ICS安全趋势分析

前言

Mandiant ICS Healthcheck近日汇总了FireEye旗下企业Mandiant所执行的数十项ICS安全健康评估项目(ICS Healthcheck)，并从中收集了大量数据，以确定工业设施中最普遍、危害最大的安全风险。这些数据都是通过过去几年在多个行业进行的实际评估获得的，这些行业包括制造业、采矿业、汽车、能源、化工、天然气和公用事业。在本文中，研究者们将详细介绍这些风险，并给出最佳安全措施，以缓解风险。

Mandiant ICS Healthcheck

Mandiant ICS Healthchecks和渗透测试包括客户IT和ICS系统的现场评估。ICS Healthcheck包括技术研讨和审查。它使用Mandiant的风险评级方法，对发现漏洞和风险进行排序。Mandiant专业技术可以识别各类风险，例如漏洞、配置错误和异常网络通信，并且提供如何解决风险的建议。在与现场技术专家的现场研讨会上，Mandiant对主体控制系统进行了技术介绍，构建了控制系统的网络图，分析了潜在的漏洞和威胁，并协助制定了优先级建议的防御对策。

Mandiant还收集和审查来自ICS环境的网络流量包捕获，以验证研讨会中构建的网络图，并识别与预期设计不同的任何意外偏差。为了证明ICS网络或系统的漏洞配置，Mandiant还分析了相关流量。Mandiant还会检查已部署的安全技术是否存在漏洞和其他架构风险，例如不适当配置的防火墙，双宿主控制系统设备以及与业务进行不必要连接的网络。

Mandiant风险评级系统

这篇文章借用了来自Mandiant ICS Healthchecks的信息，它评估了来自多个行业组织的网络安全风险。而关键和高安全风险的评级基于Mandiant风险评级系统，该系统通过识别漏洞的可利用性和影响来交叉引用评估结果。

影响或漏洞可利用性图表

在ICS环境中，有三分之一的安全漏洞属于高级别风险。

研究人员回顾了所有风险评估的结果，然后将结果分类并排序，排序依次为关键级或高级、中级，低级或信息级。研究人员在ICS组织中发现的漏洞中，至少有33％的安全问题被评为高风险或严重风险。这意味着攻击者可以利用它们，轻而易举控制目标系统，并可能危及其他系统或网络，导致服务中断，盗取未经授权的信息，或导致其他严重后果。研究人员建议对重大风险立即进行补救，并迅速采取行动来补救。

风险评估分布图

在ICS环境中最常见的关键和高安全风险

FireEye iSIGHT Intelligence将Mandiant ICS Healthcheck中发现的关键和高安全风险分为9大类(见表1)，最常见的三类是：

1.漏洞、补丁和更新(32%)；

2.身份和访问管理(25%)；

3.架构和网络分段(11%)；

在大多数情况下，基本的安全最佳措施足以阻止攻击者以组织的系统为目标。因为对系统的攻击影响是巨大的，针对基础设施的专门恶意软件或攻击者可能会在整个目标攻击生命周期中首先寻找这些漏洞。

ICS环境中高安全风险的分布

三大高风险和关键风险以及对应的环境措施

漏洞、补丁和更新

漏洞、补丁和更新管理过程使组织能够从已知的安全威胁中保护现有的软件、硬件和固件。攻击者可以利用已知的ICS环境中的漏洞访问网络并进行感染以执行目标攻击。以下是研究人员在审计业务期间观察到常见风险:

1．修复和更新控制系统的罕见程序:

1.1研究人员遇到的没有正式漏洞和补丁管理程序的组织；

2.过时的固件、硬件和操作系统(OS)，包括:

2.1网络设备和系统，如交换机、防火墙和路由器；

2.2硬件设备，包括台式电脑、照相机和可编程逻辑控制器(plc)；

2.3不受支持的旧版操作系统，如Windows Server 2003，XP，2000和NT 4；

3.含有补丁的软件应用程序和设备中尚未解决的已知漏洞:

3.1研究人员观察到过时的防火墙有多达53个未修复的漏洞和20 0多个交换漏洞；

3.2可以使用已知的开源工具开发的系统管理软件；

3.3在实施之前缺乏分析补丁和更新的测试环境；

缓解措施

1.制定全面的ICS漏洞管理策略，以及包括实现关键环节的补丁和更新的程序，更多信息请参考美国国家标准与技术协会(NIST) ICS安全NIST SP800-82指南。

2.当关键基础架构不再提供补丁和更新时，请选择以下两种缓解措施之一:

2.1在受影响的环节周围建立安全边界，至少要有防火墙(工业协议检查/阻止)来保护访问控制和流量过滤；

2.2淘汰可能被利用的获取网络访问权限的旧设备，例如交换机；

3. 设置代表正在运行的IT和ICS设备的开发系统或实验室，这些系统通常可以从现有的备件，以及从系统供应商购买或租借用于人机接口(HMI)和配置软件的额外许可证来构建。开发系统是测试更改和修补程序的优秀平台，在此平台上可以执行漏洞扫描，而不会对活动系统造成风险。

身份和访问管理

第二类最常见的安全问题类型与处理密码和凭证的漏洞有关。Mandiant确定的常见的漏洞包括:

1.缺乏对远程访问和关键帐户的多因素认证:

1.1用户可以从企业网络远程访问ICS环境，而不需要多因素身份验证；

2.缺乏全面和强制执行的密码策略:

2.1用于特权帐户、ICS用户帐户和服务帐户的长度或复杂性不足的弱密码；

2.2密码没有频繁更换；

2.3多个账户重复使用同一密码；

3.明显暴露的密码:

3.1写在设备上的密码；

4.应用程序和设备中的硬编码和默认凭证:

4.1 Mandiant发现了包含默认凭证的远程终端单元(RTU)，这些凭证通常可在Internet和设备手册中找到；

4.2调制解调器包含一个由制造商组成的后门账户；

4.3 常用的“管理员”帐户；

5.使用共享凭证；

缓解措施

1.为所有可能的用户(尤其是管理帐户)实施双因素身份验证；

2.避免保留密码的文字副本，并在必要时将其进行保密处理，仅限授权用户访问；

3. 对需要经常修改且无法重复使用的强密码执行密码策略，更多信息可了解SANS；

4.避免常见的、容易被猜到的用户帐户名称，例如“operator”，“administrator”或“admin”；相反可以使用唯一命名的用户帐户进行所有访问；

5.要求管理用户使用惟一命名的用户帐户登录，并将其进行强密码处理；

6.尽量避免共享帐户，但是，如果必须进行共享，则应该使用存储在加密密码管理器中的强密码进行强化处理。

网络隔离与分段

在这篇文章中指出的三大风险中，网络隔离和分段的漏洞是最危险的。由于缺乏与企业IT网络和ICS网络的隔离，攻击者可以通过IT服务开始感染，进而进入ICS环境来发起针对关键基础架构的远程攻击。此外，该漏洞还增加了通过商品恶意软件传播到ICS网络的风险，其中恶意软件可能与运行基础设施进行交互。 Mandiant确定的主要风险包括：

1.工业系统可以从企业网络直接访问，也可以通过桥接设备(连接到两个网络)访问，例如未使用的服务器，HMI，历史记录或松散配置的共享防火墙。研究人员还发现:

1.1通过与分布式控制系统（DCS）通信的历史记录，可以从企业网络对工厂服务器进行未过滤的访问；

1.2缺少ICS和企业网络之间的分段；

1.3 桥接设备中的漏洞（例如，运行易受攻击操作系统的过时设备）可以实现网络之间的大肆感染；

1.4在共享控制系统网络上运行的业务功能（例如，数据备份和防病毒更新）。

2.双宿主系统，包括服务器和台式计算机；

3.工业网络直接连接到互联网；

缓解措施

1.根据NIST SP 800-82和IEC(下图)的建议，使用网络非军事区（DMZ）对ICS的所有访问进行分段：

1.1限制用于在ICS和企业网络之间建立通信的端口、服务和协议的数量，以尽可能少地减少攻击面；

1.2首先在DMZ中终止普通用户和管理用户的访问，然后建立另一个连接到ICS网络的会话；

1.3将提供ICS数据的服务器（或镜像服务器）放置到DMZ中的企业网络；

1.4使用防火墙过滤所有进入或离开ICS的网络流量；

1.5防火墙规则应该过滤来自企业网络的输入流量和来自ICS的输出流量，并且它们应该只允许所需的最小流量通过；

2.将控制网络与互联网络隔离开来，应该使用单独的网络通过DMZ进行互联网访问，并且在任何时候都不应该允许两个网络之间有桥接连接；

3.确保使用独立的、定期修补的防火墙将企业网络与DMZ和ICS网络分离，并定期检查防火墙规则集。

4.识别并重定向遍历工业网络的任何非控制系统流量；

5.删除所有双宿主服务器和主机；

用于企业和控制系统网络分段的参考架构

其他的漏洞和对应缓解措施

以下是从其他事件中发现的其他常见风险，但频率较低。

网络管理与监控

研究人员发现许多工业组织中缺乏网络安全监控、入侵检测和入侵预防，包括缺少端点恶意软件保护、未使用的端口处于活动状态以及对ICS网络的预判性有限。研究人员建议采用以下缓解措施:

1.作为总体安全规划的一部分，全面的网络安全监控策略应该在ICS级就进行定义和实施，应特别注意监测发生外部连接的网段:

1.1实现或增加集中式系统和网络日志记录，以提供整个企业(IT和ICS)的可见性。监控日志中的异常行为。必要时，请考虑采用额外的主机或基于网络的安全控制，这些安全控制措施会根据异常或可疑的行为生成警报或拒绝流量。

2.在所有ICS和ICS DMZ主机上安装一个集中管理的反恶意软件解决方案，确保及时部署签名和应用程序更新；

3.探索部署高级端点保护解决方案的替代方案，该解决方案为不依赖基于签名的检测方法的恶意软件和恶意活动提供检测或预防；

4. 识别并关闭网络端口不使用的程序；

防火墙规则中的错误配置

研究人员发现了脆弱的防火墙规则，包括“ANY-ANY”配置，冲突或重叠规则，这就允许攻击者访问管理服务的过度许可条件，以及缺少控制超时的连接。研究人员推荐了以下安全防火墙配置的最佳缓解措施:

1.过滤规则只允许访问特定的源或目标IP地址和端口；

2.过滤规则应该指定一个特定的网络协议；

3.ICMP筛选规则应该指定特定的消息类型；

4.过滤规则应该删除网络数据包，而不是拒绝它们；

5.过滤规则应该执行特定的操作，而不是依赖于默认操作；

6.应该设置管理会话超时参数，以便在预定的时间内终止这些会话；

网络安全管理的最佳实践

研究人员发现一些组织的ICS安全计划有限或缺乏正式和全面的ICS安全计划，因此他们强烈建议组织实施ICS安全计划，建议的优先顺序如下：

1.建立一个具有明确责任的ICS安全计划，要明确每个人的责任，健全问责制和治理结构，它应该包括：

1.1 ICS安全的业务预期、策略和技术标准；

1.2关于主动安全控制的指南，例如，补丁和更新的实现、变更管理或安全配置。

1.3事件响应、灾害恢复和业务连续性计划；

1.4 ICS安全意识培训计划；

2.根据NIST SP800-82开发一个漏洞管理策略，包括资产识别和库存、风险评估和分析方法(确定关键资产的优先级)、修复测试和部署指南。

总结

本文介绍了Mandiant ICS Healthcheck观察到的工业组织当前面临的风险，虽然本研究中观察到的趋势与安全会议会谈和媒体报道中经常讨论的风险一致，但本文是从数十个样本评估中得出的结论，缓解措施在现实生活都有针对性。

本文的研究表明，ICS中至少有三分之一的关键和高安全风险与漏洞、补丁和更新有关。已知的漏洞仍然是ICS所有者面临的重大挑战，安防人员必须在复杂的工业环境中监督数以千计的资产的日常操作。另外还需要强调的是，研究人员发现的一些最常见的风险可以通过本文所列的安全措施来得到有效缓解，例如强制执行全面的密码管理策略或建立详细的防火墙规则。