ISA99 examines standards’ strength against Stuxnet-like attacks
By Ellen Fussell Policastro
March/April 2011
Bài được đưa lên Internet ngày: tháng 3-4/2011
Lời người dịch: Các hạ tầng công nghiệp sử dụng các hệ thống kiểm soát giám sát và thu thập dữ liệu (SCADA) hiện nay rất dễ bị tổn thương sau vụ sâu Windows Stuxnet tấn công vào các cơ sở hạt nhân của Iran. Hiện Ủy ban chuẩn ISA99 về An ninh các Hệ thống Kiểm soát và Tự động hóa Công nghiệp đã thành lập một nhóm hành động để tiến hành một phân tích các điểm yếu của hàng loạt các chuẩn ANSI/ISA-99 hiện hành. “Cộng đồng ICS cũng học được từ quá khứ, hoặc chúng tôi sẽ bị tụt hậu xa trong cuộc chạy đua vũ trang về phần mềm độc hại”, Byres nói. “Stuxnet trao cho chúng ta cơ hội tuyệt vời để học cách mà các tiêu chuẩn của ANSI/ISA99 sẽ đứng vững được đối với các mối đe dọa tiên tiến thường xuyên mà chúng sẽ xuất hiện trong tương lai và cách mà các tiêu chuẩn có thể được cải thiện”. Như vậy là tại thời điểm hiện tại cho tới vài năm nữa, sẽ không có thuốc chữa chắc chắn nào cho bệnh Stuxnet cả. Có lẽ vì thế mà các quốc gia như Trung Quốc, Venezuela, Đức, Thụy Sỹ, Pháp, Liên minh châu Âu hoặc dừng phê duyệt các dự án xây dựng nhà máy điện nguyên tử, hoặc chờ có các tiêu chuẩn kỹ thuật mới, hoặc chuyển sang nguồn năng lượng khác như sức gió. Còn Việt Nam thì sao nhỉ???
Nếu bạn từng theo dõi thông tin về những mối đe dọa đối với các hệ thống kiểm soát và cách để ngăn chặn chúng, thì bạn có lẽ đã quen với Stuxnet, một sâu máy tính tinh vi phức tạp lần đầu tiên đã được phát hiện vào mùa hè năm 2010. Phần mềm độc hại lần đầu tiên được biết tới này được viết đặc biệt để gây tổn thương cho một hệ thống kiểm soát và phá hoại một qui trình công nghiệp. Các khả năng của Stuxnet được thấy nhiều trên báo chí những ngày đó, và một số khả năng có thể chuyển thành những mối đe dọa mới. Trong tương lai, các hệ thống tự động phải có khả năng dò tìm ra và khóa hoặc có khả năng phục hồi từ những mối đe dọa tiên tiến dạng như Stuxnet.
Để đối phó lại với những mối đe dọa này, ủy ban chuẩn ISA99 về An ninh các Hệ thống Kiểm soát và Tự động hóa Công nghiệp đã thành lập một nhóm hành động để tiến hành một phân tích các điểm yếu của hàng loạt các chuẩn ANSI/ISA-99 hiện hành. Mục tiêu là để xác định liệu các công ty tuân theo các chuẩn ISA-99 có được bảo vệ khỏi những cuộc tấn công tinh vi phức tạp như vậy được không và để xác định những thay đổi cần thiết, nếu có, cho các tiêu chuẩn mà ủy ban ISA99 đang phát triển.
“Một loạt các báo cáo kỹ thuật và tiêu chuẩn ISA-99 được xuất phát trong một tập hợp các nguyên tắc và khái niệm cho an ninh các hệ thống công nghiệp mà đã từng được hiệu đính qua một giai đoạn vài năm”, đồng chủ tịch của ISA99 Eric Cosman, tư vấn giải pháp kỹ thuật tại Michigan Operations in Midland, Mich, nói. “Điều quan trọng phải luôn duy trì các nguyên tắc trong khi phản ứng lại với một sự thay đổi nhanh chóng môi trường các mối đe dọa. Vấn đề là làm thế nào chúng ta đạt được các tiêu chuẩn mà chúng có thể chịu đựng được sự kiểm thử của thời gian”.
Nhóm hành động mới này dự kiến thực hiện một báo cáo kỹ thuật tổng kết các kết quả của phân tích của mình vào giữa năm 2011.
If you have been following news on the threats to control systems and how to prevent them, you are probably familiar with Stuxnet, a sophisticated computer worm first revealed in the summer of 2010. It is the first known malware written specifically to compromise a control system and sabotage an industrial process. Stuxnet’s capabilities are seeing more coverage in the press these days, and some of these capabilities may migrate into new threats. Going forward, automation systems must be able to detect and either block or be able to recover from advanced Stuxnet-like threats.
In response to these threats, the ISA99 standards committee on Industrial Automation and Control Systems Security has formed a task group to conduct a gap analysis of the current ANSI/ISA-99 series of standards. The purpose is to determine if companies following the ISA-99 standards would have been protected from such sophisticated attacks and to identify needed changes, if any, to standards the ISA99 committee is developing.
“The ISA-99 series of standards and technical reports is rooted in a set of principles and concepts for industrial systems security that have been vetted over a period of several years,” said ISA99 co-chairman Eric Cosman, engineering solutions consultant at Michigan Operations in Midland, Mich. “It is important to remain consistent with these principles while responding to a rapidly changing threat environment. This is how we achieve standards that can stand the test of time.”
The new task group intends to produce a technical report summarizing the results of its analysis by mid-2011.
Mối đe dọa của Stuxnet
“Stuxnet đã sử dụng cùng một tiếp cận như cuộc tấn công kẻ đứng giữa đường (MITM) mà nó từng xuất hiện từ năm 2002”, Joe Weiss, tư vấn điều hành tại Applied Control Solutions LLC in Cupertino, Calif, nói. “Nó chiếm quyền kiểm soát của các màn hình của người vận hành, ngăn người vận hành khỏi việc biết rằng không chỉ bộ Kiểm soát Logic có thể Lập trình được PLC (Programmable Logic Control) bị tổn thương, mà việc xử lý cũng bị tổn thương nốt, và anh ta đã không nhìn thấy nó”.
“Dạng tấn công MITM đã được trình diễn vào năm 2004 bởi Chương trình An ninh các Hệ thống Kiểm soát của Bộ An ninh Nội địa Mỹ, nơi mà một cuộc tấn công MITM sử dụng một lỗi cổ điển trong mạng IP được kết hợp với một cuộc tấn công mức ứng dụng có sử dụng giao thức truyền thông của riêng hệ thống kiểm soát đó”, Bryan Singer, nhà điều tra về an ninh công nghiệp tại Kenexis Security Corporation ở Helena, Ala., đồng chủ tịch của ISA99, nói.
“Chính dạng tấn công này chúng ta đã từ lâu quan ngại nhất”, Singer nói. “Hầu hết các cuộc tấn công và gây tổn thương của các hệ thống kiểm soát ngày nay bị tổn thương trước hết về tác động phụ thuộc đối với các cuộc tấn công hệ thống kiểm soát và không có chủ đích mà đã gây ra trong các cuộc du ngoạn gây thiệt hại. Chính sự kết hợp của 3 yếu tố này mà đại diện cho cơ hội lớn nhất đối với một tác động nghiêm trọng và dài lâu cho các hệ thống kiểm soát. Điều còn độc địa hơn đối với nó về Stuxnet là việc nó dường như là một khung công việc phần mềm độc hại toàn diện với nhiều sắc thái mà vẫn còn chưa hiểu hết được ngày nay. Tôi không nghĩ chúng ta đã thấy được thứ mới nhất của Stuxnet, và chúng ta chắc chắn đã thấy một sân chơi mới được mở ra cho những người viết phần mềm độc hại”.
“Mỗi sâu, virus hoặc cuộc thâm nhập mới là một sự tiến bộ về sâu, virus hoặc cuộc thâm nhập trước đó”, thành viên của ISA99 Eric Byres, giám đốc công nghệ tại Byres Security Inc., ở British Columbia, Canada, nói. “Những kẻ xấu học được từ những thành công và thất bại nên họ có thể xây dựng được các cuột tấn công đáng sợ hơn và hiệu quả hơn”, ông nói.
“Cộng đồng ICS cũng học được từ quá khứ, hoặc chúng tôi sẽ bị tụt hậu xa trong cuộc chạy đua vũ trang về phần mềm độc hại”, Byres nói. “Stuxnet trao cho chúng ta cơ hội tuyệt vời để học cách mà các tiêu chuẩn của ANSI/ISA99 sẽ đứng vững được đối với các mối đe dọa tiên tiến thường xuyên mà chúng sẽ xuất hiện trong tương lai và cách mà các tiêu chuẩn có thể được cải thiện”.
Stuxnet threat
“Stuxnet used the same approach as the man-in-the-middle (MITM) attack that’s been around since 2002,” said Joe Weiss, executive consultant at Applied Control Solutions LLC in Cupertino, Calif. “It took control of the operator screens, preventing the operator from knowing that not only was the PLC compromised, but the process was being compromised, and he didn’t see it.”
“The MITM type of attack was demonstrated back in 2004 by the U.S. Department of Homeland Security’s Control Systems Security Program, whereby a MITM attack using a classic flaw in IP networking is combined with an application level attack using the control system’s own communications protocol,” said Bryan Singer, principal investigator of industrial security at Kenexis Security Corporation in Helena, Ala., and co-chair of ISA99.
“It is this type of attack that we have long since been most concerned about,” Singer said. “Most of the attacks and compromises of control systems to date are comprised primarily of ancillary impact to the control system or non-targeted attacks that resulted in nuisance trips. It is the combination of these three factors that presents the most opportunity for a serious and long-lasting impact to control systems. What is even more unique about Stuxnet is that it appears to be a comprehensive malware framework with many nuances to it that are still being understood today. I don’t think we’ve seen the last of Stuxnet, and we certainly have seen a new playing field for malware writers opened up.”
“Every new worm, virus or hack is an evolution on a previous one,” said ISA99 member Eric Byres, chief technology officer at Byres Security Inc., in British Columbia, Canada. “The bad guys learn from their successes and mistakes so they can build scarier, more effective attacks,” he said.
“The ICS community also has to learn from the past, or we will be left far behind in the malware arms race,” Byres said. “Stuxnet gives us the perfect opportunity to learn how the ANSI/ISA-99 standards will stand up to the advanced persistent threats that will appear in the future and how the standards can be improved.”
Thành phần chính của ISA99
Các tiêu chuẩn ANSI/ISA-99 giải quyết vấn đề sống còn của an ninh không gian mạng cho các hệ thống kiểm soát và tự động công nghiệp. Các chuẩn này mô tả những khái niệm và mô hình cơ bản có liên quan tới an ninh không gian mạng, cũng như là những thành phần có trong một hệ thống quản lý an ninh không gian mạng để sử dụng trong môi trường các hệ thống kiểm soát và tự động công nghiệp. Chúng cũng cung cấp chỉ dẫn về cách để đáp ứng được các yêu cầu được mô tả cho từng yếu tố.
Các tiêu chuẩn ANSI/ISA-99 tạo nên các tài liệu cơ bản cho một loạt các tiêu chuẩn về an ninh công nghiệp loạt IEC 62443 (đôi khi thường được gọi là “SCADA”, hoặc kiểm soát giám sát và thu thập dữ liệu). Qua ít năm, những tiêu chuẩn này sẽ trở thành các tiêu chuẩn quốc tế cốt lõi cho việc bảo vệ các hạ tầng công nghiệp sống còn mà trực tiếp ảnh hưởng tới an toàn, sức khỏe của con người và môi trường. Chúng có thể được mở rộng cho các lĩnh vực ứng dụng khác, thậm chí rộng lớn hơn so với những gì thường được gắn cho cái nhãn “SCADA”. Dựa vào đó, điều cơ bản mà các công ty công nghiệp tuân theo các tiêu chuẩn IEC 62443 biết họ sẽ có khả năng dừng được Stuxnet tiếp theo. Công việc của nhóm hành động mới ISA99 sẽ có một ảnh hưởng đáng kể lên việc đảm bảo các cơ sở tự động là an ninh an toàn trong tương lai.
Nhóm hành động mới này, được chỉ định là ISA99 WG5 TG2, được mở cho tất cả các chuyên gia về vấn đề an ninh không gian mạng. Các bên có quan tâm có thể liên hệ với Eric Byres (eric@byressecurity.com). Các chuyên gia về an ninh không gian mạng có quan tâm tham gia vào ủy ban ISA99 được yêu cầu thăm trang http://isa99.isa.org và liên hệ với Charley Robinson (crobinson@isa.org).
ISA99 key ingredient
The ANSI/ISA-99 standards address the vital issue of cybersecurity for industrial automation and control systems. The standards describe the basic concepts and models related to cybersecurity, as well as the elements contained in a cybersecurity management system for use in the industrial automation and control systems environment. They also provide guidance on how to meet the requirements described for each element.
The ANSI/ISA-99 standards form the base documents for the IEC 62443 series of industrial automation (sometimes generically labeled “SCADA,” or supervisory control and data acquisition) security standards. Over the next few years, these standards will become core international standards for protecting critical industrial infrastructures that directly impact human safety, health, and the environment. They might be extended to other areas of application, even broader than those generically labeled “SCADA.” Based on this, it is essential industrial companies following IEC 62443 standards know they will be able to stop the next Stuxnet. The work of the new ISA99 task group will have a significant impact on ensuring automation facilities are secure in the future.
The new task group, designated ISA99 WG5 TG2, is open to all cybersecurity subject matter experts. Interested parties should contact Eric Byres (eric@byressecurity.com). Cybersecurity experts interested in joining the ISA99 committee are asked to visit http://isa99.isa.org and contact Charley Robinson (crobinson@isa.org).
Dịch tài liệu: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.