SCADA系統安全就像一顆“定時炸彈”
通過對120多個管理發電廠、煉油廠和其他關鍵國家基礎設施的網絡和系統的安全進行評估分析,Red Tiger Security公司發現了數以萬計的安全漏洞、過時的操作系統和未經授權的應用。
Red Tiger Security 是一家專門從事國家關鍵基礎設施安全的公司,其創始人兼首席顧問Jonathan Pollet在周三的黑帽大會2010上指出并分析了此次評估(這項評估歷經了九年的時間)。Pollet說,維護關鍵基礎設施的公司必須提高其安全性。
Pollet說,“我希望我們的消息可以給大家一些警示。”
雖然運行監控和數據采集系統(SCADA)的公司經常聲稱這些系統是安全的,因為他們與外部世界是斷開的,并被許多物理和技術安全控制所包圍,但是,Pollet的評估分析結果顯示事實正好相反。
Pollet說,一些設施在計算機上運行Windows 95,并且運行設施所需的關鍵機器還安有未經授權的軟件,從點對點應用到游戲到色情。
Pollet說,許多未經授權的軟件中含有主要缺陷,其中包括用于連接到互聯網的下載程序。我們還發現許多應用程序被連接到游戲軟件的服務器、成人影片目錄腳本和網上約會服務數據庫。在一個設施中,安全專家發現其核心運作機器安裝有流行的Counter Strike游戲,它還連接到一個外部服務器。
“不需要零日漏洞,” Pollet說,“已經有很多方式能使系統陷入風險。” 聯邦政府近幾年來越來越多的考慮關鍵基礎設施和SCADA系統的安全性問題。由McAfee公司和美國戰略與國際研究中心(CSIS)發表的一份報告指出,許多發達國家的關鍵基礎設施的安全問題亟需改善。該報告調查了600名IT和安全管理人員,三分之二的受訪者承認,他們的SCADA系統已連接到IP網絡或互聯網,存在一些沒有解決的安全問題。
Pollet發現,一些中央SCADA系統可以通過它們所連接的業務系統來訪問。其他的攻擊是由配置問題、防火墻程序不當和安全系統維護不善導致的。Pollet稱SCADA系統和業務系統之間的區域為非軍事區(DMZ),一個“無人地帶”,其中企業IT專業人士不知道如何管理SCADA系統操作數據,而SCADA運營商則認為其他人在管理基礎設施。大約有一半的安全漏洞(18000個)在中間層被發現。
許多漏洞包含在Web服務器、業務應用程序,以及和它們連接的數據庫服務器上。大多數系統都遭受常見錯誤,容易受到SQL注入、跨站點腳本和拒絕服務攻擊。超過一半的系統(62%)在基于微軟的操作系統上運行。紅帽Linux系統占11%。
更糟糕的是,Pollet發現漏洞向公眾披露的時間與控制系統操作人員發現這個漏洞的時間相差近一年(330天)。在某些情況下,運營商甚至會花更長的時間來部署一個修補程序,因為一些系統不容許脫機,而其他的設施太重要而不能去冒險安裝補丁程序(可能會破壞關鍵程序)。
北美電力可靠性公司(NERC)維護關鍵基礎設施保護標準,獨立組織國際自動化協會維護類似的標準(ISA S99)。Pollet說,這兩個標準提供了一個共同的安全框架,可以用來改善設施的安全。
【編輯推薦】
