SCADA 2.0与网络安全新挑战——应对即将到来的工业黑客
在网络安全措施方面要保持使用最新技术,以提升对网络攻击的防御能力,这对于集成了IIoT的“SCADA 2.0”系统的安全性至关重要。
数据采集和监视控制(SCADA)系统作为过程工业的组成部分的历史已经有好几十年了,随着科技的进步,网络安全措施也需要成长。SCADA系统被用于油气管线及其他远程控制和监测的应用场合,例如输配电和供水及污水处理。
尽管技术在不断进化,但是其内在的核心功能仍然是:采集并传送来自于分布式传感器网络的数据以及发送控制指令。SCADA这个名字本身就意味着很多内容,而且经常与分布式控制系统(DCS)和其他自动化系统配置互相交换使用。
SCADA系统支持在分布式现场设备与中央控制区之间的双向通讯。例如,一家油气公司可能使用一套DCS来控制一个炼油厂,使用SCADA系统来控制进出该炼油厂的管线。其结果是,相比DCS,SCADA系统可以覆盖更长的、更加线性的距离,例如与管线配套。在很多方面,SCADA系统在其基本功能方面就是一个工业物联网(IIoT)应用的原型。
由OEM厂商进行的对大型关键设备开展的远程状况和性能监控已经在发生。其结果往往是多个SCADA系统会在相同的现场并行工作。这些系统互动的方式必须要很小心地控制。图片来源:横河公司
传统应用部署
以一个假想的远程管线泵站举例说明。所有的现场仪表和执行机构都连接到一个远程终端单元(RTU)上面,其角色是数据的整合及传输点。RTU也与所使用的回程传输介质一起工作,无论是900MHz无线电、卫星、还是任何其他必要的可以处理所需要的带宽和距离的介质。
不同的现场设备使用各种各样的通讯手段与RTU连接,不过RTU的角色是一个网关,它会将所有的信息转换成一个协议(例如Modbus或类似的专有协议),这样它就可以在同一个数据流中传输所有的信息。在现场,有一些本地的控制功能可能是必要的。RTU除了可以完成一些本地的功能之外,还可以使用可编程逻辑控制器(PLC)或其他小的控制器,不过该控制器也会将其动作通过RTU进行汇报。
对于许多这些系统来说,较旧的无线电通信方法通常被证明不可靠,因为900MHz的系统很容易受到干扰。尽管新的方式可以提供各方面的提升,但是因为成本的原因,许多管线的操作人员还是继续使用老的平台,同时承受其遗留下来的所有问题和隐患。
RTU经常成为网络攻击手段的焦点。黑客们常常会找到那些使用不安全通讯的疏于防范的RTU,所以它们就成了黑客进入网络的阻力最小的途径。
与这类网络攻击手段相关的最著名的攻击之一就发生在乌克兰西部。在2015年12月,攻击者通过取得访问分布在各个变电站的类似于RTU的设备的权限,成功将一个电网关闭了。在这个特殊的例子中,这些单元本身是薄弱的环节,因为其防范薄弱及其重要的战略位置才导致它们成为了攻击的目标。一旦被控制了,让一台断电就会引起很高层级的破坏。
SCADA 2.0与 IIOT 的发展
从SCADA概念诞生之日起,其重要性就一直没有降低过。事实上,SCADA系统的重要性一直在提升,其定义的范围也一直在扩展。使用更高程度的协议标准化以及与企业信息技术(IT)网络更强的连接性,网络被攻击的可能性也会不断增加。
业务系统使用和处理SCADA数据的趋势为系统开发创造了新的途径。共享数据往往是许多公司的命脉,但要注意的是新的威胁可能会在此过程中出现。
从另一方面看,随着IIoT与SCADA融合成为“SCADA 2.0”,开发技术也在改变着目前的状况。如果在开发完成之前还有一些时间,可以进一步考虑更多潜在的可能性,包括其设计以及它会如何影响安全方面的考虑。
对于作为网关来说的RTU,可能已经不被需要了,所以系统可以不再将其包括在内。在假想的管线泵站上的每个单独的现场仪表和执行机构会直接与无所不在的网络进行通讯,就像访问该站点的技术人员可能通过智能手机回拨到办公室一样。来自于设备的数据会上传到云,然后可以被该公司任何地方任何部门的有需要的人获取和使用。从这点上来说,很难准确说出网络长什么样子,然而,它很可能是具有4G或5G功能的,只是通讯是直接进行的。例如像低功率广域网(LoRaWAN)这样的新兴网络技术也会被包括在内。
设置好这些设施会比目前的SCADA系统更简单。它会简单到安装现场设备,通上电,然后将其连接到云端。这会完全消除在很多现场仍然进行的昂贵的、危险的人工操作。如果在储罐上可以轻松增加一台料位计,可能就再也没有必要派一个工人到现场进行维护。
然而,仍然会有需要在现场实现的控制功能。一个天然气压缩机或其他复杂的设备可能需要快速的回路控制,那就需要一台本地PLC。通过云进行控制还正在研发过程中。这些装置会利用PLC作为数据整合器,不过这还是要根据使用情况而定。
如果云架构正如其设计的那样,这种类型的系统应该是非常安全的。通过消除RTU和网关以及可靠性差的回程通讯方式,黑客就必须一次获得多个现场设备的控制权而不是通过RTU获得控制权。单个IIoT设备没有像传统意义上的有线设备那样连接到网络,因此尽管黑客可能会破坏单个设备,但是这不意味着他可以控制更大的网络。
而关于这些概念的实施情况和设想还是有差距的,因为满足所有必要需求的网络目前还不存在。网络覆盖和速度一直在提高,不过在管线泵站所在的地方,不用说5G,很多甚至是4G信号还都不能用。
协调多个SCADA系统
当前,在监控技术方面的一种新思路是在同一个地方安装多个SCADA系统,而用户可能还没意识到这一点。这是怎么做到的呢?
一套涡轮压缩机可能有其自己的系统用于远程监控性能和状况,而且可能有一套已有的SCADA系统。这些原始设备制造商(OEM)系统通常用来证实写在采购协议中的性能要求。这种监控功能会让每个人都无法欺骗谁,而且帮助负责维护的人员随时了解所发生的事情。该系统与OEM厂商的总部建立通讯,并且每天都通过其自有网络将数据发回总部。有了这样的通讯是必要的,虽然最终对于大部分设备来说都是有益的,但还是可能会引发一些问题。
例如,在某个现场运行了管线压缩机6个月的涡轮机在不明原因的情况下速度降了20%,其结果是生产流量降低。管线公司里没人要求改进,一些调查结果显示这种改进还是有涡轮机OEM厂商提出来的。OEM厂商报告中的一条信息说的是在其他地方的另一些机组上观察到的问题可能也在这里出现了,为了避免停机,有必要降产量直到可以对其进行调查。听起来这是个谨慎的想法,不过现在OEM厂商正在使用其自有的连接与设备单元通讯来控制该流程。类似这样的状况也会引发有关谁可以做什么的讨论。
OEM和管道运营商的SCADA系统总是相互关联,但必须控制它们之间的连接方式和程度。 OEM的网络成为管线运营商网络的延伸,反之亦然。
不过,还有谁连接到了OEM的网络上?如果OEM将系统监控的一部分进行外包会怎么样?既然黑客一般是通过一个比较弱的网络来攻击一个强的网络,因此有些想攻击OEM的黑客就会利用管线运营商的SCADA系统作为一个通道。
设备所有者需要面对的问题是这些状况已经是现实世界的一部分了,而且用户必须因为生产的原因而忍受这样的状况。防护的策略是对如何将两个系统互相连接要非常小心。通过一些方法来控制两个系统之间的数据流,以避免开放路径来为黑客创造机会。
应对即将到来的网络威胁
网络罪犯们长期以来都在利用这些漏铜来盗取财务数据、个人信息以及信用卡卡号。很多大型的零售商和财务服务公司都因为这个原因而成为被捕获的猎物。幸运的是,工业企业在很大程度上是没有这种可销售的数据值得盗取的。
另一种可怕的方式是勒索软件,最开始其目标为各个医院,但是在最近发生的“WannaCry”的勒索软件攻击事件中,其目标已经扩展到许多其他行业的用户了。
再回到前文中假设的管线泵站的例子,比如在中央控制室内的操作员通过SCADA系统接收到报警,其原因是管线传输已经被切断了。调用人机界面(HMI)后,他们看到在高级的画面上显示RTU已经被锁定和加密了。重新获得控制的唯一方法是付款来获得访问代码。
企业可以选择的方式有付款,或派人到现场将该设备断网,并将操作调回手动模式。这仅仅是临时性的措施,因为让一位操作员一直待在在现场是不现实的。唯一的真正解决方案是将被盗用的RTU拆掉并换新,其成本明显高于支付赎金。
这种状况可能看起来不现实,然而,随着科技和网络犯罪变得更加先进,对像这种方式的状况进行预测是值得考虑的。
SCADA系统的防护策略
SCADA系统的防护需要使用与其他工业网络一样的策略。对于这种状况,没有独特的应对方法,但请记住,SCADA系统的规模和复杂程度为坚定的黑客提供了许多机会。他们会扫描大规模的、分布广的、有弱点的管线或类似的SCADA系统,可以为他们的攻击向量提供隐蔽。下面是一些防护方面的建议:
维护远程站点的物理安全:RTU和其他联网的硬件应该处于锁定的机箱中。不使用的端口应该用环氧树脂塞住。
升级旧的系统:任何还在使用Windows 95或更新但是仍然是单机版本系统来运行设备的任何企业就是在自找麻烦。而运行不升级的软件的平台会同样糟糕。“WannaCry”病毒就是需要在那些过期的或未升级的Windows平台上才能有所作为。
使用网络识别:入侵检测系统是非常有用的工具,不过许多公司害怕它们会破坏网络。它们可以在设计时做到对网络低影响和被动响应,使其在运行的网络上更容易使用。
人员培训:在网络防护方面,工人仍然是最薄弱的环节。社交工程、网络钓鱼和鱼叉式网络钓鱼仍然是有效的黑客工具。不要打开未知的附件,不要插入未知的U盘,等等。
维护网络流量日志:如果你不能分辨对错,一旦有什么事情发生,你就很难知晓了。记录可以帮助确定基准,因此可以帮助确定在哪里发生过入侵以及造成了什么破坏或企图造成什么破坏。
使用可用的网络安全资源:国际自动化协会以及美国国家标准技术研究所ISA/IEC 62443提供了许多有益的资源,并且为网络管理者和防护人员提供了最佳实践可以参考。
使用新技术来实施更多的网络安全措施会变得更加简单,不过很多企业发现他们还在使用以前的设备和软件。如果网络防护不能做到跟上时代变化,这些设施会变得越来越脆弱。虽然这项工作是很有挑战的,但还是可以做到的。防护措施不一定要做到密不透风才会有效。抵御黑客的程度只需要让他们感受到阻力去寻找更容易的目标即可。
本文来自于《控制工程中文版》(CONTROL ENGINEERING China )2018年4月刊《技术之源》栏目,原标题为:SCADA 2.0与网络安全的挑战
————本期杂志封面————