远程访问设备采购安全注意事项
运行工业系统的运营团队依靠远程访问设备完成工作,在购买时很少考虑非技术和非商业因素。但最近的历史告诉我们,设备(甚至设备中的组件)的来源远比我们认识的要多。
供应链攻击严重
供应链攻击是一种网络安全攻击,通过针对供应链中的上游元素获得访问权限。购买设备的外行(可能是在周末调试一台设备)可能认为风险不足以影响购买决定,但确实如此。
供应链攻击对于攻击者来说非常流行,因为通过渗透到一个供应商,他们可以获得许多最终用户的访问权限。例如,Stuxnet 是一种有效的供应链攻击,针对铀浓缩计划中使用的 PLC。 NotPetya 通过报税软件分发,对默克和圣戈班等组织造成了估计 100 亿美元的损失。最近,SUNBURST 为多达 18,000 个组织提供了后门访问权限,并通过 SolarWinds 软件进行分发。这种情况已经发生了很多次,并且会因为攻击者的回报而持续下去。
通过远程访问设备对 ICS 进行供应链攻击
通过远程访问设备以 ICS 为目标的供应链攻击的想法不仅仅是理论上的——它曾经发生过。 2014 年,Dragonfly 恶意软件感染了许多组织,并通过 Ewon 的 Talk2M 应用程序设置包进行分发,该软件用于提供对 ICS 设备的 VPN 访问。 SANS 研究所提供了一篇关于攻击及其影响的论文,您可以在此处阅读。
购买前的注意事项
那么,回到购买设备以便他们可以调试一些设备的外行——他们应该怎么做?
在你不是——也不能成为——专家的情况下,看看专家在做什么是明智的。在安全方面,其中一位专家将是美国国防部。由于供应链存在风险,他们明确禁止从某些外国制造商处购买和使用设备,或与使用设备的供应商签订合同。 2020 年 7 月的一份国防部备忘录概述了这种做法,可在此处公开查看。一个重要的命名公司是华为技术公司(及其子公司和关联公司),因为他们的芯片被广泛使用——包括在远程访问设备中,例如 Tosibox。
因此,对于这里的外行来说,一个外卖可能是尽可能购买国内的。需要注意的是,购买国产产品和设计具有深层安全性的产品并非易事,通常需要定价溢价,但对于用户而言无疑是值得的——尤其是 用于远程访问工业系统。
除了供应链风险之外,在实施远程访问时还有许多技术和组织方面的考虑。我在机器自动化与控制组织 (OMAC) 的一个工作组中探索了这些内容,然后发布了一份我推荐阅读的远程访问工厂设备的实用指南。
工业技术