友情链接:www.mosesceo.com English|联系我们
400-556-776

保障海上石油和天然气(O&G)平台安全——复杂的网络威胁亟需先进的防火墙
2013-07-03 14:38:58 来源:
更多

       行业最主要的石油和天然气贸易展会之一,近海技术会议(Offshore Technology Conference,简称OTC)上个月隆重举行。功能安全和信息安全对参会者而言都是热点话题,Tofino Security公司的展台因而备受关注。很高兴信息安全终于进入了公司的优先事项列表。

       如今当工程师们考虑信息安全时,他们应当了解深度包检测技术(Deep Packet Inspection,简称DPI),以及为什么在保护近海网络安全时需要使用深度包检测技术。

       让我先来介绍一些相关背景,众所周知管理近海平台生产和安全的关键系统大部分都基于传统SCADA和工业控制系统ICS产品和协议。其中许多产品都数十年之久,而且设计上未曾考虑到信息安全因素。

       Dale Petersen和其Basecamp团队已经证实了这些设备的脆弱性。不幸的是这些系统现在使用Ethernet和TCP/IP连接到外部系统。尽管这种做法一方面有利于提高效率,但另一方面却将关键生产系统暴露在恶意软件的威胁下。

近海油田生产设施.jpg

目前,需要使用采用深度包检测技术的防火墙来保护近海油田生产设施远离高级攻击

       考虑到工业系统的普遍生命周期是20年,新的更安全的SCADA和ICS设备以及协议的广泛使用需要很长时间。这就使得成千上万的传统平台控制系统面临受到攻击的风险,即使是没有经验的黑客也可以禁用或者破坏大部分控制器。

面临的问题:SCADA/ICS协议没有粒度控制
       传统SCADA/ICS协议没有粒度控制。数据读信息看上去完全就像固件升级信息。因此如果允许从HMI到PLC的数据读信息通过传统的防火墙,同时也就放行了编程信息。这是一个严重的安全问题。

       用户面临着艰难的选择——让信息流通过从而确保系统运行,但要面临着受攻击的风险,或者阻止一切。为了不使系统停车,用户也只能选择接受高风险。但在Macondo深水地平线事件之后,这一选择也不现实。

       那么,工程师该如何是好呢?幸运的是,现在有了相应的解决方案。

解决方案:深度包检测
       解决方案就是采用能够深入工业协议内了解消息目的的DPI防火墙,即所谓的深度包检测,其远远超越了IT防火墙的性能。

       接下来解释一下DPI防火墙是如何工作的:在应用传统的防火墙规则后,DPI防火墙能检查消息内容并运用更详细的规则。例如,DPI防火墙可以判定一个消息是读消息还是写消息,然后阻止所有的写消息。

       此外,好的DPI防火墙对通讯进行“完整性检查”,识别格式异常的消息或异常行为(例如一个请求消息有10,000个回复消息来响应)。这些异常消息表明由黑客创建的通讯正在试图破坏PLC,需要被阻止。

       Tofino Modbus TCP Enforcer防火墙就是一款DPI防火墙,产品采用Tofino安全专利技术来保障Modbus通讯安全。

tofino防火墙和赫斯曼rsp交换机.jpg


在2013近海技术会议上展示的Tofino安全公司的工业协议深度包检测(DPI)防火墙和赫斯曼公司的零失效备援RSP交换机。

为何现在需要DPI技术
       据Eric Byres表示,五年前他或许会说DPI技术是一项锦上添花的性能,然而面对新一代的蠕虫病毒和高级威胁,要想保障SCADA或ICS系统的安全,DPI则是一项必备技术。

       原因在于当今的恶意软件设计者和攻击者知道防火墙和入侵检测系统能立即发现异常协议的使用。他们知道,假设网络中正常使用的协议有HTTP(如网页浏览)、Modbus和MS-SQL(如数据库查询),那么一个新协议如FTP的突然出现会立刻引起系统管理员的警戒。

       蠕虫病毒设计者致力于通过将他们的网络通讯隐藏在他们要攻击的网络中的正常协议中来躲避“雷达扫描”。例如,如今许多蠕虫将他们的出站通讯隐藏在看似正常的HTTP消息中。

       即使你怀疑某些地方出错,如果你使用的是普通防火墙的话,也无济于事。简单地阻止所有的Modbus通讯将会影响生产。没有深度包检测DPI,(如检查消息内容并阻止可疑通讯的工具),你将束手无策。

       DPI技术是安全工具箱中一个非常强大的工具。它使工程师能阻止恶意信息,同时避免对控制系统造成不必要的影响。没有DPI技术的话,现代蠕虫病毒的设计者就明显占了上风。

       为了领先于坏分子,DPI技术已成为工业防火墙的必备技术。这会对你的ICS安全计划会有什么影响呢?

返回顶部
上一篇:保护工业协议安全是可以实现的 下一篇:使用适当的工具来保护工业网络安全