工业传感器普遍网络安全问题与应对

LOGIIC和自动化联合会最近发布了《项目12-安全仪表使用》最终报告,从目标设定、评估方法、关键结果、关键问题讨论和建议等层面,给出了功能安全系统中的仪器使用和仪器系统相关网络安全问题的发现、验证、影响评估、缓解措施,对于工业网络安全从业者理解传感器级别的网络安全问题非常有帮助。

【摘要】工业上用于保护仪器不受未经授权修改的方法包括仪器上的硬件写保护开关、仪器上的软件写保护口令、远程管理仪器的IMS/AMS的口令,以及SIS解决方案提供的各种独特保护。利用这些保护措施,受助于美国国土安全部的项目12试图确定攻击者是否以及如何使用IMS/AMS来更改仪器配置和状态,从而创造潜在的不安全条件。其主要目标是确定通常在油气行业使用的安全系统体系结构中常见的安全仪器或资产管理系统(IMS/AMS)解决方案中的漏洞,针对已发现漏洞,给出可以减轻开发人员对安全性进行设计的选择和配置。项目12报告从目标设定、评估方法、关键结果、关键问题讨论和建议等层面,给出了功能安全系统中的仪器使用和仪器系统相关网络安全问题的发现、验证、影响评估、缓解措施,对于工业网络安全从业者理解传感器级别的网络安全问题非常有帮助。安帝科技研究院摘编该报告的主要内容供大家学习参考。

背景

LOGIIC和自动化联合会最近发布了《项目12-安全仪表使用》最终报告。LOGIIC(“连接油气行业以改善网络安全”)是美国国土安全部科学技术理事会和英国石油、雪佛龙、道达尔等成员组织以及油气行业其他利益相关者赞助的机构,其主要任务是进行油气公司如何加强其设备关键系统的网络安全研究。

这个项目(项目12)建立在以前的研究项目(项目11)基础之上。项目11曾深入研究广泛应用于石油和天然气设施的安全控制器漏洞。而项目12则把重点转向了向这些控制器输入数据的实际传感器的网络安全状况。即要搞清楚如果这些传感器和驱动器被操纵,对安全系统有什么影响,以及对油气设施整体安全的影响。最终目标是提高对传感器和执行器级别网络安全的理解和认知。

这些仪器设备包括来自火灾和气体检测分析仪的变送器、压力传感器、螺线管和定位器等。它们通常与分布式控制系统(DCS)和安全仪表系统(SIS)通信,使用非IP通信协议,即称为高速公路可寻址远程传感器(HART)通信。这些设备就是所谓普渡(Purdue)参考模型的0级设备。石油和天然气现代安全系统体系结构中的0级设备负责处理过程数据,这些数据是控制系统运行的基础。如果仪表设备不能正常工作,安全控制系统也不能正常工作。

报告记录了资产所有者、供应商和标准机构的主要调查结果和建议,揭示了许多间接和反复出现的关键发现,表明功能安全系统中普遍存在的全行业网络安全问题。

关键发现

ICSs使用安全仪表系统(SISs)来监控操作,并在出现异常情况时采取自动操作来保持功能安全状态。变送器、阀门控制、火灾和气体探测器等仪器为安全系统功能提供了关键的输入和控制。近年来,仪器已经现代化,以提供智能功能,如阀门的部分行程测试。

智能仪器通常使用线缆直接连接到SIS,并通过模拟信号进行通信。智能数据叠加在模拟通信上,使用高速公路可寻址远程传输协议(HART)。该协议使系统能够从仪器中读取数据,并作为正常操作的一部分修改它们的配置和状态。比如可以通过本地手持设备、SIS I/O卡或使用HART数据复用器(MUX)访问HART数据。在后两种情况下,仪器管理系统或资产管理系统(IMS/AMS)可以通过基于互联网协议(IP)的网络使用HART-IP或SIS专有协议与安全仪器进行交互和配置。虽然早期的LOGIIC项目5侧重于无线HART和手持设备,但项目12专门侧重于有线HART、HART-IP、SIS专有协议以及IMS/AMS的使用。

由于HART协议缺乏内置的安全特性,因此需要使用替代方法来保护设备免受未经授权的修改。项目12考虑的保护措施包括仪器上的硬件写保护开关、仪器上基于软件的写保护口令或引脚代码、远程管理仪器的IMS/AMS(或其底层操作系统平台)上的口令以及各种SIS解决方案提供的各种不同保护。

项目12定义并使用了一个威胁模型,其中攻击者试图破坏IMS/AMS,并企图对安全仪器的配置进行未经授权的更改。项目12考虑的未经授权的更改是那些可能导致不安全的操作条件、使仪器无法操作或无法履行安全功能和/或使仪器控制失控于资产所有者的更改。这些攻击者的目标在两种体系结构中进行了检查:1)IMS/AMS通过SIS来控制仪器;2)IMS/AMS通过MUX来控制仪器。

工业传感器普遍网络安全问题与应对

图1 架构1(左)提供与SIS的直接网络连接,SIS是IMS/AMS和设备之间的通信中介。

相比之下,架构2(右)中的SIS通过BPCS/DCS上的接口访问,通过与MUX的串行连接IMS/AMS实现与设备的通信。

项目12根据威胁模型、行业保护机制和架构以及O&G部门业务中典型的供应商产品抽样进行了四次单独评估。攻击通道被认为包括恶意和不知情的内部人员以及供应链攻击。每次评估都是在供应商的充分合作下进行的不完全知识测试。

老练的攻击对手有足够的时间和资源来分析供应商的产品,这使得他们能够发现可以在攻击中使用的未记录命令和漏洞。相比之下,项目12在时间和范围上都受到限制。每次评估都是在几个月内利用公开的信息和几个星期的实际测试进行的,并受到明确的接触规则(RoE, rules of engagement)的限制。

即使有这些限制,项目12也发现了许多间接的和反复出现的可利用的弱点,表明了系统性和普遍性的行业问题。这些问题主要是四个关键发现的结果:

1)     一些功能安全系统设计允许未经检查的HART直通模式(passthrough);

2)      当前的HART和HART-IP协议没有内置的安全性;

3)      设备不验证接收到的HART命令的来源,许多设备具有可绕过的写入保护;

4)      使用未经验证的从互联网下载的第三方软件。

成功执行的攻击使用了许多常用的攻击者工具,并利用了公共知识体系结构的弱点,这在所有四项评估中都有发生。这些攻击需要低到中等水平的能力和努力,以利用漏洞并达到影响设备安全功能的效果。

项目12还暴露了与这两种体系结构相关的风险,并确定了每种体系结构构成风险最小的情况。主要调查发现包括:

  • 攻击者可以随意更改未经授权的设备并逃避检测。一些变化可能导致不安全的操作条件。网络攻击的风险直接影响安全,必须与硬件故障和其他安全一并考虑。

  • 功能安全系统没有简单和立即的补救办法;减少风险需要结合保护和检测机制。

  • 相比使用直通MUX的体系结构,使用具有启用保护功能的SIS来调解IMS/AMS和安全仪器通信的安全系统体系结构,将减少未经授权的设备修改。如果未启用SIS保护,则风险相当于使用MUX的风险。

  • 基于设备硬件的写保护是防止未经授权的设备配置更改的唯一完全保护手段。只有33%的采样设备配备了这种硬件开关。

  • 基于软件的写保护可以很容易被绕过;因此,它们不能防止这些更改企图。SIS写保护有效地防止了一些,但不是所有更改。

  • 设备写保护实现是不一致的,即使是在同一供应商的产品之间。这可能导致混乱和意外不受保护的设备。

  • HART协议设计的缺陷使得防止和监视试图进行未经授权更改的攻击变得复杂。协议缺乏基本的安全概念。HART公共命令集不包括与安全相关的命令,这会导致使用特定于设备的命令在设备之间实现不一致。这阻碍了对试图规避设备安全特性的检测。该协议没有提供任何方法来区分特定于设备的读和写命令。这使得任何SIS都不可能在不阻塞读取命令的情况下阻止设备特定的写入命令。阻塞特定于设备的命令将阻止IMS/AMS显示任何特定于设备的命令状态。

  • 实际的分发和安装设备类型管理器(DTM)软件的方法打开了供应链攻击的大门,从而对IMS/AMS平台构成了重大风险。这些平台是可信的,可以作为设备攻击的发起点。

至关重要的是,项目12的结论是,安全环境容易受到在实践中可能无法检测到的恶意攻击,在安装任何可能将恶意软件引入过程控制网络(PCN)的软件之前,应极其谨慎。

报告强调:我们不能充分评估这种脆弱性的严重性。

关于密码技术应用

基于上述问题,自然会想加密通信和身份认证是解决绝大部分问题的办法。一些SIS解决方案在IMS/AMS和SIS之间提供加密通信。该特性在默认情况下通常是禁用的。启用可选的加密机制显著提高了网络安全性,并停止了来自非IMS/AMS平台的口令嗅探和中间人(Man-in-Middle)攻击。启用加密通信通常并不简单。

考虑了两种加密通信方法:主机到主机加密和应用程序到应用程序加密。项目12演示了在使用主机级加密时,IMS/AMS共同存在的恶意软件可以制作并直接将HART(或HART包装的)包插入到网络堆栈中。这些报文通过主机级加密隧道传输到SIS。然后SIS解密并将附上的HART命令包传递给设备以供执行。

项目12进一步证明,在使用应用层加密时,可以将木马DTMDLL加载到IMS/AMS进程空间,并用于调用未经授权的设备命令,这些命令通过应用层加密隧道传输到SIS。类似地,SIS对命令进行解密,并将它们传递到设备上执行。

在主机层和应用层加密中,未经授权的更改是随意进行的,任何网络监控系统都无法看到,除非该系统能够解密网络数据包进行检查。这个弱点表明需要多层安全设计解决方案。

即使这样,报告仍然建议在IMS/AMS与设备之间进行加密通信,防止通信完整性和保密性受到攻击。

如果功能安全系统解决方案支持,请使用应用程序级加密,以防止IMS/AMS共同驻留的恶意软件进行未经授权的更改。

  • 如果功能安全系统解决方案支持,请使用应用程序级加密,以防止IMS/AMS共同驻留的恶意软件进行未经授权的更改。

  • 如果安全系统只支持主机级加密,使用它来防止对基于网络的通信完整性和机密性的攻击。

  • 如有可能,将系统配置为始终需要加密会话,并使用基于证书的双向认证来验证SIS和IMS/AMS。

  • 如果安全系统不支持加密通信,考虑使用代理解决方案,在授权主机

  • 和安全仪器(如果使用SIS)前面的一个点之间建立VPN

  • 加密通信使基于内容的网络监控变得复杂。如果需要对通信内容进行监控,可以使用空密码加密来实现SIS和IMS/AMS之间的认证,在不加密报文内容的同时保护网络报文的完整性。通过此配置,通信机密性攻击(包括口令截取)是可能的,因此必须使用其他缓解措施。

缓解建议

LOGIIC建议制定一个缓解路线图,以减少资产所有者在短期、中期和长期的风险(图2) 安全系统业主应立即:

工业传感器普遍网络安全问题与应对

图2 项目12建议的风险缓解路线图

  • 遵循IEC61511-1标准,要求所有SIS设备都有保护。在所有拥有它们的设备上使用硬件写保护开关。只有在进行维护时才禁用开关。

  • 将安全最佳实践应用于IMS/AMS平台,以防止攻击者利用该平台与SIS的信任关系发起攻击。使用网络隔离或基于主机的防火墙(例如Windows10安全防火墙)来防止远程访问。

  • 尽可能避免在安全关键应用程序中使用供应商DTMS;相反,选择设备描述(DD)文件。如果DTMS目前正在使用,请验证所有DTMS文件的谱系和完整性。直接从供应商获得DTM和DD文件,同时请求相关文件的加密散列以验证所有DTM和DD安装程序的完整性。要求供应商签署所有个人文件。IMS/AMS平台上安装之前,验证DTM和DD的完整性。要求从互联网下载的所有DTM或DD使用HTTPS。

根据项目12的调查结果,这些缓解措施将大大减少对功能安全系统的风险。在中期,LOGIIC建议功能安全系统所有者:

使用SIS调解IMS/AMS解决方案和安全工具之间的通信。与SIS供应商合作,确定和实施SIS特定的保护措施,以减少可用的攻击面,从而减少风险。

实现一种方法来限制允许的SIS网络连接仅限于授权主机,以防止未经授权的主机进行更改。

在可能情况下加密IMS/AMS和SIS之间的通信,以避免基于网络的攻击,这些攻击窃取口令并更改传输中的设备命令。

实现一个健壮的监控系统,以检测和警报设备的变化和意外的设备状态。

利用项目12的调查结果,对所有作业安全系统进行基于后果的风险分析,以确定任何未通过应用对策减轻的残余风险。资产所有者应确定并实施基于风险对自身运营的额外对策。

为他们的系统创建一个健壮的安全策略。操作人员应接受政策培训,以及如何避免无意中将恶意软件引入环境。

长期修复应该解决需要供应商产品和行业级别更改的更大问题。其中包括实施安全的HART-IP协议,该协议包含在2020年7月公布的HART网络管理规范中。

报告全文包括对资产所有者、产品供应商和标准机构的其他调查结果和建议。通过提供这些项目成果,LOGIIC希望帮助改善所有ICS利益相关者的总体安全态势。

作者 | 安帝科技

参考资料:

https://www.isa.org/standards-and-publications/isa-standards/logiic

https://isaorgwebsite.blob.core.windows.net/media/isa/media/pdf/logiic/logiic-project-12-final-report.pdf?_ga=2.48622565.21465235.1619595542-1010767051.1619595542

原文来源:网络安全应急技术国家工程实验室

<!-- 多条广告如下脚本只需引入一次 -->

版权归原作者所有,如若转载,请注明出处:https://www.ciocso.com/article/3974.html

发表评论

登录后才能评论