過程傳感器的網絡安全問題--危言聳聽還是真實存在?

 2021年10月28日，美國能源部長格蘭霍姆召開了她的顧問委員會(SEAB)第一次會議。本次會議議題包括能源部的“能源地球射擊(Earthshot)計劃”和對清潔能源的關注。Michael Mabee、Joe Weiss、David Bardin 和 Tommy Waller 等行業專家在會上陳述了意見建議。國際知名自動化和網絡安全專家Joe Weiss針對過程傳感器的網絡層面保護問題，再次闡述了他的觀點。并建議能源部，保護過程傳感器是一個需要特別關注的硬技術障礙。能源部需要認真對待過程傳感器網絡安全，鼓勵過程傳感器監控范式轉變，鼓勵對過程傳感器負責人員進行網絡安全培訓，并與CISA協調政府和行業專家共同解決過程傳感器網絡安全問題。過程傳感器到底有什么的網絡安全問題呢?這一問題的嚴重程度如何?

　　過程傳感器有何網絡安全風險?

　　過程傳感器用于測量壓力，液位，流量(如蒸汽，液體，電力等)，溫度，電壓，電流等。這些設備通過為現場控制器、執行器、電機、驅動器、分析儀、機器人和基于windows的操作站提供關鍵輸入，對網絡安全、過程安全、可靠性、產品質量和彈性至關重要。所有監視或控制物理過程的組織都利用來自具有共同網絡限制的普通供應商的類似類型的過程傳感器。這包括商用和軍事核設施的運營組合體，包括水力和可再生能源的發電，電網中的微電網，智能制造，智能建筑，以及電機在內的高功率應用設備等等。

　　IT和運營技術(OT)網絡安全從業人員采取基于網絡的方法，監控互聯網協議(IP)網絡的網絡異常。這對于IT網絡來說是必要的，但對于全面控制系統的網絡安全來說是不夠的。這是因為，作為OT網絡輸入的過程傳感器被錯誤地認為是無損的、經過認證的、具有網絡日志功能，并在整個操作周期中提供正確的讀數。

　　Weiss在其博客文章中稱，過程傳感器讀數的錯誤，無論是出于無意還是惡意，都造成了重大的災難性影響，但過程安全標準并沒有解決過程傳感器的網絡安全問題。因此，在對安裝在液化天然氣設施中的最先進的安全壓力變送器的聯合ISA84(過程安全)/ISA99(網絡安全)評估中，對過程傳感器的網絡漏洞進行了檢查。在138項個體網絡安全要求中，壓力變送器失敗占了69項，而這些要求本可以阻止設施的安全運行。所有的基礎設施和設備都處于危險之中，因為過程傳感器是不安全的和未經認證的(即，傳感器測量信號來自于傳感器)。

　　過程傳感器的主要障礙

　　梳理Weiss在能源部顧問委員會上的建議，大致可以歸納出以下主要的技術或非技術障礙。

　　1、所有過程應用中都有數千萬個傳統過程傳感器(這不包括個人和住宅應用中額外的數千萬個 IOT傳感器)。過程傳感器沒有網絡安全、身份驗證或網絡日志記錄，可能無法更新以確保網絡安全。這涉及到整個生態系統，包括傳感器、傳感器網絡、通信協議和安全技術。

　　2、普遍認為過程傳感器網絡安全不是問題，因為它只會產生局部影響。然而，這種認識是錯誤的，已有活生生的例子發生了。需要解決使傳感器能夠損壞更大流程(比如電網)的系統交互問題。

　　3、智能電網、智能制造、工業 4.0等基于“無處不在的傳感器”和傳感器數據的大數據分析。如果不能信任輸入的傳感器數據，那么大數據分析就不受信任。

　　4、傳感器網絡安全問題是一個新問題。需要工程和網絡組織協同工作。過程傳感器的監控將迫使這些不同的專業領域一起工作，這可能會促進改變游戲規則。

　　5、已有傳感器對建筑和HVAC控制的影響的研究報告顯示，建筑/暖通空調系統中傳感器系統的網絡安全威脅正在增加，因此傳感器數據傳輸可能會被黑客入侵。根據研究報告的結論，必須了解被黑客入侵的傳感器數據如何影響樓宇控制性能(這只能由控制系統完成，而不能由網絡專家完成)。典型的情況可能包括傳感器數據被黑客修改并發送到控制回路，從而導致極端的控制行為。

　　6、如果不能相信你測量的東西，你就不能擁有網絡安全。然而，過程傳感器的網絡安全超出了NERC關鍵基礎設施保護 (CIP) 網絡安全標準的范圍。

　　7、如果不能相信你測量的東西，態勢感知能力也無從談起。

　　8、假冒過程傳感器和硬件后門是硬件供應問題。硬件供應鏈攻擊的情況已屢見不鮮。

　　真實的控制系統網絡事件

　　Weiss稱，美國的早就對手意識到了這些局限性。伊朗電氣工業的工業安全專家對工業控制系統安全框架和最佳實踐有深入的了解，如ISA-99/IEC-62443, NERC CIP, NIST 800-82, SANS安全實踐，Nozomi工具，西門子，橫河和ABB控制系統等等。

　　WEISS個人收集的控制系統網絡事件的非公開數據庫中，就有超過75起建筑/設施控制系統網絡事件，其中一些是由過程傳感器問題引起或加劇的。

　　俄羅斯黑客2018年曾經入侵了沙特阿拉伯一家石化工廠的Triconex安全系統(施耐德公司旗下的安全平臺，已超越了一般意義上的功能安全系統，為工廠提供全套的安全關鍵解決方案和全生命周期安全管理理念與服務。核電站、石化工廠、供水系統廣泛使用Triconex安全系統)。入侵的目的是炸掉工廠。即使在工廠被惡意軟件關閉后，黑客也沒有被發現，缺乏識別控制系統網絡事件直接影響的能力以滿足最近政府行為等網絡安全TSA網絡安全需求和總統行政命令14028。過程傳感器的監測將幫助過程傳感器提供直接過程異常的跡象。

　　另有某國向北美市場提供了假冒的壓力傳感器，并在提供給美國公用事業公司的大型電力變壓器上安裝了硬件后門。缺乏過程傳感器認證允許“欺騙”傳感器信號從而控制變壓器。由于沒有對過程傳感器信號進行認證(傳感器信號來自變壓器內部或“惡意攻擊者”)，不可能知道變壓器是否已被損壞。

　　OT網絡安全需要范式轉變

　　網絡攻擊泛化的時代，無論是IT還是OT網絡都無法完全免受網絡攻擊的困擾。因此，保護關鍵的基礎設施需要改變模式。傳統的IT網絡安全最佳實踐不能復制到OT系統，即使那樣也將是無效的。建議的方法本質上是，即實時帶外(不連接任何互聯網)監測過程傳感器的電特性。多年來，工程師們一直使用這種方法監測設備運行狀況(過程異常檢測)。直到最近，這種方法還沒有應用到網絡安全中。

　　帶外過程傳感器監測的結果是隔離過程傳感器測量，免于網絡惡意軟件的危害，無論是來自IT或OT網絡。這種方法可以幫助證明在勒索軟件攻擊期間設施的持續運行，因為惡意軟件無法到達過程傳感器監控。同時，過程傳感器監測持續提供運行的實時狀態。

　　此外，過程傳感器監控提供了預測性維護能力，提高了生產率和安全性。其他人已經認識到這種方法的價值。