工业控制系统(Industrial control systems)或ICS系统是控制工业生产和运作的设备和系统。它们包括监控电力、天然气、水和其他能源基础设施和生产运营的系统,以及控制制造工厂、工业设施、物流运营和其他关键基础设施要素的系统。我们会发现ICS系统有各种各样的现代应用,包括作为建筑和设施自动化系统、工作流程自动化系统和流程自动化系统使用。黑客们喜欢以工业控制系统为目标,原因有很多:
让我们来讨论三种不同类型的工业控制系统:监督控制和数据采集(Supervisory Control And Data Acquisition)或SCADA系统,分布式控制系统(Distributed Control Systems,,缩写为DCS,以及可编程逻辑控制器(Programmable Logic Controllers),更简单地称为PLC。
工业系统并不是唯一在过去十年中经历了重大变化的系统。随着我们对物联网的适应,嵌入式计算机系统现在是我们日常生活的一部分。在我们的家里或当地的消费电子商店走动,很难不看到大量的设备,现在被称为智能(Smart)XX。 所有这些智能的意思是,它们是由计算机控制和网络连接的。嵌入式设备技术开始于我们家庭中一些更常见的计算设备,如游戏机和打印机,并使它们首先连接到网络。
制造商很快意识到,人们希望通过无线连接来实现多人游戏和无需电缆的打印,然后这种技术就诞生了。接着,无线智能设备遍布整个家庭,甚至随着智能汽车的出现而进入车库,将车内计算系统暴露给司机和乘客。所有这些设备也伴随着安全挑战:
除了家庭自动化和车辆,我们现在还有监测我们健身和医疗状况的可穿戴智能设备,以及将音频和视频监测与运动检测算法相结合的监控系统。我们还看到物联网包括影响医院和医疗系统的传感器和设施自动化系统、飞机和无人机、公用事业智能电表以及许多其他应用。
嵌入式设备需要特别的安全关注,无论它们是在家庭还是商业环境中出现。为了安全地使用智能设备,我们能做的最重要的一件事就是检查系统上可能存在的任何薄弱的默认值。如果设备有一个默认的管理密码,请立即改变它。黑客知道这些默认值,如果我们把设备连接到互联网上,我们的设备很可能在几分钟内被攻破。
我们还必须确保智能设备定期接受安全更新。更新驱动这些嵌入式设备的软件与更新传统计算机上的操作系统一样重要,甚至更重要。黑客经常发现嵌入式设备的漏洞,如果不定期打补丁,就会导致严重的风险,不仅是我们的智能设备,而且是我们的整个网络受到破坏。不同设备的更新过程有很大不同。有些设备有一个简单的自动更新设置,允许设备在有更新的时候下载和安装,而不需要用户干预。其他设备缺乏这种自动功能,需要用户检查网站的更新,并手动下载和应用它们。我们必须了解自己家庭和企业计算设备中所有智能设备的更新要求,并认真遵守。
在非常敏感的环境中,如工业控制系统,我们应该更进一步,建立一个正式的固件版本控制系统(Formal firmware version control system),确保在我们的所有系统组件上安装适当的固件版本。对该固件的更新只能在正式的变更控制流程的支持下进行,以评估风险并管理推出的情况。
在一些特殊情况下,不能对已知的漏洞进行修补。必须运行易受攻击的系统的组织可以把Security Wrappers作为一种替代方法。在这种方法中,设备不能通过网络直接访问,而是通过一个包装系统到达,该系统监控输入和输出的安全问题,只通过来自网络系统的审查请求。我们可以把包装器看成是嵌入式设备的一个小型防火墙。
我们可以确保嵌入式系统的控制多样性和冗余的一个方法是将它们放在一个安全的网络环境中。这是为了保护智能设备不受攻击,并保护网络上的其他系统不受受损的智能设备影响。这种屡试不爽的技术被称为网络分段(Network segmentation)。
网络分段,简单地说就是把不受信任的设备放在一个属于自己的网络中,在那里它们不能访问受信任的系统。在嵌入式设备的背景下,它可能看起来像这样:
我们有标准的企业有线和无线网络,其中有笔记本电脑、台式机和服务器连接到它们,然后有一个独立的网络挂在防火墙上,其中包含用于控制工业流程的嵌入式设备。我们将嵌入式系统放置在一个隔离的DMZ区域中,允许它们在必要时相互访问和访问互联网,但也允许我们严格控制这种访问,并限制这些设备对你网络上其他系统的访问。网络分段也许是你可以实施的最重要的控制,以保护嵌入式系统。
应用防火墙(Application firewalls)在保护我们的嵌入式系统方面也发挥着重要作用。特别是当这些系统被不信任的人访问时。有网络接口的嵌入式系统很容易受到许多与我们发现的更复杂系统相同的网络应用程序攻击。它们可能容易受到序列注入、缓冲区溢出和跨网站脚本攻击(Sequel injection, Buffer overflows and Cross-site scripting)。当应用防火墙放置在嵌入式系统前面时,监测入站流量,寻找恶意活动的迹象,当他们检测到这种类型的攻击流量时,可以在它到达潜在的脆弱的嵌入式设备之前阻止它。这些元素都是分层防御(Layer defense)的一部分。
物联网正在将技术带入许多工业、机械、家庭和运输系统。我们经常把物联网设备的技术组件称为嵌入式系统,因为它是一个完整的计算机系统,嵌入到另一个更大的系统中。 例如,我们可能会发现一台办公室打印机或多功能设备实际上有一个完整的计算机系统在里面,运行一个通用的操作系统。这个系统作为一个打印服务器来处理来自其他网络设备的打印作业,作为一个网络服务器来促进打印机的管理,作为一个电子邮件服务器来发送扫描的文件到电子邮件地址。嵌入式系统在相机中也有类似的作用,它们可以执行图像处理,将相机连接到网络,并允许用户直接从相机中与社交媒体账户互动。我们还会在更大的运输系统中发现嵌入式系统。半自动驾驶汽车当然依赖于技术,但任何现代汽车也是如此,它们在引擎盖下使用计算机来帮助处理燃料混合物、GPS和许多其他功能。现代飞机基本上是一个大型飞行计算机,协助飞行员进行导航,为乘客提供娱乐,甚至在自动驾驶模式下驾驶飞机。而无人机甚至完全取消了机载人类飞行员。
有两个主要的技术涉及嵌入式系统,片上系统(Systems on a chip)和实时操作系统(Real-time operating systems或RTOSs)。
1.蜂窝网络
嵌入式系统经常在不寻常的环境中运行,传统的有线和WIFI网络连接不可用。这可能是在遥远的工业厂房里,甚至是在野外。我们需要专门的通信技术来协助处理这些情况。虽然wifi网络可能无法使用。使用4G或5G技术的传统蜂窝网络可能仍然可以填补这一空白。设备可以配备蜂窝调制解调器(Cellular modems),作为一种内置技术或附加技术,然后使用普遍可用的蜂窝网络进行通信。使用蜂窝通信的设备将需要一个用户身份模块或SIM卡。SIM卡通常是硬件卡,我们需要把它插入手机或其他蜂窝设备中,以验证供应商的网络。但SIM卡也可以以数字形式提供,用于不接受物理SIM卡的设备。
2.ZigBee和Z-Wave
ZigBee和Z-Wave标准是为短距离通信设计的。它们通常出现在家庭自动化系统中。而在无法使用蜂窝网络的更偏远的情况下,设备可能依赖于射频通信,使用窄带或基带频率进行更远距离的通信。
3.卫星通信
卫星通信也是远程设备的一个可行的选择。尽管在许多应用中,使用卫星可能不具有成本效益。
整理资料来源:
https://www.linkedin.com/learning/paths/become-a-comptia-security-plus-certified-security-professional-sy0-601