預(yù)防新一代“震網(wǎng)”病毒

        專家一致同意，按深度防御的方法是防止針對(duì)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)入侵的最佳方法。這里介紹兩種脫穎而出的技術(shù)，為深度防御的策略提供更多的方法。

        控制安全部門(mén)被去年夏天發(fā)現(xiàn)的“震網(wǎng)”（Stuxnet）蠕蟲(chóng)所震懾，這是首次發(fā)現(xiàn)專門(mén)針對(duì)工業(yè)控制系統(tǒng)（ICS）的惡意軟件。而且現(xiàn)在已經(jīng)發(fā)現(xiàn)這樣的蠕蟲(chóng)非常瘋狂，很多人相信其他類似情況還一定會(huì)出現(xiàn)。

        “有人已經(jīng)證明了一種概念：你可以發(fā)動(dòng)針對(duì)一個(gè)工業(yè)控制系統(tǒng)的進(jìn)攻，攜帶一個(gè)面向工業(yè)控制系統(tǒng)的有效載荷，不僅在理論上可以演示，而且在實(shí)際中可以操作。因此我們還會(huì)看到更多類似情況的發(fā)生，這幾乎是不可避免的，”專家評(píng)論道。

        “震網(wǎng)”當(dāng)時(shí)針對(duì)的目標(biāo)是西門(mén)子（Siemens）的控制系統(tǒng), 這是一家德國(guó)自動(dòng)化的巨頭，蠕蟲(chóng)使用過(guò)去不知名的微軟操作系統(tǒng)漏洞，獲取了對(duì)計(jì)算機(jī)系統(tǒng)的訪問(wèn)，然后再對(duì)自動(dòng)化控制系統(tǒng)進(jìn)行攻擊。專家警告：控制系統(tǒng)的制造商會(huì)成為今后攻擊的目標(biāo)，特別是使用流行的微軟技術(shù)而進(jìn)入ICS空間。

        自動(dòng)化的擁有者和操作員應(yīng)采取哪些步驟來(lái)保護(hù)他們的控制系統(tǒng)資產(chǎn)呢？因?yàn)椤闭鹁W(wǎng)”蠕蟲(chóng)是通過(guò)通用串行總線（USB）設(shè)備感染系統(tǒng)的，所以要實(shí)施一項(xiàng)嚴(yán)格的USB設(shè)備在控制環(huán)境中的管理政策－或者簡(jiǎn)單地使所有USB端口失效－可以對(duì)這種特殊的惡意軟件起屏蔽作用，這是一些專家的建議。但工業(yè)界的同仁也同意，沒(méi)有一種單一方法能夠預(yù)防所有進(jìn)攻。將來(lái)攻擊的方向目前未知，有可能是被稱為“0天”病毒的攻擊－就像”震網(wǎng)”一樣－可以通過(guò)以前不知名的系統(tǒng)漏洞，目前還沒(méi)有反病毒軟件可以提供保護(hù)。

深度防御

        通常，工業(yè)網(wǎng)絡(luò)安全從業(yè)人員推薦使用深度防御策略做為防止黑客侵入ICS網(wǎng)絡(luò)的最佳方法。這個(gè)概念包含使用多個(gè)保護(hù)層和不同防御方法，所以如果攻擊者通過(guò)一道保護(hù)層或者一種防御策略，新的保護(hù)層或者新的防御策略就馬上呈現(xiàn)，給攻擊者的進(jìn)攻帶來(lái)難度。常用的防御方法包括物理控制、人員政策和管理控制、電子測(cè)量，諸如防火墻、加密和反病毒工具。

        多種電子保護(hù)的方法已經(jīng)不斷成熟，并且近年來(lái)很好地抗擊了ICS的網(wǎng)絡(luò)入侵者和惡意軟件。各種各樣的工業(yè)網(wǎng)絡(luò)安全咨詢公司，以及控制系統(tǒng)供應(yīng)商，可以幫助用戶使用最新技術(shù)和已經(jīng)證明的知識(shí)，應(yīng)用于控制系統(tǒng)環(huán)境。

        在本文中，我們將介紹兩種較為突出的新技術(shù)，可能對(duì)ICS網(wǎng)絡(luò)來(lái)說(shuō)也比較陌生。一個(gè)是著名的白名單技術(shù)，建議者認(rèn)為它對(duì)付“震網(wǎng)”非常有效。第二個(gè)被稱為單向通信技術(shù)，或稱為數(shù)據(jù)二極管－它是基于硬件設(shè)備的技術(shù)。
   
        上述兩個(gè)方法為ICS網(wǎng)絡(luò)提供了一種“銀彈”，可減緩各種類型的網(wǎng)絡(luò)威脅。最近，這兩種方法引起了一些工業(yè)行業(yè)的興趣和關(guān)注，諸如電力設(shè)施。在某些情況下，這些方法還可以提供更多的工具，用于ICS多層保護(hù)的實(shí)施。

白名單

        白名單的概念與“黑名單”相對(duì)應(yīng)。黑名單啟用后，列入到黑名單的用戶（或IP地址、IP包、郵件、病毒等）被阻止通過(guò)。當(dāng)設(shè)立了白名單后，列入進(jìn)白名單的用戶（或IP地址、IP包、郵件等）則可優(yōu)先通過(guò)，不會(huì)被當(dāng)成垃圾郵件拒收，安全性和快捷性都大大提高。

         專家用這樣的語(yǔ)言解釋這種技術(shù)：“白名單為所有已證明可執(zhí)行文件提供了一種碎片加密。無(wú)論操作系統(tǒng)何時(shí)試圖加載一個(gè)可執(zhí)行文件，包括動(dòng)態(tài)鏈接庫(kù)（DLL）和其他類型的可執(zhí)行文件，碎片會(huì)被重新計(jì)算，并且與已證明的文件表進(jìn)行比較。如果沒(méi)有相同的文件存在，就意味著加載的文件要么不允許運(yùn)行，要么已經(jīng)損壞?！?BR>  
        這就確保了只有干凈的、已證明的應(yīng)用可以執(zhí)行，白名單阻止了所有無(wú)授權(quán)的應(yīng)用，包括與“震網(wǎng)”差不多的“0天”病毒，而它以前是未知的。這與黑名單處理病毒的方法不一樣，黑名單使用先前中毒的經(jīng)驗(yàn)，對(duì)其的特征進(jìn)行分析，然后開(kāi)發(fā)一個(gè)“簽名”來(lái)反對(duì)它；這個(gè)簽名之后下載到系統(tǒng)，防止將來(lái)出現(xiàn)相同的情況發(fā)生，用于反對(duì)特定的惡意軟件，而使系統(tǒng)得到相應(yīng)的保護(hù)。從這里可以看出，黑名單的方法比較被動(dòng)，是在病毒發(fā)生后才采取行動(dòng)，并且只針對(duì)一種病毒；而白名單只運(yùn)行已經(jīng)證明的程序，新的病毒根本沒(méi)有機(jī)會(huì)進(jìn)入系統(tǒng)，所以是一種主動(dòng)防御。

        在2010年8月19日關(guān)于“震網(wǎng)”的網(wǎng)絡(luò)研討會(huì)中，工業(yè)防衛(wèi)者的安全方案副總裁提供了一個(gè)示范，演示了當(dāng)一個(gè)受感染的USB設(shè)備插入進(jìn)一個(gè)未保護(hù)的計(jì)算機(jī)時(shí)，成功阻止了“震網(wǎng)”蠕蟲(chóng)。“白名單要做的事情就是預(yù)防它”該副總裁說(shuō)。

        雖然白名單概念已經(jīng)出現(xiàn)了很多年，工業(yè)網(wǎng)絡(luò)追趕IT的步伐還是有點(diǎn)慢，因?yàn)橐芾淼膯?wèn)題經(jīng)常變化。這包括在IT世界，需要頻繁的補(bǔ)丁程序和新病毒簽名的下載。每當(dāng)一種變化發(fā)生，這種變化必須加到白名單中。“如果在我的PC機(jī)上，經(jīng)常使用新軟件和新應(yīng)用，這對(duì)白名單是一種痛苦?！币粋€(gè)安保公司工業(yè)安全部的主技術(shù)官說(shuō)。

        但白名單“實(shí)際上很好適應(yīng)了”工業(yè)控制系統(tǒng)，這位技術(shù)官提到，因?yàn)閭鹘y(tǒng)上ICS有嚴(yán)格的更改規(guī)則。事實(shí)上，控制應(yīng)用的改變比IT環(huán)境的變化要慢得多?！爱?dāng)你做好了像人機(jī)界面HMI這樣的畫(huà)面時(shí)，在6－8個(gè)月之內(nèi)是不會(huì)改變的，并且要改變也是非常慎重的，一般在升級(jí)和打補(bǔ)丁周期，這么說(shuō)來(lái)，使用白名單是比較適合的，” 技術(shù)官認(rèn)為。

[DividePage:NextPage]

緩慢變化

        “在控制系統(tǒng)使用白名單的好處是控制系統(tǒng)的相對(duì)穩(wěn)定性。這是對(duì)它認(rèn)可的最佳描述，因?yàn)槊麊蔚淖兓浅＞徛?，所以你不?huì)遇到一天有若干個(gè)新（反病毒）簽名的問(wèn)題，”工業(yè)防衛(wèi)者的副總裁增加道，“你保佑你的軟件，并且運(yùn)行它，這就是全部。不需要變化。”

        在對(duì)能源部門(mén)提供控制中心咨詢時(shí)，弗勞爾控制中心解決方案LLC主席－湯姆弗勞爾認(rèn)為，白名單特別適合用于控制環(huán)境，在分段網(wǎng)絡(luò)上實(shí)施，弗勞爾解釋道“當(dāng)你進(jìn)行了網(wǎng)絡(luò)的劃分，你可以真正得到白名單的詳細(xì)內(nèi)容。你可以說(shuō)，‘我僅想這5個(gè)應(yīng)用運(yùn)行在這個(gè)特殊網(wǎng)段?！绻渌魏螒?yīng)用試圖運(yùn)行在這個(gè)網(wǎng)段，那它會(huì)引起標(biāo)記變化，并且產(chǎn)生報(bào)警。這非常有效?！?BR>   
        弗勞爾以前是主設(shè)備控制系統(tǒng)經(jīng)理，知道白名單的方法早在2004年或者2005年就已經(jīng)用于領(lǐng)先的電廠設(shè)施中。他對(duì)市場(chǎng)出現(xiàn)更多的商用白名單產(chǎn)品并不感到驚奇，這些產(chǎn)品瞄準(zhǔn)了特定的領(lǐng)域。

        艾默生過(guò)程管理與核心軌跡的合作，為公司提供白名單技術(shù)的產(chǎn)品，做為其Ovation安保中心（OSC）的一個(gè)部分，銷售到發(fā)電和水/污水處理行業(yè)。

        “要實(shí)現(xiàn)縱深防御的理念，我們有多種解決方案做為OSC的一部分，強(qiáng)化整體安保形態(tài)。核心軌跡產(chǎn)品是其中的一種，用于防止惡意軟件。并且我們有其他工具針對(duì)補(bǔ)丁管理和安保信息管理，”O(jiān)vation的安保項(xiàng)目經(jīng)理解釋到。第一個(gè)OSC系統(tǒng)在2009年秋交付用戶, 并且艾默生現(xiàn)在已有大約十幾套OSC系統(tǒng)在北美的現(xiàn)場(chǎng)運(yùn)行。

較少補(bǔ)丁

        在艾默生同一個(gè)部門(mén)的網(wǎng)絡(luò)和安保技術(shù)經(jīng)理指出，白名單方法已被證明對(duì)電力設(shè)施具有獨(dú)特的吸引力，可以滿足北美電力可靠性公司（NERC）的反惡意軟件需求—關(guān)鍵基礎(chǔ)架構(gòu)保護(hù)（CIP）標(biāo)準(zhǔn)，覆蓋了整個(gè)電力行業(yè)，這個(gè)行業(yè)是由北美電力可靠性公司管理的。

        對(duì)于電力設(shè)施，在地方有一份白名單解決方案，可以減少安裝補(bǔ)丁程序和對(duì)防病毒軟件的頻繁升級(jí)。CIP－007要求新補(bǔ)丁和升級(jí)程序必須要有30天的評(píng)估和測(cè)試，然后才能用到現(xiàn)場(chǎng)。對(duì)于白名單，也要進(jìn)行30天在視窗下的評(píng)估，但白名單減少了用戶要進(jìn)行固定期限的維護(hù)、安裝和貯運(yùn)成本，有了更多的靈活性。

        換個(gè)說(shuō)法，根據(jù)CoreTrace的市場(chǎng)副總監(jiān)提到，即使一個(gè)蠕蟲(chóng)、木馬或者其他惡意件擺脫防衛(wèi)并且滲透到一個(gè)設(shè)備中，白名單軟件仍可以防止它的執(zhí)行。“因?yàn)樗辉诎酌麊紊?，所以它無(wú)法運(yùn)行，這給了用戶回應(yīng)NERC的能力，并且說(shuō)‘是的，我們知道那里的漏洞，我們有對(duì)策和測(cè)試步驟，’”。

        不令人驚訝，核心軌跡的市場(chǎng)副總監(jiān)聲明：他的公司看到白名單做為“反病毒的未來(lái)?！彼c縱深防御的概念一致，他也相信兩種技術(shù)會(huì)共存?！鞍酌麊未蛩阌糜诘谝坏婪烙鶛C(jī)制，而“防病毒”黑名單將用于報(bào)告和清除?！?/FONT>