工业系统中的六个关键安全弱点
报告警告说,网络攻击者可以利用通常用于电力公用事业公司,汽油公司和制造计划的工业系统中的六种常见弱点。
制造业机构在工业控制系统(ICS)中投入大量,以有效,可靠,安全地安全地运营行业流程,但董事会成员,高管和保安人员往往没有意识到经营业务核心的技术邀请未知的颠覆,据Fireeye报告称。
Fireeye iSight Intelligence仅计算于2000年1月至2010年12月至2010年12月之间的149名ICS漏洞披露。到2016年中期,Fireeye已计算1,552。
随着WhentWorkContinuing的数字,ICS漏洞的数量上的上升趋势已经成为一名灾难,导致了灾难。
该报告描述了六个关键的弱点,对手可以用来破坏工业厂的运作,这在下面概述。
1.未经身份验证的协议
当ICS协议缺少身份验证时,网络上的任何计算机都可以发送更改物理过程的命令。这可能导致不正确的过程操作,损坏货物,破坏植物设备,危害人员,或降低环境。
Fireeye建议组织:
识别在过程控制网络上使用的所有未经身份验证的协议,以提供对漏洞级别的理解。评估当前设备是否可以支持身份验证选项。实现可行性的身份验证选项,例如DNP3安全身份验证。评估受控过程是否可以承受由电线内认证系统引入的延迟。实现Bump-In-Wire的身份验证系统或VPN。包含深度数据包IC防火墙,该防火墙阻止来自某些IP地址的未授权命令。CONP限制性访问控制列表和防火墙规则。请求供应商的身份验证功能。2.过时的硬件
ICS硬件可以运行几十年。该硬件可能太简单地运行或缺乏处理能力和内存以处理现代网络技术所呈现的威胁环境。
FireeEy建议组织考虑升级具有网络连接的旧设备,并支持关键过程控制功能;并实现防火墙规则,以最大限度地减少具有过时硬件的设备的网络连接。
3.弱用户身份验证
传统控制系统中的用户身份验证缺点通常包括硬编码密码,轻松破解的密码,以易于可恢复的格式存储的密码,以及以清除文本发送的密码。报告称,获得这些密码的攻击者通常可以与受控过程进行交互。
FireeEy建议组织与已知已知密码的设备列表匹配内部ICS设备库存,并监控设备日志和网络流量,以便尝试利用密码缺点
4.弱文件完整性检查
缺乏确认软件作者的软件签名,并保证代码尚未更改或损坏允许攻击者误导用户安装未源自供应商的软件。它还允许攻击者用恶意替换合法文件。
Fireeye建议组织:
突出操作系统只运行签名代码。在生产部署之前,测试软件和更新在模拟环境中。直接从供应商而不是第三方获取软件/固件。与供应商支持密切合作,以便手动获取文件哈希并检查哈希哈希。CONP可编程逻辑控制器(PLC)访问保护如果可用。5.易受攻击的Windows操作系统
工业系统经常运行未分割的Microsoft Windows操作系统,使其暴露于已知的漏洞。
Fireeye建议组织维持在工业环境中使用的操作系统库存,这些系统是未被划分的或不再支持的。计划根据ICS供应商指南在维护下升级或应用补丁。
它还建议公司部署对影响这些系统的漏洞的补偿控制,尤其是当已知漏洞已被遗漏被剥削时。
6.无证的第三方关系
许多ICS供应商可能不会立即知道他们使用的第三方组件,使他们难以通知他们的客户漏洞。了解这些依赖关系的对手可以针对软件工业公司甚至可能甚至不知道它。
Fireeye建议组织:
请求或要求ICS供应商提供其产品中使用的第三方软件和版本的列表,包括开源软件。检查ICS产品以在运营部署之前识别第三方软件。查看漏洞存储库,例如国家漏洞数据库,以识别影响第三方软件的漏洞。获取结构化漏洞源以接收影响那些第三方产品的漏洞泄露通知。请求或要求供应商提供影响第三方软件的漏洞的通知。请求或要求供应商验证第三方软件的修补程序以确保互操作性。“工业厂迅速变得更加依赖于连接的系统和传感器的运营,但大多数植物的网络安全性并不像需要的那样强烈,”谢谢麦克布莱德攻击综合铅分析师表示那个报告。
“清楚地了解植物环境中的常见弱点有助于公司委员会,高管和安全人员从事知识渊博的对话,了解安全,要求挑剔的问题,并发出健全的投资,”他说。