SCADA如何突出尋找安全脆弱性

　　脆弱性泄露具有多種性質(zhì)，在信息安全領(lǐng)域中歷史悠久。雖然安全專業(yè)人員有時(shí)支持以緩和形式管理脆弱性泄露，SCADA系統(tǒng)更多相關(guān)結(jié)論的出現(xiàn)，使得許多安全專業(yè)人員重新對(duì)他們的觀點(diǎn)進(jìn)行思考。利用熟練的技術(shù)風(fēng)險(xiǎn)管理方法以及對(duì)風(fēng)險(xiǎn)模型的更為細(xì)致的觀察，有助于在這個(gè)方面上更加清晰的思考。

　　理解泄密對(duì)IT風(fēng)險(xiǎn)所產(chǎn)生的影響的關(guān)鍵是承認(rèn)威脅和脆弱性之間的相互作用。容易陷入僅考慮受影響脆弱性程度的陷阱。當(dāng)研究人員公開(kāi)脆弱性時(shí)，通常是為了更加安全的軟件。實(shí)際上，脆弱性級(jí)別不受初期揭露的影響;無(wú)論我們是否知道脆弱性級(jí)別，當(dāng)脆弱性進(jìn)入環(huán)境時(shí)，級(jí)別發(fā)生變化(由于攻擊者)。揭露的目的是識(shí)別脆弱性，并消弱脆弱性–通常通過(guò)路徑–因此降低了脆弱性級(jí)別。

　　但是一個(gè)系統(tǒng)的修補(bǔ)是一個(gè)非常危險(xiǎn)且耗時(shí)的過(guò)程。如同所有系統(tǒng)變化一樣，進(jìn)入生產(chǎn)前，必須對(duì)補(bǔ)丁進(jìn)行徹底評(píng)估和測(cè)試。即便如此，補(bǔ)丁仍可能失敗。因此必須對(duì)補(bǔ)丁過(guò)程相關(guān)成本和避免損害所獲得利益進(jìn)行對(duì)比。以前我們知道極少脆弱性曾經(jīng)被實(shí)際解決，利用SCADA系統(tǒng)，我們現(xiàn)在可以處理高度敏感的系統(tǒng)，一般長(zhǎng)時(shí)間不發(fā)生變化，實(shí)際應(yīng)用補(bǔ)丁的可能性相當(dāng)?shù)?。更重要的是，因?yàn)樵诜N情況中無(wú)可可用的補(bǔ)丁，必須采用其它機(jī)制。最終，脆弱性程度不可能被影響數(shù)月。

　　威脅受揭露細(xì)節(jié)影響嚴(yán)重，似乎不直觀。因?yàn)槁斆魅俗杂衅涑杀纠娴姆治?，任何使其成本降低的舉措將增加其利益。提供的信息越多，例如武器化的攻擊代碼，成本越低。利用SCADA系統(tǒng)，攻擊者知識(shí)庫(kù)仍然相對(duì)較小，因此whitehats專家?guī)椭蟠髱椭嗽搲娜恕?/P>

　　許多研究人員(但不是全部)尋找脆弱點(diǎn)，試圖降低風(fēng)險(xiǎn)。然而，他們忽略了威脅部分。這意味著，為了降低風(fēng)險(xiǎn)，脆弱性級(jí)別降低必須大于威脅程度的增加。雖然大多數(shù)脆弱性從來(lái)未被利用，過(guò)去的眾多例子表明在揭露后發(fā)生的事故更多。既然已經(jīng)掌握了SCADA的情況，不可能通過(guò)降低脆弱性級(jí)別以彌補(bǔ)威脅的增加，因此發(fā)生更多的事故。

　　研究人員提到其成功時(shí)，通常突出他們認(rèn)為變得更安全的軟件應(yīng)用–通常這是微軟喜歡的方式。這恰恰是他們不了解脆弱點(diǎn)以及理解威脅重要的很好的例子。雖然這些應(yīng)用程序?qū)嶋H變得更加安全，實(shí)際上與事故降低無(wú)關(guān)緊要。這突出了兩件事-第一，在所包含環(huán)境中起作用的事情比一定在整體中起作用-這也是為何QA部門(mén)仍然有意義的原因。第二，這種整體運(yùn)行是不起作用的。

　　第二件事簡(jiǎn)直是不起作用的。在面對(duì)這些“更安全”方案時(shí)，風(fēng)險(xiǎn)如何改變?有沒(méi)有人說(shuō)明風(fēng)險(xiǎn)實(shí)在正在下降?問(wèn)題是在世界代碼庫(kù)中(或者當(dāng)今大型數(shù)據(jù)中心)太多軟件試圖利用現(xiàn)代技術(shù)查找每一個(gè)缺陷。不僅如此，差距正在擴(kuò)大–這就像一個(gè)較差的數(shù)學(xué)數(shù)字問(wèn)題-軟件開(kāi)發(fā)正在前面以50mph速度前進(jìn)，脆弱性研究以5mph速度在相同方向移動(dòng)，何時(shí)能夠追上?

　　由于我們不可能找到所有脆弱性，通常也不可能找到“正確的”脆弱性，因此我們需要利用更好的且更有效的方式保護(hù)我們自己。雖然對(duì)脆弱性的“正面攻擊”不起作用，但是還有其它方式處理這些問(wèn)題。首先，我們可以在架構(gòu)中涉及更好的控制方法。類似微軟藍(lán)帽獎(jiǎng)的舉措更有可能引起安全突破。第二，我們可以更加努力地進(jìn)行威脅監(jiān)測(cè)。雖然有另一個(gè)問(wèn)題，但是已經(jīng)顯現(xiàn)成功，而且正在轉(zhuǎn)好。這只是開(kāi)始。

　　SCADA系統(tǒng)是個(gè)嚴(yán)肅的行業(yè)，其中可能威脅人的生命。Stuxnet是缺陷尋找不起作用的很好的例子-我們丟失了那些價(jià)值-以及替換技術(shù)的承諾-我們才發(fā)現(xiàn)違反規(guī)律并返回。為突出某問(wèn)題的嚴(yán)重性，使其惡化毫無(wú)意義。讓安全研究人員-在我們領(lǐng)域內(nèi)最優(yōu)秀的人才-開(kāi)始以不同方式思考該問(wèn)題。