近日，國際知名自動化控制系統(tǒng)網(wǎng)絡(luò)安全專家，網(wǎng)絡(luò)安全、控制系統(tǒng)和系統(tǒng)安全方面的國際權(quán)威Joseph M. Weiss撰文（US critical infrastructure cyber security is backwards - it's the process that counts not the data）評述美國剛剛發(fā)布的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全行動倡議，認為美國政府和關(guān)鍵基礎(chǔ)設(shè)施行業(yè)對ICS的網(wǎng)絡(luò)安全已誤入歧途，所有的做法都走上了基于IP網(wǎng)絡(luò)的威脅檢測的道路，偏離了工業(yè)控制系統(tǒng)本身可靠性、可用性和功能安全性的本真需求。Weiss建議采取過程傳感器的監(jiān)控技術(shù)，而以色列水務(wù)局最近確實采取了這種工程方法，批準了離線過程傳感器監(jiān)測技術(shù)，以確保該國的供水系統(tǒng)安全。與美國監(jiān)控IT和OT網(wǎng)絡(luò)用于網(wǎng)絡(luò)安全（即網(wǎng)絡(luò)異常檢測）的現(xiàn)行做法不同，以色列的方法是基于監(jiān)控過程傳感器的電特性（過程異常檢測），而不是像美國那樣僅僅依靠網(wǎng)絡(luò)監(jiān)控。以下內(nèi)容編譯自Weiss的博文。

　　介紹

　　控制系統(tǒng)網(wǎng)絡(luò)安全通俗的解釋，就是保持燈亮著、水流動著等。這不僅僅是維護網(wǎng)絡(luò)可用性的問題。如果控制系統(tǒng)受到網(wǎng)絡(luò)事件的影響，無論是意外事件還是蓄意攻擊，關(guān)鍵基礎(chǔ)設(shè)施的可靠性、可用性和安全性都可能受到影響。工業(yè)、制造業(yè)、交通運輸業(yè)和其他行業(yè)都依賴于基于運營技術(shù)（OT）互聯(lián)網(wǎng)協(xié)議（IP）的網(wǎng)絡(luò)來顯著提高生產(chǎn)率。然而，在這些改進的同時，也出現(xiàn)了嚴重的網(wǎng)絡(luò)漏洞。

　　關(guān)于關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全的謬論是，假設(shè)需要IP網(wǎng)絡(luò)來保持照明、供水等。80多年來，電網(wǎng)在沒有IP網(wǎng)絡(luò)的情況下仍然保持著運行。電力系統(tǒng)中的控制系統(tǒng)被設(shè)計成相互協(xié)調(diào)工作，因此與控制系統(tǒng)相關(guān)的設(shè)備可以在沒有SCADA和SCADA網(wǎng)絡(luò)的情況下工作。例如，2015年烏克蘭電網(wǎng)遭到網(wǎng)絡(luò)攻擊后，烏克蘭人在沒有IP網(wǎng)絡(luò)的情況下繼續(xù)手動操作電網(wǎng)，因為IP網(wǎng)絡(luò)不可信。然而，如果關(guān)鍵硬件受到損害或損壞，電網(wǎng)就無法運行。這包括監(jiān)測和控制網(wǎng)格的過程傳感器。

　　2021年7月28日，拜登總統(tǒng)發(fā)布了一項關(guān)于工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全（ICS）倡議的聲明，該倡議是聯(lián)邦政府和關(guān)鍵基礎(chǔ)設(shè)施行業(yè)之間的自愿合作努力，以促進技術(shù)和系統(tǒng)的部署，提供威脅可視性、攻擊指標(biāo)、檢測和警告。迄今為止，這是一種針對網(wǎng)絡(luò)威脅的基于網(wǎng)絡(luò)的方法。另一方面，控制系統(tǒng)現(xiàn)場設(shè)備，如壓力、液位、流量、溫度和電壓傳感器（通常不被認為是OT的一部分）本質(zhì)上是不安全的，通常不被設(shè)計用于連接IP網(wǎng)絡(luò)?？偨y(tǒng)的ICS 行動倡議并沒有解決這個問題。

　　背景

　　在“9·11”事件之前，網(wǎng)絡(luò)安全只是設(shè)計和實施控制系統(tǒng)時必須考慮的風(fēng)險之一，此外還有地震風(fēng)險、環(huán)境風(fēng)險、火災(zāi)風(fēng)險、可靠性風(fēng)險等。這些風(fēng)險被視為工程考慮因素，管理它們被視為一項工程功能。這樣做的目的是為了確保設(shè)計的工程基礎(chǔ)能夠得到滿足，而不考慮風(fēng)險。因此，工程組織負責(zé)，這包括網(wǎng)絡(luò)安全。這是一種“自下而上”的過程異常檢測方法，執(zhí)行任務(wù)的利益保證。事實上，這是我在2000年幫助啟動的電力研究所（EPRI）控制系統(tǒng)網(wǎng)絡(luò)安全項目的基礎(chǔ)，不幸的是，現(xiàn)在和其他項目一樣，是關(guān)于保護網(wǎng)絡(luò)安全的。

　　9/11之后的某個時候，網(wǎng)絡(luò)安全變成了國家安全。然而，大約在同一時間，控制系統(tǒng)的網(wǎng)絡(luò)安全轉(zhuǎn)移到IT（現(xiàn)在的OT）網(wǎng)絡(luò)監(jiān)控組織，不再涉及工程。因此，控制系統(tǒng)網(wǎng)絡(luò)安全從任務(wù)保障轉(zhuǎn)向信息保障。把重點放在網(wǎng)絡(luò)而不是過程上，也可以通過讓CISO而不是工程/運營副總裁負責(zé)工程系統(tǒng)的網(wǎng)絡(luò)安全來看到。因此，網(wǎng)絡(luò)安全監(jiān)控和緩解傾向于向IP網(wǎng)絡(luò)層轉(zhuǎn)移--網(wǎng)絡(luò)異常檢測傾向于取代過程異常檢測?？刂葡到y(tǒng)設(shè)備，如保護繼電器，是根據(jù)進入設(shè)備硬件寄存器的指令工作的。這些指令參考其他指令和原始處理傳感器輸入數(shù)據(jù)來執(zhí)行所需的命令。這意味著保護繼電器等設(shè)備與傳統(tǒng)的高層網(wǎng)絡(luò)關(guān)系不大，而是依賴于測量的完整性。

　　美國政府和行業(yè)在遠離傳統(tǒng)的基于網(wǎng)絡(luò)的方法方面的沉默可以從以下例子中看到：

　　2021年7月發(fā)布的網(wǎng)絡(luò)安全能力成熟度模型2.0版（C2M2未解決過程傳感器和過程異常檢測問題）。如果不解決是什么讓燈一直亮著、水一直流著，這個過程還能有多成熟呢？

　　電氣行業(yè)的NERC關(guān)鍵基礎(chǔ)設(shè)施保護（CIP）網(wǎng)絡(luò)安全標(biāo)準認為，過程傳感器超出了網(wǎng)絡(luò)安全考慮范圍。

　　愛達荷國家實驗室人員最近的播客支持網(wǎng)絡(luò)方法（https://www.synack.com/were-in-synack-podcast/?utm_source=organic_social）。

　　在發(fā)現(xiàn)某國制造的大型變壓器的硬件后門后，總統(tǒng)發(fā)布了13920號行政命令。從行政命令可以看出，它只專注于硬件和控制系統(tǒng)。然而，政府和業(yè)界的反應(yīng)是把這種硬件攻擊變成一個軟件供應(yīng)鏈問題。

　　使用傳感器監(jiān)測

　　過程傳感器監(jiān)測用于過程異常檢測已有多年的歷史。在20世紀70年代末，我使用它來識別核電廠的流動誘發(fā)振動問題，在20世紀90年代初，我管理EPRI核儀器儀表和診斷程序，以檢測主要供應(yīng)鏈常見的過程傳感器問題。

　　傳統(tǒng)的工程現(xiàn)場設(shè)備，如過程傳感器、執(zhí)行器、驅(qū)動器、定位器和分析儀，沒有網(wǎng)絡(luò)安全、認證或網(wǎng)絡(luò)日志，也不容易升級為網(wǎng)絡(luò)安全。然而，處理傳感器將輸入送到OT網(wǎng)絡(luò)，OT網(wǎng)絡(luò)監(jiān)控供應(yīng)商假設(shè)傳感器輸入是未被破壞的、經(jīng)過認證的、正確的。然而，由于傳感器輸入沒有經(jīng)過驗證，因此不清楚明顯的傳感器數(shù)據(jù)實際上是來自傳感器而不是來自“欺騙”信號。接收傳感器信號的驅(qū)動器、控制器等無法驗證傳感器信號的來源，因此自動接受傳感器并作出相應(yīng)的響應(yīng)。這可能是某國人在大型變壓器的硬件后門上使用的方法，在不侵入網(wǎng)絡(luò)的情況下控制變壓器。因此，有必要采取一種難以處理的網(wǎng)絡(luò)監(jiān)控方法，使其成為一種易于處理的工程方案。

　　現(xiàn)代機器學(xué)習(xí)能夠?qū)υ歼^程傳感器信號進行模式檢測，這在以前是不可能的。正是這種額外的能力，使得傳感器監(jiān)控能夠識別進程異常，而不管原因是什么，并且獨立于IP網(wǎng)絡(luò)及其相關(guān)的網(wǎng)絡(luò)漏洞。因此，以色列水務(wù)局最近采取了這種工程方法，批準了離線過程傳感器監(jiān)測技術(shù)，以確保該國的供水系統(tǒng)安全。與美國監(jiān)控IT和OT網(wǎng)絡(luò)用于網(wǎng)絡(luò)安全（即網(wǎng)絡(luò)異常檢測）的普遍做法不同，以色列的方法是基于監(jiān)控過程傳感器的電特性（過程異常檢測），而不是像美國那樣僅僅依靠網(wǎng)絡(luò)監(jiān)控。

　　離線傳感器監(jiān)控的好處

　　為什么過程傳感器方法如此有價值的一個類比是，考慮一輛以70英里/小時的速度行駛的汽車，其中一個輪胎癟了。你把車停在路邊，把漏氣的輪胎換成小的備用輪胎。然后你可以繼續(xù)駕駛汽車，盡管減速，直到你可以更換常規(guī)輪胎?，F(xiàn)在考慮勒索軟件，IT和OT網(wǎng)絡(luò)提供了生產(chǎn)力。但是，如果IT網(wǎng)絡(luò)和OT網(wǎng)絡(luò)因為勒索軟件或惡意軟件而丟失，對IT惡意軟件不敏感的傳感器進行離線監(jiān)控，即使效率降低，也可以繼續(xù)運行，直到IP網(wǎng)絡(luò)恢復(fù)。

　　具體來說，以色列做法的好處包括：

　　原始處理傳感器信號提供有關(guān)系統(tǒng)物理操作的直接真相。

　　過程傳感器監(jiān)控系統(tǒng)不受IT或OT意外網(wǎng)絡(luò)問題、網(wǎng)絡(luò)攻擊（包括勒索軟件）或補丁管理疏忽導(dǎo)致的漏洞的影響、

　　作為過程異常檢測，系統(tǒng)可以檢測任何異常，而不僅僅是惡意的網(wǎng)絡(luò)攻擊，這意味著即使是看起來像設(shè)備故障的復(fù)雜攻擊（如Stuxnet）也可以被識別出來。

　　我積累了一個數(shù)據(jù)庫，其中記錄了近1200起控制系統(tǒng)網(wǎng)絡(luò)事件，這些事件導(dǎo)致1500多人死亡，直接損失超過900億美元。然而，通過網(wǎng)絡(luò)監(jiān)控，絕大多數(shù)都沒有被認定與網(wǎng)絡(luò)有關(guān)。過程傳感器監(jiān)測將能夠識別許多這些事件作為過程異常。

　　通過實時監(jiān)測，該系統(tǒng)本質(zhì)上是一個傳感器健康監(jiān)測系統(tǒng)，因此也可以作為一個預(yù)測性維護系統(tǒng)，可用于延長維護間隔。

　　過程傳感器監(jiān)控系統(tǒng)檢測到基于windows的OT監(jiān)控系統(tǒng)無法識別的設(shè)備影響。

　　監(jiān)控傳感器需要負責(zé)該過程的工程師的參與。

　　監(jiān)控進程傳感器提供認證，否則認證可能就不存在。

　　過程傳感器監(jiān)控系統(tǒng)適用于任何關(guān)鍵基礎(chǔ)設(shè)施，已安裝在水、電力、化學(xué)品和建筑控制中。

　　過程傳感器的監(jiān)控適用于所有基礎(chǔ)設(shè)施，因為它們都使用過程傳感。這種解決多個行業(yè)的方法符合總統(tǒng)ICS計劃的意圖。例如，新的TSA網(wǎng)絡(luò)安全要求沒有解決潛在的管道故障，因為它們是基于網(wǎng)絡(luò)的，沒有解決進程傳感器。截至2021年7月27日，美國最重要的管道之一遭到嚴重勒索軟件攻擊，美國運輸安全管理局（TSA）采取緊急措施后，關(guān)鍵管道運營商報告了220多起網(wǎng)絡(luò)安全事件。但是，我不知道最近有管道斷裂或中斷的報道，這意味著220起網(wǎng)絡(luò)安全事件不是影響管道運行的IT事件。然而，兩起事故造成了人員死亡和建筑破壞，美國運輸安全管理局的網(wǎng)絡(luò)安全指導(dǎo)方針并沒有解決這兩起與網(wǎng)絡(luò)有關(guān)的管道破裂事故。

　　傳感器監(jiān)控可以應(yīng)用于特定的供應(yīng)鏈情況，如某國制造的變壓器的硬件后門，以確保進入變壓器設(shè)備的傳感輸入不會被來自其他地方的“欺騙”信號，因為硬件后門繞過了所有的網(wǎng)絡(luò)安全保護。

　　鑒于最近JBS肉類加工廠關(guān)閉，傳感器監(jiān)測方法可以幫助食品工業(yè)證明繼續(xù)運營是合理的，因為工廠過程仍在繼續(xù)。

　　網(wǎng)絡(luò)安全的局限性

　　美國方法的缺點包括：

　　無論是IT還是OT網(wǎng)絡(luò)都不能提供過程的實際情況，并假定傳感器輸入是未受損害的、經(jīng)過驗證的和正確的。

　　網(wǎng)絡(luò)監(jiān)控是一個永無休止的“打地鼠”問題（例如，防御者想出了一個解決方案，攻擊者就會想出了一個旁路）。

　　即使是最好的網(wǎng)絡(luò)網(wǎng)絡(luò)安全也會被擊敗。

　　OT網(wǎng)絡(luò)既容易受到復(fù)雜網(wǎng)絡(luò)漏洞的影響，也容易受到一般網(wǎng)絡(luò)漏洞的影響。

　　OT網(wǎng)絡(luò)安全組織傾向于排除負責(zé)控制系統(tǒng)設(shè)計和運行的工程師。

　　總結(jié)

　　由于對關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)的攻擊永無止境，而且往往取得成功，因此需要有一種更好的方法來保護控制系統(tǒng)及其監(jiān)視和控制的過程。2021年7月28日，總統(tǒng)發(fā)布了工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全（ICS）倡議，以促進提供威脅可視性、攻擊指示、檢測和警告的技術(shù)和系統(tǒng)的部署。迄今為止，這是一種針對網(wǎng)絡(luò)威脅的基于網(wǎng)絡(luò)的方法。然而，通過保護網(wǎng)絡(luò)來保護關(guān)鍵基礎(chǔ)設(shè)施的現(xiàn)有方法并不奏效。以色列水務(wù)局認識到這一需要，并正在監(jiān)測過程傳感器的電特性，因為原始過程傳感器信號是真實的，不容易受到網(wǎng)絡(luò)攻擊。希望美國政府、保險公司、信用評級機構(gòu)和其他機構(gòu)能夠認識到真正需要得到保障的是保證照明和供水的現(xiàn)場控制系統(tǒng)設(shè)備。