https://ad.doubleclick.net/ddm/trackclk/N1114924.376585INFORMATIONSECURI/B26202047.309881952;dc_trk_aid=502706469;dc_trk_cid=155369661;dc_lat=;dc_rdid=;tag_for_child_directed_treatment=;tfua=;ltd=
https://ad.doubleclick.net/ddm/trackclk/N1114924.376585INFORMATIONSECURI/B26202047.309881952;dc_trk_aid=502706469;dc_trk_cid=155369661;dc_lat=;dc_rdid=;tag_for_child_directed_treatment=;tfua=;ltd=

觀點

從美國石油管道攻擊,找出降低安全風險的三個 OT 安全最佳實務

2021 / 07 / 16
編輯部
從美國石油管道攻擊,找出降低安全風險的三個 OT 安全最佳實務
最近,美國國土安全部在發生 Colonial Pipeline 石油管道網路威脅事件後發佈了與石油和天然氣產業相關的安全指導建議,並提供三種可在 OT 基礎設施中用於阻斷攻擊路徑的實用方法。

石油和天然氣工業在很大程度上必須依賴各種不同的 OT 自動化作業系統。從尋找、開採、提煉、混合、協作,以至於最終交付石油和天然氣所需的各種操作都需仰賴 OT 基礎設施。在關鍵基礎設施 OT 環境中發生的攻擊事件,包括近期的美國殖民地管道公司安全事件,突顯了關鍵基礎設施設備容易遭受網路安全性漏洞、攻擊和潛在當機的威脅。

2021 年 5 月 28 日,美國國土安全部 (DHS)— 運輸安全管理局(TSA) 發佈了針對管道作業的安全指南 2021-1。雖然,先前已頒佈過其他石油和天然氣產業標準(詳下表),但該指令的發佈是為了因應美國管道營運的持續安全威脅。它代表保護關鍵基礎架構環境的一個重要轉捩點,否則這些環境可能會面臨更多風險。

DHS-TSA 2021-1 《管道安全指南 2021-1》在三個關鍵領域為管道營運商提供指南:
  • 管道營運的所有者和經營者必須向網路安全和基礎設施安全局 (CISA) 通報安全事件。
  • 必須指派一名網路安全協調員,且該協調員必須 24/7 工作的性質,以協調安全實務,滿足指令中提及的具體要求,並能在事件發生時做出反應。
  • 石油和天然氣設施必須評估其目前的網路安全實務和活動,以便能根據 TSA 的 2018 年管道安全指南應對網路風險,判斷目前網路安全實務與指南中所列的網路安全實務之間的差距,並制訂補救計畫以填補這些差距。
雖然 DHS-TSA 2021-1 指令強調了與石油和天然氣營運商相關的關鍵需求,但對大多數企業來說,最大的挑戰是該如何實施該指令的三個關鍵組成部分:
  • 識別安全風險
  • 消彌安全性漏洞
  • 儘快修補實體安全風險
以下是三個關鍵的 OT 安全最佳實務,我們認為應該對其他製造企業也有很好的借鏡作用。

獲得完整的可見性和深刻的洞見

石油和天然氣產業需要能橫跨整個基礎設施的同步操作,以及由廣泛異構的受眾存取憑證。Active Directory (AD) 在這裡佔據了關鍵的角色,在美國殖民地石油管道攻擊事件中,勒索軟體攻擊正是利用了這種攻擊向量。使用 Active Directory 的個人可能包括授權員工、合作夥伴、代理商和經銷商。存取要求可能超出實際工廠範圍,延伸至全球各地的站點和遠端鑽井平台或管道。因此,無論這些位置有多麼遙遠或分散,都必須保持從主設施到所有位置的存取和配置控制。

OT 安全解決方案必須始終具有所有位置設備的可見性,此包括但不限於可程式設計邏輯控制器 (PLC)、HMI 控制器、工程師站、網路設備、閘道和對一般網路操作至關重要的任何其他設備。豐富深刻的資產感知能力,包括對所有類型的設備、修補程式級別、韌體版本和背板資訊的可見性都是必不可少的。還必須考慮能擷取不定期透過網路通訊的休眠設備。

識別威脅

雖然石油和天然氣供應商的 OT 業務一度被孤立,但如今它們與之相連,並可在任何地方存取。這種融合能創造一種環境,並影響石油勘探、開採、提煉和交付的完整性。實體隔絕的消除使得潛在攻擊者能夠從 IT 或 OT 側滲透 OT 網路的一部分。要識別各種可疑行為,必須利用三個偵測引擎:
  • 流量鏡像和流量視覺化,用於識別和警告來自外部來源的通訊嘗試,以及不應相互通訊的設備。
  • 異常偵測以精確定位一般網路操作之外的流量模式。
  • 基於特徵的威脅偵測能力,用於識別攻擊者使用的已知威脅。

更快修補那些最容易產生實質攻擊的漏洞

大多數石油和天然氣環境都混合了 IT 環境中通常找不到的老舊設備。由於每種設備類型都有不同的修補程式級別,因此很難在系統上套用最新的修補程式。另外,由於石油和天然氣環境也沒有頻繁或足夠長的維護時間間隔,因此已知的漏洞在較長時間內也無法修補。

對所有設備的狀態和特性保持深刻的認識非常重要。這包括特定設備條件與具有相關漏洞的漏洞威脅情報知識庫之間的精確匹配。由於石油和天然氣環境的動態特性,這些知識體系必須與新發現的漏洞保持同步。例如,Tenable 基於大資料漏洞情報的漏洞優先順序評級 (VPR) 可根據各種因素(例如,通用漏洞評分系統 (CVSS) 評分、漏洞嚴重性和可利用性等)提供從最嚴重到最不嚴重的漏洞分類列表。

總結

OT 網路安全現在被廣泛認為是確保社會所依賴的可靠、高效和安全的關鍵基礎設施的核心要素。您需要對所有營運資產進行完整的可見性、安全性和控制。一流的 OT 安全方法比以往任何時候都更為重要。不斷變化的威脅條件要求安全管理者在網路和設備層面即時深入瞭解安全態勢。態勢感知能力應定期更新,並與新發現的漏洞、威脅和缺口保持同步。任何標準差必須即時捕獲並記錄。捕捉環境的所有變化,也是必不可少的。捕獲和維護這些詳細資訊有助於加速對事件的回應,凸顯新發現的漏洞並判斷其修復優先順序,並在內部和向所需的合規組織展示主動合規性。
 
本文轉載自創泓科技。原文出處: ​Tenable Blog。