在工厂中运行阀门和开关的工业控制系统(ICS)可能存在固有的缺陷,这些缺陷只有在安装之后才会出现,而且它们所连接的网络也变得更加广泛。
FireEye iSIGHT情报
肖恩·迈克布莱德
在FireEye的的iSIGHT情报和作家攻击合成首席分析师肖恩·麦克布赖德说,这些问题就为硬编码密码是公开可用的漏洞在Windows操作系统中不再支持,但都需要运行老化齿轮系统的“那车间呢?”工业环境的六个颠覆性问题。”
他说,这些弱点经常出现在支持关键基础设施(如供水系统和电网)的ICS设备中。
没有什么令人震惊的或新约的弱点的,但决策者需要关注他们。意识在过去几年有所增加,但仍然有改进的余地,他说。
“他们需要环绕意味着什么心事,”麦克布莱德说。他们应该寻求缓解控件,可以强化脆弱的齿轮,问,“哪个这些适用于我和什么样的回答我有地方吗?”
6个大漏洞
以下是六个特别令人担忧的漏洞:
- 未经认证的使用协议
- 过时的硬件
- 弱认证
- 弱file-integritiy检查
- 脆弱的Windows操作系统
- 非法第三方的关系
麦克布莱德建议这些网络的安全专家清点他们所有的控制设备,并检查它们是否包含任何主要的弱点。如果是这样,根据他们所代表的风险,可能在经济上无法取代他们。但他说,在需要更新设备时购买更安全的设备应该是购买决策的一部分。
最严重的问题是使用未经身份验证的协议。他说:“任何人都可以插上电源,只要有合适的客户,就可以在未经认证的情况下改变电厂的运行方式。”这可以转化为改变可编程逻辑控制器(PLC)的智能,例如,它们可以打开或关闭控制流体或电力流动的开关和阀门,并启动和关闭马达。
除了未经认证的协议之外,由于各种原因,其中一些工业控制系统对个人计算机和应用程序具有弱认证。有些密码是硬编码的、弱密码、明文发送的密码以及以容易恢复的格式存储的密码。
截至去年9月,研究人员维护了一份公开的硬编码和默认密码列表,提供了攻击者可以使用的信息。一个元素的Stuxnet攻击他说,利用硬编码密码。在现实世界中,利用它们进行的攻击很少,但“关键是它们很容易发生,”麦克布莱德说。
报告还说,至少有八种攻击对Windows XP是有效的,目前还不支持Windows XP。在人机界面(HMI)计算机中使用XP和其他不受支持的平台(如Windows Server 2003)会留下一个弱点,可能危及计算机及其控制的设备。
过时的硬件问题来自从未打算成为高容量,互联网连接的网络上,现在是在网上保存在它们所连接的网络升级年齿轮茎。对这些网络的高带宽流量可能会导致齿轮故障,如在2006年在布朗轮渡核引起的驻地发生在其他情况下,无害的网络扫描结果并非如此无毒,坠毁的PLC。
报告称,工业控制系统中使用的软件依赖第三方,可能使系统容易受到攻击。“根据我们的经验,ICS资产所有者很少在他们操作的ICS软件中记录和跟踪第三方依赖关系,”它说。
心脏出血漏洞,哪些还没有被根除报告说,这是一个第三方问题,在过去几年里影响了ICS设备。
文件完整性检查对ICS非常重要,因为如果没有它们,对合法应用程序的恶意更新就会把它们变成武器。报告中提到的一个例子是,一个软件供应商的网站被恶意软件替换掉了。如果没有有效的完整性检查,这个交换就会被忽略。