工控安全
25.May.2021
如何抵挡黑客攻击,提升工控系统主动防御力?(下)
IEC 62443-4-1 & IEC 62443-4-2 OT安全的「Why/What/How」(下)
用兵之法,無恃其不來,恃吾有以待也;無恃其不攻,恃吾有所不可攻也。──《孫子‧九變》
早在 2500年前,孙子充分展现了中国文化的智慧,这句话中有三个关键词:「敌」、「我」、「待」。其中「敌」,根据其「意图」、「动机」、「能力」与「资源」依威胁程度分级为:
早在 2500年前,孙子充分展现了中国文化的智慧,这句话中有三个关键词:「敌」、「我」、「待」。其中「敌」,根据其「意图」、「动机」、「能力」与「资源」依威胁程度分级为:
- 非故意且不具对应能力与资源的非授权用户。
- 故意但动机不足、不具特定能力与资源不算充裕的非授权用户。
- 故意且具有中度动机、具备对应的安全能力且具备中度资源的非授权用户。
- 故意且具备高度动机与对应的安全能力。此外,还有高度资源(可能是国家等级资源)的非授权用户。
至于关键词「我」、「待」,面对以上四种等级的敌人,「我」们应该视「可用的资源」以及「我方」愿意承担的风险,选定对应的安全等级,是吾有以「待」之。攻击总是比防御需要准备更多资源,因此攻击方的策略是将资源集中在少数有机会的缺口,找到突破口后再深入挖掘可以利用的漏洞,获得更多可供利用的突破口;防御虽然有先天的优势,但因为守备范围广,所以重点在于延展防守的广度以及深度的防御。根据可接受的风险选定对应的策略,除了避免杀鸡用牛刀的情况,也藉由这样的方式,让资源能够聚焦在关键的资产部位,降低风险。
防御技术要求(IEC 62443-4-2)
安全限制
在进入安全要求前,有四项安全限制是不可以违背的,藉由这四项安全限制让产品与系统的安全策略一致,不相抵触。- 先求不伤身体再讲求疗效:必须支持必要功能(Essential Function)的运作。
- 成功不必在我:不需要所有安全要求都由单一产品(组件)操作完成,也可以透过系统内的其他组件藉由加固防御补偿安全漏洞。
- 建立防火墙:所有的组件(Component)仅开放运作所需最小权限,避免攻击者攻击成功后取得不必要的权限。
- 战略与战术协同一致:战术与战略相互搭配,才能避免建树不见林的问题,IEC 62443-4-2的技术要求必须与IEC 62443-4-1定义的防御策略一致。
七大基础要求 (Fundamental Requirements, FR)
FR 1 – Identification and Authentication Control
以保障授权用户合法存取为目标,从非授权存取手法分别就「攻击路径」、「账号与识别管理」、「识别器(Authenticator)管理」、「密钥/公私钥管理」这几个方面进行要求。常见的Public Key Infrastructure (PKI) 管理议题、证书泄漏或过期问题都属于此项。在此项如果发生信息安全问题,常见的影响会是敏感数据外泄以及系统被非授权用户接管或控制,同时也是攻击者取得基础授权的第一步,不可不慎。
FR 2 – Use Control
FR 1 讲的是角色或是用户的识别,FR 2则是通过识别后的权限管控。其内容涵盖了「许可证管理」、「会话(Session)管理」、「动态执行码(Mobile Code)管理」以及「稽核数据保护」。常见的会话劫持(Session Hijacking)、跨站请求伪造(Cross Site Request Forgery, CSRF)、跨网站脚本攻击(Cross-Site-Scripting, XSS)都属于此范围。此项目长踞OWASP Top 10,且频繁出现在网站服务以及远程服务上,漏洞数多且攻击成功率高,是防守方需要特别留意的项目。
FR 3 – System Integrity
FR 3规范了「通讯、程序代码、软固件与会话(Session)的完整性」,以及问题发生时的反应机制。当中的「注入验证 (Input Validation)」与「恶意软件防护(Protection from Malicious Code)」是在「揭露」阶段常用的手段。透过注入攻击(Injaction Attack)触发异常行为,例如:内存溢出,进一步执行恶意软件(Malicious Shellcode)取得控制权;恶意软件防护在程度上也与注入攻击相似,只有在攻击的策略有不同。
其中,在针对嵌入式设备的要求(Embedded Device Requirements EDR 3.2)中,特别列举对应的防护机制,诸如:No Execute (NX) bit、Data Execution Prevention(DEP)、Address Space Layout Randomization (ASLR)等等。虽然进阶的攻击手段有机会绕过上述防护机制,但同时也遏止初阶的攻击行为,以及消耗中高阶攻击者的资源,降低攻击动机、增加反应时间。
其中,在针对嵌入式设备的要求(Embedded Device Requirements EDR 3.2)中,特别列举对应的防护机制,诸如:No Execute (NX) bit、Data Execution Prevention(DEP)、Address Space Layout Randomization (ASLR)等等。虽然进阶的攻击手段有机会绕过上述防护机制,但同时也遏止初阶的攻击行为,以及消耗中高阶攻击者的资源,降低攻击动机、增加反应时间。
FR 4 – Data Confidentiality
FR 4 定义了「敏感性信息的保护要求」以及「使用的密码逻辑」。其中,「使用的密码逻辑」推荐以NIST FIPS 140定义的密码模块规范,以提供防护端更完整的安全要求标准以及指引。
FR 5 – Restricted Data Flow
FR 5定义了「网络切割要求(Network Segmentation)」并导入「Zone」的概念,藉由相同安全能力的设备,组成Zone的范围.并以安全能力决定Zone 与Zone之间允许传递的信息,藉以将重点资源投放在关键的设备,例如 Zone和Zone的边界,做好数据流的管理。
FR 6 – Timely Response to Events
FR 6除了定义「稽核纪录管理」以在问题发生时判断问题来源、盘点损害范围并快速做出反应外。也定义了「持续监控机制」,期望能在最快时间内侦测入侵活动。
FR 7 – Resource Availability
FR 7规范了「资源管理」以及「系统备援机制」,解决或降低目标设备资源被耗尽后的影响。今(2021)年即发生好几起国内网络供应商受到分布式阻断服务攻击,导致系统无法正常提供服务的情况。倘若防御端的设备与健康、安全及环境相关,则更需要留意此类型的攻击行为,避免造成人员、财产的损失。
结语
矛盾不矛盾
楚人有鬻盾与矛者,誉之曰:「吾盾之坚,物莫能陷之。」以誉其矛曰:「吾矛之利,于物无不陷也。」或曰:「以子之矛陷子之盾,何如?」其人弗能应也。夫不可陷之盾与无不陷之矛,不可同世而立。──《韩非子,难一》
楚人扮演一个常见的标准错误示范:「只有规格但没有测试,如何验证结果?」,但他很幸运的被点出问题,「以子之矛陷子之盾,何如?」虽然故事没有下文,但如果故事背后的展开是楚人在每做出一面盾之后,便根据这个盾的用途与使用情境,选择合适的矛做测试。测试的结果作为矛与盾的改善目标。在持续的强化迭代下,矛与盾不再矛盾,最终成为捍卫楚国的神兵利器。
对比IEC 62443,持续符合情境的改善方案记述在IEC 62443-4-1;定义矛要多利、盾要多硬的则是IEC 62443-4-2的范畴.如果不想和故事中的楚人踏进相同的误区,两个标准必须相互搭配成为增值回路,不可或缺。
此外,信息安全威胁是期待的安全等级与实际安全防护间的差距,补足这段差距的是名为IEC 62443-4-1的策略,以及IEC 62443-4-2的要求。这当中最容易被忽略的是「实际安全防护」的量度。除了透过威胁建模以及相关测试作为模拟考与随堂考之外,更重要的是理解攻击者的思维脉络,才能根据自身能够承担的风险对症下药,让防守方取得与攻击者在不对称战场上匹敌的能力。
楚人扮演一个常见的标准错误示范:「只有规格但没有测试,如何验证结果?」,但他很幸运的被点出问题,「以子之矛陷子之盾,何如?」虽然故事没有下文,但如果故事背后的展开是楚人在每做出一面盾之后,便根据这个盾的用途与使用情境,选择合适的矛做测试。测试的结果作为矛与盾的改善目标。在持续的强化迭代下,矛与盾不再矛盾,最终成为捍卫楚国的神兵利器。
对比IEC 62443,持续符合情境的改善方案记述在IEC 62443-4-1;定义矛要多利、盾要多硬的则是IEC 62443-4-2的范畴.如果不想和故事中的楚人踏进相同的误区,两个标准必须相互搭配成为增值回路,不可或缺。
此外,信息安全威胁是期待的安全等级与实际安全防护间的差距,补足这段差距的是名为IEC 62443-4-1的策略,以及IEC 62443-4-2的要求。这当中最容易被忽略的是「实际安全防护」的量度。除了透过威胁建模以及相关测试作为模拟考与随堂考之外,更重要的是理解攻击者的思维脉络,才能根据自身能够承担的风险对症下药,让防守方取得与攻击者在不对称战场上匹敌的能力。
