本文讲的是SCADA之父:物理隔离没什么用,Faizel Lahkani对未来可能发生的类Stuxnet攻击敲响了警钟。
在黑客于去年12月攻破了乌克兰的电网之后,将SCADA系统进行隔离保护似乎成为了一种广受宣传的防御策略
Faizel Lahkani是 SCADA技术方面的先行者,他认为,哪怕是在最好的情况下,将此类系统隔离也将成为不切实际的努力。
大多数SCADA系统从理论上讲都是物理隔绝的,但它们没有真的从网络上断开。由于系统配置不当、系统里有某个测试链接、有人架设了WiFi网络等各种各样的原因,物理隔离都有可能被绕开。
20年前,Faizel Lakhani 使用一台PDP-11,制造了电站公司历史上的第一个SCADA系统:Ontario Hydro。SCADA技术此后变得无处不在,从工厂配电到许多其它场景都有它的身影。不过,2010年,在让离心机过载的Stuxnet出现之后,人们才开始真正考虑SCADA安全问题。
“电力控制系统在设计过程中从来没有考虑过网络安全。它们的设计目的是管理校准器和电压电流,目前它们的功能也仅限于此。”
SCADA技术最开始基于的是陈旧的协议和通讯技术。系统被设计成是互相连接的,但在设计过程中从来没有考虑过连接到开放的外网。不过,由于过去15年内TCP/IP协议的巨大成功,所有老旧的东西都被清扫一空,包括SCADA系统。
“在互联网的世界中,几乎所有东西都是互联的。”
SCADA最开始使用的协议非常老旧,比如FDDI、Token Ring等,但“运气比较不错,网络没有使用TCP/IP协议”。
目前担任合法拦截技术公司SS8公司总裁、COO的Lakhani在推广公司新技术时表示,即使在最好的情况下,入侵也会导致控制被侵蚀,因此你需要一个可见层来进行检测。这项新技术属于入侵检测领域,面向企业,而不是公司以往的政府客户。
许多与SCADA设备相似的企业系统设计的时候没有考虑到防御当今的威胁。SS8的BreachDetect通讯分析技术可以被用于检测潜在的异常行为和遭入侵设备。SS8声称,该技术与其它类似技术 (比如思科的SourceFire、SIEM、大数据分析gong’j) 相比,能够提供更好的早期入侵检测率。
即使企业的网络流量都经过加密,SS8开发的工具也能够给出关键的信息。
加密技术当然会让内容分析更难,不过,通过融合深度数据包检测和设备及用户的上下文行为,的确能够为此带来一些机会。
原文发布时间为:六月 7, 2016
本文作者:Venvoo
本文来自云栖社区合作伙伴安全牛,了解相关信息可以关注安全牛。
原文链接:http://www.aqniu.com/threat-alert/16684.html
