保護PLC系統(tǒng)不受攻擊任重道遠

發(fā)布時間：2024-03-08

在stuxnet震網(wǎng)病毒發(fā)起攻擊成功之后，許多plc開發(fā)制造企業(yè)開始重視plc的信息安全，新設計制造的plc內(nèi)置了一些安全保護，特別是授權(quán)和訪問控制。有些現(xiàn)代plc還支持通信的完整性檢查和加密。在固件和內(nèi)存塊都執(zhí)行完整性檢查的情況下，提供了防止操縱固件或內(nèi)存塊的基本保護。但是，這并不能防范通過web服務器控制plc從而使plc的正常運行難以為繼，乃至發(fā)生生產(chǎn)故障的情況。譬如說可以用改進型蠻力搜索攻擊(modified brute-force dictionary attacks)對登錄表單進行搜索，用以獲取管理員用戶名和密碼達到攻擊plc web服務器的目的。
保護plc免受網(wǎng)絡攻擊需要一個多層次的方法。早期的隔離假設和iacs被隔離的概念不再是網(wǎng)絡攻擊保護或網(wǎng)絡彈性的基礎。有必要將網(wǎng)絡彈性(network resilience)構(gòu)建到plc本身以及周圍的設備，包括編程設備和hmi。盡管新一代plc為身份驗證、授權(quán)、完整性控制和加密提供了解決方案，但必須記住，這些機制只是確?？沙掷m(xù)網(wǎng)絡彈性所需安全機制的一個子集。僅僅以符合isa/iec 62443為目標是不夠的，因為該標準仍在開發(fā)中，何況對plc的網(wǎng)絡攻擊是黑客社區(qū)的一個新場所。我們需要的不僅僅是網(wǎng)絡安全，我們還需要在網(wǎng)絡遭到災難性的事件時快速回復和繼續(xù)運行的能力，也就是網(wǎng)絡彈性。
這里特別要指出，過往把信息安全的防護重點集中在level 2以上的設備和網(wǎng)絡，而沒有考慮在level 0和level 1上的設備和網(wǎng)絡，這暴露了嚴重的網(wǎng)絡安全問題。似乎有一種假設，這些在操作運行中的設備它們本質(zhì)上要么是受保護的，要么是不會受到影響的，因此幾乎所有用戶和供應商都沒有意識到level 0和level 1設備缺乏網(wǎng)絡安全和身份驗證。對于那些認為不可能侵入過程傳感器的想法，可以考慮簡單地使用手持hart/ff現(xiàn)場通信手操器來更改過程傳感器的識別號id。這可能來自惡意的網(wǎng)絡攻擊，也可能是無意的操作錯誤，通常很難區(qū)分。但是無論原因為何，隨著id的改變，傳感器將無法與plc或dcs通信。這時可能會有報警，但要防止災難性故障可能為時已晚。這不僅造成過程參數(shù)可視性的喪失，還可能會造成控制的喪失，甚至造成安全的喪失。到目前為止，已經(jīng)發(fā)生了許多與傳感器相關的網(wǎng)絡安全災難性故障。但由于目前還沒有這一級別的網(wǎng)絡取證，通常不可能確定流程異常是傳感器或執(zhí)行器的機械/電氣問題，還是網(wǎng)絡攻擊的問題。
level 0和level 1設備的信息安全沒有在任何標準和規(guī)范中得到重點考慮，這使得isa 99(工業(yè)自動化和控制系統(tǒng)安全委員會)建立了一個任務小組，首先來核實level 0和level 1設備的信息安全問題是否在現(xiàn)有的iec 62443系列標準中得到充分解決，特別是iec 62443-4-2(iacs組件技術安全要求)。在審查了文檔后發(fā)現(xiàn)了明顯的漏洞，即現(xiàn)有的iec 62443標準，以及ieee(電氣和電子工程師協(xié)會)電力行業(yè)標準都沒有解決這一類與level 0和level 1級設備相關的獨特問題。
根據(jù)上述的情勢，我們應該建立如下的清醒認識：為了保護plc系統(tǒng)抵御網(wǎng)絡攻擊，有必要了解plc網(wǎng)絡安全的最新知識并采用最新的防黑客攻擊方法，而不是采用一種一成不變的防護手段。這是一個主要的挑戰(zhàn)，因為工業(yè)控制系統(tǒng)要求全年沒有停頓的運行，也就是24/7/365的運行模式。