SCADA / RTU接口
冗余,电大和中央ICS / SCADA应用程序之间的安全通信链路组成一个可靠的,安全的,安全的企业基础。功率路由自动化,警告系统和生产/传输的处理都需要通信介质,其可以包括低速拨号电话线,中速射频,和高速,宽带有线/无线IP。
最RTU系统不符合数据加密标准(DES)和高级加密标准(AES)的要求。没有与升级,并且结合使用行业标准的加密例程新的RTU系统相关的费用。还有一个更大的牺牲时,整个公司突然黑屏,也许是因为他们的ICS / SCADA安全逐默默无闻政策 - 妄图保持安全的,因为没有人会找他们 - 是无效的。
数据必须加密,无论是在传输和静止。数据exfiltrated以加密的形式通常是无用的给攻击者。水印可以用来标识公司数据,并且如果数据被窃取,识别合法的所有者;简化了盗贼的身份和起诉。入侵检测系统和入侵防御系统必须配置为验证所有数据包,有效阻止人在这方面的中间人攻击以及防止通过非法程序的未经授权的访问。
该RTU接口可以通过允许在多个访问级别多个密码来增强。多个密码支持的应用软件和ICS / SCADA硬件访问控制到最少特权用户的条块分割。所有的硬件应该通过使用硬件防火墙的斗篷IP地址。
组织应保持不可抵赖性为基础的系统 - 分配数字日志中为每一个动作。一个RTU必须保持自主访问所有相关活动的轨迹,以及实现其基本功能。始终删除,禁用和重命名默认账户,并要求使用强密码。考虑使用像LastPass的asymetrically加密的密码保护和维修方案。
旧版/独立设计
ICS / SCADA系统具有长操作寿命(10年以上)。对于一些系统,最大为30岁的它不仅难以找到更换零件,但熟悉的组件,甚至技术和操作系统。遗留系统往往与传统的通信设备相关的类似问题。企业盲目继续依靠“安全逐默默无闻。”
是这个不断有效的技术,它已被击败的工具如撒旦的搜索引擎。初段,而非索引的网页内容,对HTTP指标数据,为IP网络模块组成互联网的相当一部分SSH,FTP和SNMP服务。所以呢?攻击者可以瞬间发现通过使用简单的类似谷歌的搜索特定的设备和制造商。朦胧死了。
许多制造商有长期的,因为放弃了继续忠诚地服务于支持或生产传统的ICS / SCADA硬件,硬件。由于没有必要的实用更换时,需要一个安全的更换往往被忽略。开发商都不愿意承担对一个也许是独一无二的,几十年的旧机电设备的替代品的研究和开发成本,同时企业管理者都不愿意花钱去更换一个系统,还是功能。这是虚假的经济。原有系统不能承受的现代化攻击和APT的。
美国麦迪安网络安全公司,基于美国安全公司,发布了2013年2月所披露近期中国军方有关对单个公司的石油和天然气管道在北美的60%以上的远程访问网络攻击的报告。如果攻击曾有意禁止,它可以有深远的能源供应,在美国和加拿大的后果环境
呼吁采取行动
传统系统没有被设计成函数因特网内,或安全地进行通信,或者从上述攻击保护自己。能源部门必须知道如何面对这一点,与那些接受升级或更换旧的和无担保系统的运行成本支撑隐形,防火墙,加密,和其他自卫措施。
这是不寻常的能源部门的合作伙伴体验到数以百万计的探针或攻击的单日。一个电生产商报道在24小时内17800000次发生。这是网络安全的现实;攻击者只需要幸运一次。您作为后卫,必须是完美的每一次。
即使是短期能源领域能力的损失可能是毁灭性的所有美国公民的生活。这个部门经理承担的社会,道德和法律责任,以保护网络和物理安全的各个方面的控制范围之内。
不再是问题,“我们能买得起的设备?”这个问题已经成为,“当我的产业成为网络攻击丧失能力,谁就会在公开谴责?谁将会发现他们在报纸上的名字?谁代表失去一切?”答案是,你和你的公司。
Bryk上校从美国空军退役30年的职业生涯后,最后充当空军武官(军事外交官)在中欧。他从北达科他州大学的MBA学位,并希望这些知识与他在网络安全即将到来的MS,以保护我们的关键基础设施结合起来。
这个故事,“非技术经理的指导,以保护能源ICS / SCADA”最初发表CSO 。