5个常见的工业控制系统中的常见漏洞
工业控制系统的使用涉及广泛的关键基础设施领域,包括能源,制造,运输,水和废物管理。ICS传统上是隔离的系统,用于控制和管理工业资产,机械和系统。但是,随着我们进入第四次工业革命或工业4.0时代,这种情况正在改变。现在,随着信息技术(IT)和运营技术(OT)融合到一个集成的网络中以获取无数的收益,ICS组件中嵌入的漏洞越来越容易受到已知和未知的网络威胁的威胁。
哪些工业控制系统存在漏洞?
已知最容易受到攻击的前三个工业控制系统组件是人机界面(HMI),电力分析仪和继电器平台单元等电气设备以及监控和数据采集系统(SCADA)。几乎所有ICS组件之间都存在一些漏洞。
以下是5个常见漏洞
1、缓冲区溢出
缓冲区溢出是编程错误,导致软件代码超出缓冲区的边界,它们会覆盖相邻的存储块。这些类型的编程错误是存在输入验证过程的原因,因为它们可能会使程序崩溃,导致数据损坏或在系统中执行恶意代码。因此,必须采取正确的测试和确认方法以及进行任何适当的边界检查,以确保避免缓冲区溢出或软件故障。输入验证不当还会使诸如SCADA,HMI,PLC和DCS之类的工业控制系统对其他形式的网络攻击(例如SQL注入)开放,其中恶意代码被嵌入到应用程序中,然后传递给后端数据库以产生一般情况下不会提供的查询结果。
2、未经身份验证的协议
在工业控制系统中,认证协议用于在两个实体之间传输认证数据,以便对连接实体及其自身进行认证。身份验证协议是与计算机网络通信的最重要的保护层。当工业控制系统的协议缺乏身份验证时,连接到网络的任何计算机或设备都可以输入命令来更改,更改或操纵由ICS控制的操作。
3、弱用户认证
如上文所述,身份验证是证明网络或系统上用户身份的过程。弱用户身份验证系统将是一个容易被击败或绕过的身份验证过程。例如,基于知识的身份验证可以仅基于用户只会知道的知识(例如密码)来对用户进行身份验证,因此,由于密码管理和策略未保持最新或定期更改,因此该功能非常薄弱。
另一方面,基于身份的身份验证系统可以是非常强大的用户身份验证系统,因为它们通常在生物特征读取(例如指纹或虹膜扫描)上工作。这些生物识别读数比基于知识的系统更难模仿或绕过,而从理论上讲,仅凭好猜测就可以破解。因此,企业必须认识到其资产的价值,并提供强大的用户身份验证系统以适应这一需求,这一点至关重要。
4、不及时采用软件
在考虑到工业控制系统的漏洞时,软件的不及时采用可能不是人们首先想到的,但是未经测试的软件的不正确设置可能会导致控制系统设置中出现漏洞,并最终导致对它们的利用。如果未正确配置软件,则来自恶意黑客。补丁的不正确实施还可能导致其他问题,并不利于工业控制系统的最佳运行。在实施任何新软件或补丁之前,组织可以创建清单,以验证技术是否符合法规要求,并确保任何未决的实施都准备好执行所需的级别。
5、密码政策或管理不力
任何计算机,网络或工业控制系统中最明显的漏洞之一就是不良的密码管理。
听起来似乎很简单,但令人难以置信的是,仍然有许多企业和组织低估了体面的密码管理作为保护自己免受网络攻击的一种手段的力量。尽管使用自己知道的密码和其他在线帐户使用密码的便利性很诱人,但这种情况所带来的风险永远不值得您输入弱密码保存几秒钟。有时,密码本身可能太脆弱了,并且认为有必要的业务可能会选择更严格的身份验证过程,这些过程使用基于身份的系统读取生物特征用户数据来代替密码。
结论
2010年,已知有19个工业控制系统漏洞,而到2015年,这一数字已上升到189个。到目前为止,我们尚不确定该数字在过去几年中如何变化,但是,我们可以确定的是随着攻击者获得对这些系统的更高级知识以及对更好的黑客设备的访问权,对ICS的威胁将继续增长。
我们依靠工业控制系统来驱动使我们的生活变得更好的技术,只会产生越来越多的技术。ICS组件制造商将必须跟上并迅速发现漏洞并加以解决。将来我们可能还会看到更多的嵌入式安全性进入工业控制系统。为了击败高级攻击者的工具,将需要关键基础架构机构,网络安全软件开发人员和ICS硬件OEM进行紧密协作和持续的交叉通信。
强大的ICS网络安全系统介于混乱和网络攻击之间,并且由于所有关键基础架构都依赖ICS系统,因此,行业和相关政府机构必须定期更新全面的合规性程序,以跟上不断发展的威胁。
转帖自网络