【专家博客】优质的SCADA安全操作中心
- 关键词:SCADA,安全操作中心
- 作者:David Alexander
优质的SCADA安全操作中心
David Alexander于2012年9月19日上传
为了解SCADA系统使用者面临的问题,Regency IT 咨询公司团队想建立一个基本的测试装置。装置的目标是帮助我们了解使用者面临的挑战并与工业技术和协议进行互动。
在探索如何提供保护之前,我总是寻求将事物“大卸八块”来了解其内部的结构原理。你可以说这是回到信息安全的第一原则,在我看来这只是常识和方法问题。
SCADA安全操作中心(SOS)的发展
SOS最初的模型是工作台上的箱子和电线。我们可以对其进行尝试和更改,增加或去除部件,并且尝试那些挑战传统思维的想法。我们从未假定直觉方法是最好的。相反,我们有意地将其带入工作实践中并观察它的效果(我们故意在模型中加进不和谐因素并观察后续反应)。我们尝试某些“莫名其妙”的做法,并采用墨菲定律,因为在现实生活中经常会发生一些道理上讲不通的状况。
从SOS的原型汲取了经验以后,我们开始致力于第二代版本。这一版本并不仅仅是作为测试装置,也承担示范演示系统的角色。我们并不想要一个事先录制好的SCADA安全demo,用录像机配上剧本。这样的话就太单调乏味了。
相反,我们想要为人们展现真实情况,并且让他们能与之互动。我们使用了多芬诺SCADA安全模拟器(Tofino SCADA Security Simulator),大型版,以此为起点,然后加上了触摸屏和实际的操作系统来控制它。这一版本被称为“盒子里的安全操作中心”,后来很快就成了“盒子中的SOC”。我不敢居功,不管是这版本的名字还是它背后的技术,都是我们的运营经理Dan Hanman和他的团队的功劳。
这版“盒子中的SOC”包含了多芬诺安全应用的控制操作站,一套完整运行的McAfee SIEM(安全信息和重大事件管理程序)和他们的白名单技术。有防火墙,开关,还有所有缆线和电力设备。这个盒子就隐藏在下图中展台的基座里。
上图为Regency IT“盒子中的安全操作中心”图片来源:Regency IT Consulting.
它可用于示范和测试,外形美观并可携带
只要带着三个旅行箱到现场,我只需一个多小时,就能架好设备、完成设置并启动系统。是的,如我所说,是旅行箱。这套系统不仅有效,而且也是能够航空携带的!在客户向我们提出紧急需求时,我们能立即为他们带去防御方案——而且我们也能当场为您做到!
使用这套系统能让我们在非防御、部分防御和完全防御状态下运行来自不同方向的多种攻击。我们能够演示其不同的作用,以及不同防御状态的功用,和相关控制监测工具的反应。
这并不是毫无根据的虚话,我们已经运行了上百次现场演示,包括近期在阿布扎比举办的国际网络安全论坛能源与公用设施会议上的演示。Eric Byres 在此次会议上有机会自己检查和运行系统,现在就交给Eric Byres请他说几句……
不只是SCADA安全Demo
David的“盒子中的安全操作中心”是工程领域很令人吃惊的一步。市面上有很多SCADA demo(包括我们的多芬诺SCADA安全模拟器),他们能为你演示一两个厉害的SCADA攻击。甚至有几个demo还加入了解决方案。但是Regency IT所做的是建立了一系列不同的攻击脚本,以代表现实世界中典型的电力、石油或天然气公司会遇到的威胁。
然后他们将许多独立的安全产品组合到一起,也提供了一个真实的防御脚本。没有公司能够单纯依靠一个技术去解决所有的安全需求,因此一个能表现出多种技术方案demo更贴合实际。
综上所述,Regency IT致力于在PLC、HMI、防火墙、白名单和SIEM(安全信息和重大事件管理程序)之间实现无缝对接。例如,发布一个以Modbus为基础的针对PLC的攻击,当然随后多芬诺防火墙会对此进行防御。但是它随后就整合进SIEM系统用于以仪表板形式反映类似攻击对整个SCADA和IT网络产生的影响。这种整合不仅是Demo的作用——它证明了整合安全策略是可以建立的。
如果你有机会看到盒子里SOC的demo,别错过。它将为你打开眼界,告诉你在当今市场使用技术能做到什么。
2012年9月20日更新
盒子中的安全操作中心”已经被Utilities Middle East授予了改革创新奖提名。以下是媒体对此的报道:
公用设施的运营人员越来越认识到自动化系统面临来自网络的威胁,对此,Cassidian 网络安全公司最近发布的安全操作中心就恰逢其时。使用工业防火墙,白名单技术和深度包数据检测技术,该企业已经建立了一套整合系统用于保护国家关键基础设施信息系统安全。
(编者注:Cassidian是Regency IT 咨询公司的母公司)
欲了解更多行业资讯与技术分享,请关注我们的官方网站和工控网更新!