工業控制系統的使用涉及廣泛的關鍵基礎設施領域,包括能源,制造,運輸,水和廢物管理。工業控制系統以前是隔離的系統,用于控制和管理工業資產,機械和系統。但是,隨著我們進入第四次工業革命或工業4.0時代,這種情況正在改變。現在,隨著信息技術(IT)和運營技術(OT)融合到一個集成網絡中以獲取無數收益,嵌入到工業控制系統組件中的漏洞更容易受到已知和未知網絡威脅的威脅。
哪些工業控制系統存在漏洞?
已知最容易受到攻擊的前三個工業控制系統組件是人機界面(HMI),電力分析儀和繼電器平臺單元等電氣設備以及監控和數據采集系統(SCADA)。幾乎所有工業控制系統組件之間都存在一些漏洞。以下是5個常見漏洞:
1、緩沖區溢出
緩沖區溢出是編程錯誤,導致軟件代碼超出緩沖區的邊界,它們會覆蓋相鄰的內存塊。這些類型的編程錯誤是存在輸入驗證過程的原因,因為它們可能會使程序崩潰,導致數據損壞或允許在系統內執行惡意代碼。因此,必須采取正確的測試和驗證方法以及任何適當的邊界檢查,以確保避免緩沖區溢出或軟件故障。輸入驗證不當還會使諸如SCADA,HMI,PLC和DCS之類的工業控制系統容易受到其他形式的網絡攻擊(例如SQL注入)的攻擊,其中惡意代碼被嵌入到應用程序中,然后傳遞給后端數據庫以產生惡意代碼。通常情況下不會提供的查詢結果。
2、未經身份驗證的協議
在工業控制系統中,認證協議用于在兩個實體之間傳輸認證數據,以便對連接實體及其自身進行認證。身份驗證協議是與計算機網絡通信的最重要的保護層。當工業控制系統的協議缺乏身份驗證時,連接到網絡的任何計算機或設備都可以輸入命令來更改,更改或操縱由ICS控制的操作。
3、弱用戶認證
身份驗證是證明網絡或系統上用戶身份的過程。弱用戶身份驗證系統將是一個容易被毆打或繞過的身份驗證過程。例如,基于知識的身份驗證可以僅基于用戶只會知道的知識(例如密碼)來對用戶進行身份驗證,因為密碼管理和策略未保持最新或有規律地更改,因此它的功能非常強大。
另一方面,基于身份的身份驗證系統可以是非常強大的用戶身份驗證系統,因為它們通常在生物特征讀取(例如指紋或虹膜掃描)上工作。這些生物識別讀數比基于知識的系統更難模仿或繞過,而從理論上講,僅憑一個很好的猜測就可以破解。因此,企業必須認識到其資產的價值并提供適合的強大用戶身份驗證系統,這一點至關重要。
4、不及時采用軟件
在考慮到工業控制系統的漏洞時,軟件的不及時采用可能不是人們首先想到的,但是未經測試的軟件的不正確設置可能會導致控制系統設置中出現漏洞,并最終導致對其的利用。如果未正確配置軟件,則來自惡意黑客。補丁的不正確實施還可能導致其他問題,并且不利于工業控制系統的最佳運行。在實施任何新軟件或補丁之前,組織可以創建清單,以驗證技術是否符合法規要求,并確保任何未決的實施都準備好執行所需的級別。
5、不良的密碼政策或管理
任何計算機,網絡或工業控制系統中最明顯的漏洞之一就是不良的密碼管理。
聽起來似乎很簡單,但令人難以置信的是,仍然有許多企業和組織低估了體面的密碼管理作為保護自己免受網絡攻擊的一種手段的力量。盡管使用您知道的密碼和用于其他在線帳戶的便利性很吸引人,但是這種情況下所帶來的風險永遠不值得您輸入弱密碼保存幾秒鐘后再承擔。有時,密碼本身可能太脆弱,因此認為有必要的業務可能會選擇更嚴格的身份驗證過程,這些過程使用基于身份的系統讀取生物特征用戶數據來代替密碼。
