账号:
密码:
最新动态
产业快讯
CTIMES / 文章 /
工控系统安全市场趋势
技术汇流衍生风险控管问题

【作者: Ruggero Contu】2015年08月12日 星期三

浏览人次:【18811】


工业控制系统(Industrial Control System, ICS)通常指产业部署于公用设施(瓦斯和水电)与制造用途(例如天然资源与能源处理,以及制药)之解决方案,藉由传输数值活动等监督指令,与感测器互动并收集运作环境相关资料,进而对远端装置进行集中管理。与现场设备及工业控制系统交换资料以达到监测目的,也是工业控制系统应用的要点之一。


工业控制系统的安全涉及工业生产管理机制中各种不同垂直层面所使用的子系统,包括资料采集与监控系统(SCADA)、可编程逻辑控制器(PLC)以及分散控制系统。



图1 : 随着技术不断整合与外部网络的连结,造成安全风险日益增加,SCADA也是受波及的范围之一。 (Source:www.wwdmag.com)
图1 : 随着技术不断整合与外部网络的连结,造成安全风险日益增加,SCADA也是受波及的范围之一。 (Source:www.wwdmag.com)

安全问题的起源

安全问题对工业控制系统之影响日增,有很大一部分是出于工业控制系统与外部网络或系统之间隔绝的程度愈来愈低,此外,现在的工业控制系统也愈来愈容易受到攻击。这波变化的重点在于,市场开始出现对IT系统与OT(Operational Technology;操作技术)整合,还有远端无线连网技术的需求。


一开始,威胁多数来自有权存取实体设备的内部人员,这些设备受到保护且未连结网路。但随着工业控制系统开始对外部实体或无线网路与装置大开门户,增加并整合资安控制功能与最佳实作范例的需求因而增加,以反制日渐增加的IP或其他连网式外部攻击。


系统暴露于外来威胁的程度日增、网路犯罪动机更强烈且技术越趋高明,再加上攻击一旦成功可能严重损害重要架构,都促使各界加强对工业控制系统安全的重视与投资。不过,攻击所造成的伤害不一定都是金钱上的损失,基于工业控制系统环境的本质,还有这些系统所支援的各种活动,像是水、电、核能发电等能源转换与公用事业相关服务,代表这些攻击事件可能置众人生命于险境。


市场结构趋势

工业控制系统安全市场由各种供应商所组成,以下将依类别予以介绍。


*特殊工业控制系统工具供应商


这一类的技术供应商专门提供OT安全产品组合。控制范围涵盖网路、端点与其他基础架构层面。


*跨平台安全供应商


许多专精于资安领域的供应商也开始针对工业控制系统开发专业技术。有的厂商重新定位现有产品,专门针对工业控制系统开发一套产品导入方法,像很多网路安全设备商就是采取这种模式。其他业者则是在既有IT安全产品组合以外新增专用工具。


*工业控制系统供应商的独立式安全工具


对进阶安全控制功能的需求日增,已促使各大知名工业控制系统平台供应商推出安全工具,以便整合自家的主要工业控制系统产品。这类产品的控制范围涵盖端点安全、网路安全及身分识别与存取管理(IAM)。工业控制系统供应商亦开始投资专攻独立式安全工具的业者,整合产品抑或是直接寻求购并。


*购并活动可望增温


工业控制系统领域的购并活动近来相当活络。由于不同产业的企业组织都有提升工业控制系统安全的需求,我们预期相关并购活动将持续增温。


增进工业控制系统安全的技术方法

工业控制系统安全市场仍未成熟且持续演化。目前已有各种工具供企业组织选用,从专业安全网路与端点工具,到资安事件管理(SIEM)、网路防火墙、入侵预防系统(IPS)设备等比较传统的资安控制产品,能迎合工业控制系统环境各种特定需求。


最有效且最受欢迎的安全控制应用方法就是从网路层面着手,藉由科技协助完成隔离、资安与存取控制,尤其适用于原本就未内建安全功能的工业控制系统。还有其他形式的安全技术可以补强以网路为基础的资安途径。


端点安全

专业工业控制系统安全供应商亦提供各式各样可应用于端点层的安全控制产品,以及比较传统的IT安全产品。


*应用程式白名单(application whitelisting)为可保护工业控制系统端点不受针对型网路攻击(targeted cyberattack)侵害的方法。它能控制与限制系统执行应用的种类,可有效降低恶意或未及时更新(unpatched)应用程式所可能带来的风险。


*端点通讯埠保护是工业控制系统安全领域里另一个专门项目。首个针对工业控制系统的Stuxnet病毒攻击事件突显了透过USB连接埠导入恶意程式所形成的弱点,确实可能让工业控制系统的隔离保护出现漏洞。扫描可携式储存装置是否含有恶意软体,是企业组织目前用来有效防护新型态威胁的分层式防护政策之一。



图2 : (Source:www.utilities-me.com)
图2 : (Source:www.utilities-me.com)

身分识别与存取管理

身分识别与存取管理属于传统安全领域,对工业控制系统安全来说也是一个相当重要的层面;部分现有工具主要针对工业控制系统环境而开发。其他产品原本即针对传统身分识别与存取管理IT解决方案,提供专门工业控制系统功能。目前既有的身分识别与存取管理控制实际案例如下:


*工业控制系统环境的存取控制功能,能提供存取控制政策管理功能,还可验证工业系统的不同组成构件。


*特权存取管理工具提供了一个安全的方式,以控制调度并监测具有特权的工业控制系统帐号。这通常是源于赋予特权使用者更多存取权力而引发高风险。


以网路为基础的工业控制系统安全专家设备

要在工业控制系统平台中新增一个安全层,常用的方法之一就是专门针对网路层部署安全工具。当旧有系统无法进行直接管理,这种以网路为基础的安全机制能提供最有效的方法、提供高度扩充功能,并创造一个存取控制点,以套用监测并执行身分以及存取控制功能。


相关领域的供应商可提供各种功能,部分业者专攻工业控制系统基础架构,有的则出身传统IT资安界。功能案例包括:


*资料二极体(data diode)的概念,就是用硬体设备引导单向网路流量,确保资料向周边外部而非内部输送。如此一来就能形成某种形式的隔离效果,阻挡来自外部的恶意流量。


*专家设备提供网路监测与搜寻,分析资料流程以侦测出可能造成网路攻击的异常行为或组态。


*另一种网路安全方法则是划定安全区域,隔绝网路构件或可编程逻辑控制器(PLC)群组。如此一来,就能应用那些常见于工业控制系统基础架构环境其中一部份或群组的特定安全政策。


安全资讯事件管理

部署资安事件管理技术仍然是事件监测、回报与警示的常用方法。主流资安事件管理工具往往采用一般关键基础建设防护(CIP)策略来收集事件资料,但部分供应商已开始将焦点放在CIP-ICS相关的专家需求,部分案例更与专业工业控制系统安全供应商合作。不过,专门针对特定工业控制系统安全使用案例提供资安事件管理技术,目前仍属发展初期。


新推出的相关方案,尤其是针对中东地区公用事业与能源供应商设计的案子,配备了次世代安全作业中心,且采用安全分析解决方案而非资安事件管理工具;然而,资安事件管理仍用在较为困难繁重的项目,而资安事件管理供应商多半会提供北美电力可靠度委员会(NERC)回报功能。


威胁情报

收集与提供威胁情报的技术仍在发展当中,尤其是在关键基础建设防护以及工业控制系统领域。网路安全设备供应商已开始扩大产品范畴,开始加入​​来自工业控制系统网路的安全事件与特征资料(signature data),这是因为入侵预防系统与防火墙设备已经开始整合来自各种工业控制系统协议的攻击特征,例如Modbus通讯协定、分散式网路通信协定(Distributed Network Protocol)以及控制中心通讯协定(Inter-Control Center Communications Protocol)。


还有很多专事工业控制系统安全领域的供应商,专门为来自工业控制系统网路的智慧型资料开发工具与服务,希望导入工业控制系统协定的深度专家分析与威胁情报。随着IT与OT整合进而逐渐汇流,市场将会出现需求,在主流威胁情报摘要里提供物联网/OT安全情报。我们因而预测,到了2017年将有30%的威胁情报服务包含来自物联网的垂直市场安全情报。


弱点评估

弱点评估是另一个传统安全领域,与工业控制系统范畴有部分关联性。了解潜在弱点是完备安全策略的一环,有助于集中心力与资源,达成将风险降至最低的目标。这一点跟工业控制系统领域特别有关联,因为随着OT与IT汇流程度日增,恶意攻击者也逐渐将注意力转移到如何找出其中弱点并加以利用。


许多大型工业控制系统供应商都整合了弱点评估功能,作为安全解决方案产品的一部份。


(本文作者现任职于Gartner研究总监)


相关文章
HMI与PLC━将智慧工厂带向新境界
PLC稳固智能化之路
ARDUINO PRO更加逼近可程式化逻辑控制器PLC
OEM机器制造商利用模拟软体提高效率
以降压稳压器解决电流??路发送器功耗问题
comments powered by Disqus
相关讨论
  相关新闻
» 台达机电事业群安规实验室取得美国UL Solutions授权 交流马达驱动器及伺服驱动器测试验证能力获高度认可
» Basler 受邀叁与先进封装制程设备前瞻技术研讨会
» CyberArk获2022 Gartner Magic Quadrant评选为存取管理领导者
» Seagate推出Lyve Cloud Analytics平台 优化机器学习作业并加速创新
» 东捷资讯解决方案获SAP国际认证 率先推出汽车零组件业解决方案包


刊登廣告 新聞信箱 读者信箱 著作權聲明 隱私權聲明 本站介紹

Copyright ©1999-2024 远播信息股份有限公司版权所有 Powered by O3  v3.20.1.HK83S9VXEA8STACUKW
地址:台北数位产业园区(digiBlock Taipei) 103台北市大同区承德路三段287-2号A栋204室
电话 (02)2585-5526 #0 转接至总机 /  E-Mail: webmaster@ctimes.com.tw