|
|
Stuxnet 指导: 哪些解决方案值得采纳
Eric Byres (CTO of Bures Security Inc.)2011-01-17
在过去的几个月里,关于Stuxnet攻击伊朗核设施情况的说明并不少,但令人遗憾的是,真正为了工业控制系统(ICS)用户和工程师等提出的合理而有效的Stuxnet病毒解决方案却少之又少。
行不通的建议
在这些行不通的建议里面,排在第一位的当属Gartner Report on Stuxnet(高德纳震网病毒分析报告)。这份报告建议ICS用户在安装Siemens的PLC时一定要修改默认密码。表面看起来是个不错的建议,但实际上,这个建议十分愚蠢。
Siemens web site曾在2010年7月份的相关文档中指出,如果用户在Siemens的SQL Server数据库中修改了默认的密码,那么控制系统将会停止运转。因为Siemens将该密码以硬编码的形式写入了PCS7应用中,在数据库中修改该密码将导致合法的PCS7无法访问中央数据库,并在控制系统中生成一个自感应的服务拒绝。
显然,建议用户采取这些措施是行不通的,这也完全暴露了控制及SCADA系统领域内关于病毒防治经验的缺乏。
可以采纳的建议
当然,目前仍然存在一些合理可行并且切实有效的策略。比如,Industrial Defender (ID)机构就提出了关于Stuxnet的可靠方案。最近他们发布了新的白皮书《The Stuxnet Worm & Defenses for Advanced Threats》(震网病毒&高级威胁防御),非常值得广大业内人士一读。
该白皮书首先解释了Stuxnet的攻击路径及攻击手段(这一部分应当已经为人们所熟知,但对不是特别了解最新情况的人们来说还是十分必要的)。接下来,则对主题Advanced Persistent Threats(高级持续性威胁,APT)进行了简单的叙述——不得不说,该主题与我的观点十分相近。也许大多数人并没有听说过APTs,很明显,比起常见的蠕虫病毒,APT的受关注度远没有那么高。
跟那些每天都出现在垃圾邮箱中的常见、浅显而又投机的攻击相比,Apt使用的是一系列先进的恶意软件技术组合,并藉此攻击特定的目标。Stuxnet正是其中的典型代表,但却不是第一个。APT类型的攻击还包括,Operation Aurora 和GhostNet等。
Byres Security Inc.的一个客户就遭到过APT的攻击,该攻击旨在窃取尚未发布的新产品的知识产权。该APT制造者的目的就是在这种产品发售期间在市场上投放以假乱真的仿冒品——此举将会给制造商造成约1亿美元的损失。
Industrial Defender的白皮书指出了一个十分关键的问题——如果您的公司不幸遭到了APT的攻击,那么采用补丁或反病毒措施来进行补救是完全无济于事的。这并不是说该举措完全无效,也不是说补丁并不重要,如果您没有做到这些基本防御措施,并且您的控制系统又遭遇了下一个蠕虫病毒——那么这个病毒将会像园地里的植物一样生机勃勃,引发严重事故。
APT利用Zero-day(零日)漏洞进行攻击非常典型——但却无法通过A/V系统进行防御,因为A/V系统并没有针对零日漏洞的签名。
Whitelisting(白名单):哪些才是真正有利于工业控制系统的?
哪些解决方案才能真正保护您的控制系统呢? ID发布的白皮书提供了一种被称为“Whitelisting(白名单)”的技术,即计算机上所有应用的位置以签名(密码信息)的形式进行标记。程序每次尝试运行时,密码信息需要重新计算,并核对原始密码信息。如果两个密码不匹配,或者规定的密码没有记录,那么就会出现错误信息并发出警报。
这份白皮书又阐述了ID产品如何在Stuxnet攻击时进行报警。这种策略在传统AV解决方案出现的数月前提出。
我在上一篇博文《Fixed Configuration Firewalls, Safety Systems and Reduced Human Error》(http://www.tofinosecurity.com/bl ... reduced-human-error)中曾经提到过Fixed Configuration Firewalls (固定配置防火墙,FCF),白名单正是其中的一种,不过因为持续不断的系统修改将会使管理面临挑战,目前为止在IT届尚未流行。但就像我在上一篇博文中所提到的那样,“in the ICS/SCADA space, the basic network design can stay steady state for decades(在ICS/SCADA领域,基本的网络设置会数十年的保持恒稳态).”因此,对于控制系统而言,白名单是进行网络防护的妙计。
控制系统操作员在网络安全方面有着极大的困扰。坦率的说,被推荐的众多IT策略远远少于工业控制系统环境下的模型。所以,对于所有能够防御APT攻击关键系统的技术,无论是白名单还是fixed configuration firewall (固定配置防火墙),我们都应该保持关注! |
|
|小黑屋|手机版|Archiver|PLC技术网-PLC论坛
( 粤ICP备17165530号 )|网站地图
发表于 2011-5-13 10:42:00