我的朋友和同事,CISSP-ISSMP, FBCI的Michael Miora教授为关于监控和数据采集(SCADA)系统安全的系列专栏贡献了以下有趣的案例研究。以下所有内容都是Miora自己的作品,只做了极少的编辑。
* * *
几年前,我的咨询公司被要求为一个大城市地区的大型水电公司进行SCADA系统的安全评估,服务和资源分布在更大的地理区域。本文和下一篇文章是最初评估的故事,组织的后续行动,以及十年后的重复评估故事。为了保护客户的机密性,任何可以识别正在讨论的组织的细节都被有意地修改或删除。
为什么评估?
该公司对内部和外部的破坏、系统和物理故障以及各种各样的违规行为表示了适当的关注。他们的审计人员询问了他们的SCADA系统的安全性,他们无法提供好的答案。与往常一样,评估的动机部分是由确定系统安全态势的诚实努力所驱动,部分是由外部力量(在这种情况下是审计员)所驱动。
不管什么原因,公司都承诺进行一次评估。他们做了一些研究,并决定最好的做法是避免正式的征求,选择与关键人员熟悉的咨询公司签订选定的来源合同。总体目标是识别可能导致或允许信息中断、降级或危害的漏洞,然后建立潜在的补救措施。值得注意的是,这项评估是在9/11恐怖袭击之前发起并完成的。
评估过程
在大多数方面,SCADA评估与其他类型的安全评估非常相似。这一过程包括对系统和设施进行实物和虚拟检查。我们在可行的地方评审代码;我们检查了配置和访问表。我们还回顾了建立政策和实践、总结事件和提供配置信息的各种文档。我们进行了各种各样的测试,既有现场的,也有场外的,既有网络内部的,也有网络外部的。我们尝试了各种类型的渗透和对网络可见性的分析。
评估也有其独特的特点。按性质进行的分析包括参观水分配和处理设施、电力分配和驿站,以及下到沙井。在其中一些拜访中,我们免去了西装革履的顾问形象。这些视察的目的是确定对这些地点的计算机和其他活动设备的保护程度。显然,在这样的环境中,直接连接到SCADA网络的计算单元可以被认为是一个重要的目标,需要充分和适当的保护。
一些结果
评估结果揭示了一些严重的问题。该体系结构存在严重缺陷;它没有提供基础设施安全性,将所有系统和元素保存在一个信任域中,并强制各个元素依赖它们自己的配置来实现安全性。结果表明,攻击者在不知道这种特定SCADA系统的情况下,可以从外部位置禁用系统。
由于体系结构的固有缺陷,应用程序被迫提供它们自己的保护。因此,每个应用程序都需要验证唯一的凭据,并根据凭据用户的配置文件提供访问。然而,没有访问控制的总体地图。因此,许多应用程序假定到达应用程序的用户已经通过了一些以前的基本访问控制机制。该评估确定,通过反复试验可以找到一种通过系统的途径,而不需要通过任何严肃的访问控制机制。
这两篇文章的下一篇将详细介绍这一分析。
关于作者
迈克尔Miora在过去的30年里,为工业和政府设计和评估了安全、可生存、高度健壮的系统。Miora是上世纪90年代获得CISSP和2004年获得ISSMP的最初专业人士之一,2005年被接受为BCI会员。Miora创立并担任总裁ContingenZ公司.他在加州大学洛杉矶分校和加州大学伯克利分校接受教育,获得了数学学士和硕士学位。他发表的作品包括对Wiley & Sons的计算机安全手册第四版和第五版的贡献。Miora是一名兼职教授MSIA程序他是《商业连续性杂志》编委会成员。