卡巴斯基安全分析师峰会在多米尼加共和国,红虎安全公司(Red Tiger Security)的创始人、ICS系统专家乔纳森·波莱(Jonathan Pollet)说,他能够调试得克萨斯州一家游乐园的控制系统,只需要用他的笔记本电脑,因为控制系统中有一台西门子PLC。他不需要任何凭证就可以重新配置控制系统。
ICS和自动化安全研究员特里·麦考克尔(Terry McCorkle)告诉我们,他能够通过互联网闯入大楼的自动化系统,这最终让他控制了大楼的一切,从能源系统到门锁和安全摄像头。
更糟糕的是,ICS- cert报告说,由于来自ICS网络的日志和取证数据有限或根本不存在,因此很难分析攻击。
专家表示,最明显的做法是将这些系统从互联网上移除。但在此之前,有一些中间措施可用。埃里克·纳普,世界科技安全技术公司战略联盟主管,去年说如果系统不能产生自己的日志数据,可以使用商业安全工具来监控网络、系统和行为,并且内置了日志功能。
Lancope的首席技术官TK Keanini说,如果一个控制系统必须面对互联网,“应该实行‘最少特权’的概念。任何系统或子系统应该只被授予执行任务所需的最小访问权限。”
Keanini说日志数据的缺乏是不可原谅的。“这是一个设计缺陷,必须立即纠正,”他说。“任何和所有的网络设备都必须提供其活动的账本,以便在任何与安全相关的事件发生之前、期间和之后,都有活动的记录。ICS ISAC(工业控制系统信息共享和分析中心)痛苦地意识到这一点,并试图将一个称为态势感知参考体系结构).
他说:“这不是火箭科学,我们需要在事后为它的功能辩护,这很尴尬。”
但他说,可能需要那次灾难性的攻击才能促进所需的安全改进。“就像所有的人类行为一样,它只有在事情出错时才会改变。”事实上,在整个系统发生变化之前,它们必须出现非常严重的错误,我担心我们在能源部门还没有看到‘非常严重的错误’。”
这篇文章,“能源部门是网络攻击的首要目标”最初是由方案 .