FireEye报告：工业环境的六大软肋

　　FireEye最新的报告查验了多家工业企业共有的一些软肋，这些企业包括电力公司、石油公司和制造业。

　　报告作者Sean McBride指出了工业领域所使用的多项进程和技术背后的种种问题，这些问题有时候容易被企业所忽略。报告里列举了有关协议、硬件、身份认证、关系、文件完整性和操作系统的六个薄弱点。

　　考虑到许多工业环境中的具体情况，报告所强调的多个问题很难得到解决。虽然该报告没有提及这一点，这个问题本身很有趣。考虑到FireEye已经在工业领域投入极大。很多观点极有可能是对几年来出现的问题的归纳。

　　1. 使用无身份认证的协议

　　FireEye首先谈到了协议的身份认证的必要性，这些协议用于感应器和执行器之间、控制器的I/O端（例如Modbus, HART, CAN, Foundation Fieldbus, PROFIBUS），以及控制器和管理计算机（例如DNP3、Modbus/TCP、BACnet、以太网/IP地址）之间的通信。

　　“

　　如果某个连接共享协议（ICS）缺乏认证，网络上任何一台电脑可以发送命令来改变物理过程，如改变设置点或发送一个不准确的测量值到人机界面（HMI）。这可能会导致不正确的操作过程，这一过程会损坏产品、破坏工厂设备、造成人员伤害或恶化生产环境。

　　2. 硬件过旧

　　工业硬件有时候很昂贵。所以人们会倾向于把同一批设备用上至少几十年。然而弊端也很明显，许多工业企业使用的硬件过旧，设计时没有考虑到安全因素或是今天的技术因素。

　　”

　　这类硬件包括控制器、远程终端、显示屏、保护继电器、流量计算机、网关通信器等，往往操作太简单或缺乏处理能力和内存来应对现代网络技术环境中的威胁。

　　报告解释说，老旧硬件会导致许多问题，比如在布朗渡轮核能发电站的网络流量过载，以及扫描引起的控制器崩溃。

　　3.身份认证不完备

　　工业领域的身份认证问题很严重，但是由于业界开始专注这个问题，它确实在慢慢好转。然而，遗留系统仍是严重的安全隐患。

　　很多企业使用默认密码和硬编码的密码，或者很容易在互联网上获得的密码表。另一个风险则是很多密码很容易破解，或存储在可以修复的磁盘文件里。

　　McBride建议企业应该一一清查内部设备来排除默认或硬编码的共享密码，并利用设备日志监控开发操作。

　　4. 文件完整性检查缺乏

　　McBride之后谈的是细节完整性检查，包括证书、固件和控制逻辑。

　　就控制逻辑、证书而言，最广为人知的反面教材是Stuxnet对西门子的攻击。2009年，Stuxnet修改发送到西门子的控制器的逻辑，并用恶意复制品替代了合法的路径库，这一系列攻击利用的都是西门缺乏完整性检查的弱点。

　　报告中引用了六个固件问题的例子，其中包括2015年Sandworm Team利用固件完整性检查缺陷造成乌克兰长时间断电。

　　5. Windows产品过期

　　麦克布莱德写道：“工程工作站和人机界面经常使用过期的、缺少补丁的Windows操作系统，这会暴露出已知的漏洞。在某些情况下，这意味着对手可能无需控制系统的特定知识就可以访问企业的系统。”

　　Windows经常通过InfoSec发布包，而且虽然Windows有很多问题，但是它比以前好的多了。但是FireEye和其他网络专家则发现，大多数工业企业仍在使用版本过时的微软产品。

　　FireEye强调，如果系统得不到更新或修补，企业就必须部署一些补偿的控制手段。否则，系统将像个活靶子一样容易受攻击。

　　6. 第三方关系

　　McBride解释道：“根据我们的经验，网络资产所有者很少归类和跟踪他们所依赖的第三方软件。许多网络服务供应商可能难以知道客户使用的第三方组件，因而难以通知顾客存在的漏洞。懂得利用这些依赖项的敌人可以对工业公司所使用的软件下手，而企业甚至可能不知道自己在使用哪些软件。”

　　报告说，组织需要请求（或要求）网络供应商提供使用其产品时应同步使用的第三方软件及版本列表，其中也包括开放源码软件。还应要求供应商对可影响产品的漏洞及时通知。

　　在心脏出血和Poodle爆发的时候，大量网络产品受到了影响，但许多供应商直到漏洞被公布后几个月才发布报告。

　　工业安全是一个很重要的话题，主要原因是工业生产环境中的设备不容易升级或替换。这让工业环境的保护变成了没有捷径的硬仗。