【应用案例】用施耐德电气ConneXium多芬诺防火墙,让SCADA安全更简单
用施耐德ConneXium多芬诺防火墙,使SCADA安全更简单
“在缺乏充足IT预算的情况下,自动化系统仍需要网络安全保障,且只应包含尽可能少的人工干预。”
对此我非常同意。以上论述引自Pike Research公司Bob Lockhart在今天的新产品ConneXium多芬诺防火墙新闻发布会上的发言。ConneXium多芬诺防火墙是我们与施耐德电气合作研发的新产品。它充分体现了我的核心理念,那就是为保证SCADA和ICS网络安全的有效性,我们需要使产品易于配置、组态和维护。自我在BCIT实验室1工作以来,这一理念就是多芬诺工业安全解决方案基础设计的重要组成部分。这款施耐德电气与多芬诺安全公司合力推出的新产品通过加入一系列超级简便的使用特性让我们的核心理念进一步实现。
感谢施耐德电气为改善客户网络安全而在很多方面做出的诸多努力。比如,他们在其所有主要的自动化产品上进行详细的安全性分析,这是复杂且花费昂贵的举措。另一项举措则是与我们共同研发connexium多芬诺防火墙。
需要补充说明的是,ConneXium是施耐德电气网络基础设施产品系列,可以与施耐德公司的自动化产品交互操作。ConneXium多芬诺解决方案是强化工业系统避免网络事故和攻击的新产品。
可供配置与组态的多种防护插件
如我之前所述,使用的便利性是我们两个团队合作本项目的核心目标。首先,我们努力使ConneXium Tofino解决方案能够扩大应用范围。比如,包含配置工具的用户界面(叫做ConneXium Tofino 组态器)的设计在视觉上和感觉上都很像Windows浏览器,一款所有人都用于管理电脑文件的工具。
还有一点你很快也会注意到,就是当你打开组态器时能看到“资产管理模板”。这些是为主要施耐德自动化产品的预设模板。无需是安全领域的专家,工程师们直接选择他们工厂中正在使用的施耐德产品的型号就可以了。当他们确定好哪些设备是允许通信的以后,适用于那些产品的规则就会自动生成。最后,新专家技术会在防火墙编程中检查规则里的常见错误并提出可行的改善建议。
ConneXium Tofino组态器的设计看起来和使用起来都和Windows浏览器一样。在这里你可以看到在Project Explorer导航窗下选取了Tofino “FS_TSA_001”规则。在规则详细设置中选择“只读”选项,从而配置防火墙只允许只读数据的Modbus指令通过。所有的写数据和编程指令都会被阻止。
正如多数人了解的那样,大多SCADA和ICS协议并不支持网络消息的粒度检测。在TCP/IP层,读数据包看起来就和PLC固件升级包一样。如果你允许读数据包通过传统防火墙,你也让固件升级包通过了。这就是一个很严重的问题了。
ConneXium Tofino产品在自身每个单元中配置了我公司的Modbus TCP Enforcer模块,就可以解决这个问题。Modbus TCP Enforcer只允许被认可的Modbus指令从被核准的设备发出并通过防火墙。这被称为“深度包检测”,这项技术阻止了不恰当的远程编程或来自于恶意软件和黑客的蓄意破坏消息等多种攻击。类似于这样的技术在防火墙领域中是非常稀缺的。
再次说明,使用的便利性对Modbus TCP Enforcer来说非常关键。这就无需要求控制工程师们掌握应用程序所使用的特定Modbus功能编码,因为很多标准应用场景已经定义好了。比如,若你想让ConneXium Tofino只允许读数据指令在PLC和HMI之间传送,那你可以直接选Read Only选项。
针对产品漏洞的多芬诺安全文件
在之前的一篇博客中我讨论过需要在不停地打补丁这一措施之外寻找其他备选方案。ConneXium Tofino防火墙通过支持多芬诺安全文件实现了这一目标。他们是定制规则,以及为抵御最新公开的漏洞和恶意软件所定义协议的集合。每个多芬诺安全文件都是已经打包好的,因而能够迅速配置且不会影响运行,从而提供抵御新威胁的快速且有效的安全屏障。
例如,上周我发布了针对CoDeSys漏洞的安全文件。CoDeSys漏洞是影响上百个不同控制产品安全的威胁。由于CoDeSys公司还没有提供产品补丁,因此我们与Joel Langill公司 (www.scadahacker.com)合作,即时发布了解决方案。
网络安全防护是有效果的
如果你是本博客专栏的定期读者的话,你会了解我们刊登的大部分文章旨在普及相关知识而非营销。不过这一篇的确是在“为自己宣传”,因而非常感谢大家一如既往的支持!
然而更重要的是,我希望本篇博客能够说明科学技术能够设计的让工业网络安全易于实现。不论你是否选择使用多芬诺技术,我们都希望你能够看到网络安全技术是可以交付使用的,这样控制器使用者们就能确保他们的系统是安全的——而且也就能够专注于安全可靠的生产活动,做好本职工作。
我再从Bob Lockhart在Pike Research上的发言中引用两句作为本文的结尾:
“自动化系统面临着特殊的网络安全挑战,需要由了解这些系统如何运行的企业提供安全防护……那些想要专注于他们的核心业务,而非技术的公司。”
提交
能源领域网络安全框架实施指南(英文版)
【指导手册】有效网络防御的关键控制
【操作指南】SCADA与过程控制网络防火墙配置指南
【指导手册】控制系统安全实践汇编
【操作指南】工业控制系统(ICS)安全指南