Certified Security It’s Coming
May 2011 (p.41)
Written by Dave Gehman, Contributing Editor
Theo: http://www.automationworld.com/feature-8769
Bài được đưa lên Internet ngày: tháng 05/2011
Lời người dịch: Sau Stuxnet, cho tới giờ vẫn chưa có biện pháp hữu hiệu nào để bảo vệ an ninh an toàn cho các hệ thống SCADA của các hạ tầng sống còn, dù có lẽ trong tương lai sẽ có các hệ thống chứng chỉ dựa trên các tiêu chuẩn ISA99 được cải tiến sẽ được áp dụng. “Trong khi chờ đợi, với hoặc không với chứng chỉ và các tiêu chuẩn, có một số cách thức để làm giảm bớt sợ hãi về phần mềm độc hại, bắt đầu với việc đóng si bất kỳ công cụ truy cập không được phép nào tới mạng: cài đặt các tường lửa, chỉ định và tăng cường các mật khẩu, loại bỏ hoặc khóa các bàn phím, vô hiệu hóa các kết nối bằng USB, vứt đi các đĩa hoặc băng từ lỗi thời và những thứ tương tự”. Không biết ở ta thì các nơi có sử dụng các hệ thống SCADA thì có làm như khuyến cáo này không nhỉ?
Các kiểm soát, thiết bị và mạng công nghiệp mà được chứng thực an ninh - an ninh một cách toàn diện - không tồn tại, vì lý do đơn giản rằng các tiêu chuẩn hoàn toàn là không có. Nhưng từng tí một của thứ đó đang cùng tới.
Nếu bạn muốn làm nín lặng một nhóm các kỹ sư kiểm soát, đơn giản nói, “Stuxnet”.
Vào giữa năm 2010, các tin tặc mũ đen đã chiếm quyền kiểm soát giám sát dựa trên phần mềm tại một nhúm các nhà máy trong các cuộc tấn công có mục đích cao. Các dạng tấn công độc hại đơn giản, tất nhiên, đã làm việc với thế giới điện toán cá nhân hàng chục năm qua - một miền đất nơi mà các trận đánh chống lại phần mềm độc hại từ lâu đã được nhìn rõ. Các làn sóng gây tai họa đã rửa qua toàn bộ thế giới, nhờ vào những sâu, virus, hướng dẫn sai, dừng các ứng dụng, làm hỏng tệp có chủ ý, bạn có thể nêu thêm tên.
Cho tới khi, có thứ gì đó gây ngạc nhiên khi Stuxnet đưa các phần mềm độc hại vào điểm sáng công nghiệp. Nhiều phỏng đoán gợi ý cuộc tấn công là đặc biệt, quốc gia chống lại quốc gia, với sự phát triển quân sự là đích ngắm. Và trong khi điều này giảm nhẹ một chút nếu bạn làm nước cam hơn là vũ khí hạt nhân, thì bóng ma bây giờ đang nổi lên, và nó sẽ không đi mất khỏi.
Thật không may, điều này lại không phải là một ông ba bị không gây hại gì. Các sản phẩm của bạn đóng góp càng gần bao nhiêu cho các ứng dụng quân sự, an ninh quốc gia hoặc hạ tầng xã hội, thì càng có các khả năng khủng khiếp hơn. Nhưng điều gì có thể xảy ra nếu bạn có thể đơn giản làm cho cái mạng tiếp theo của bạn bị sập, thì hãy kiểm tra các nhãn hoặc tài liệu của nó về sự tuân thủ các tiêu chuẩn an ninh, và nghỉ ngơi, biết rằng toàn bộ hệ thống kiểm soát của bạn sẽ miễn dịch với cuộc tấn công nhỉ?
Vâng, Virginia, các tiêu chuẩn hoặc sẽ có hoặc sắp có.
Industrial controllers, devices and networks that are certified secure—comprehensively secure—don’t exist, for the simple reason that the standards are not all in place. But bits and pieces of the puzzle are coming together.
If you want to hush a group of control engineers, simply say, “Stuxnet.”
In mid-2010, black hats took over software-based supervisory control at a handful of plants in highly targeted attacks. Similar types of malicious attacks, of course, have been at work in the personal computing world for decades—a land where battles against malware have long been highly visible. Waves of grief have washed over that universe, thanks to worms, viruses, misdirections, application stoppages, deliberate file corruption, you name it.
Still, it was something of a surprise when Stuxnet brought malware into the industrial spotlight. Plenty of speculation suggests the attack was specific, nation against nation, with military development the target. And while this a bit of a relief if you make orange drink rather than nuclear arms, the specter is now raised, and it will not go away.
Unfortunately, it is no harmless bogeyman. The closer your products contribute to military applications, national security or social infrastructure, the more frightening are the possibilities. But what if you could simply take your next network out of the box, check its labels or docs for security standards compliance, and relax, knowing that your whole control system will be immune to attack?
Yes, Virginia, standards are either in place or about to be.
Các tiêu chuẩn đang có
Các thiết bị riêng lẻ có sẵn ngày nay có chứng chỉ mà chúng là phù hợp với Wurldtech, một công ty công nghệ về an ninh có trụ sở ở Vancouver, B.C. cung cấp an ninh không gian mạng theo tên lóng Achilles - đặc biệt, chứng thực về an ninh truyền thông. Dựa vào công việc nền tảng từ nhóm các công ty Đức WIB, cả chứng thực thiết bị của Achilles và một chứng chỉ quá trình thứ 2 của Achilles xung quanh các thực tế phát triển sản phẩm kết nối mạng tốt đưa ra “một tập hợp các yêu cầu và một chương trình chứng chỉ có liên quan cho các nhà cung cấp tuân theo... để cải thiện chất lượng các qui trình và thực tiễn an ninh không gian mạng xuyên khắp toàn bộ vòng đời của một hệ thống công nghiệp”.
WIB và Wurldtech đã kiếm lợi từ công việc đắt đỏ và đầu vào từ Shell, British Petroleum, Invensys, Honeywell, ABB, Dow, DuPont, Sabic và một số các tay chơi lớn khác trong các phân đoạn công nghiệp có ý thức cao về an ninh.
2 dạng chứng chỉ của Wurldtech minh họa 2 chiến lược ban đầu cho việc đảm bảo an ninh một hệ thống: Một chứng chỉ tập trung vào các tham số hoạt động đặc thù của các thiết bị đặc thù; chứng chỉ kia tập trung vào các quá trình nghiên cứu và phát triển được sử dụng trong việc tạo ra các thành phần mạng công nghiệp. Cái đầu đo khả năng các tính năng được xây dựng trong một thiết bị để ngăn ngừa sự truy cập không được phép chống lại một bộ đặc thù các cuộc tấn công. Cái thứ 2 đưa ra các tiêu chí thiết kế và các tính năng an ninh không gian mạng sẵn sàng được yêu cầu cho việc tạo ra một thành phần chống được phần mềm độc hại, với mục đích đảm bảo rằng mọi thứ được yêu cầu để đẩy lui các cuộc tấn công sẽ sẵn sàng cho một người triển khai được huấn luyện.
Trong tương lai, việc sản xuất thiết bị sẽ được cấp chứng chỉ đối với các tiêu chuẩn như những tiêu chuẩn được đưa ra từ ủy ban an ninh không gian mạng công nghiệp ISA99. Như với hầu hết các tiêu chuẩn của Xã hội Tự động hóa Quốc tế ISA (International Society of Automation), những thứ được mong đợi sẽ là toàn diện, và quá trình từ sự khái niệm hóa cho tới xuất bản các tiêu chuẩn là cần thiết về lâu dài.
Mô tả của ủy ban về mục tiêu của nó nhấn mạnh tới phạm vi rộng: “Phát triển và thiết lập các tiêu chuẩn, khuyến cáo các thực tiễn, các báo cáo kỹ thuật, và các thông tin liên quan mà sẽ xác định các thủ tục cho việc triển khai các hệ thống kiểm soát và tự động hóa công nghiệp an ninh điện tử, và đánh gái được hiệu năng an ninh điện tử. Chỉ dẫn được định hướng vào những người có trách nhiệm cho việc thiết kế, triển khai, hoặc quản lý các hệ thống công nghiệp tự động hóa và kiểm soát và cũng sẽ áp dụng cho những người sử dụng, các nhà tích hợp hệ thống, các nhà thực hành an ninh và các nhà sản xuất và các nhà cung cấp các hệ thống kiểm soát”.
Standards in place
Individual devices available today carry certification that they are in compliance with Wurldtech, a Vancouver, B.C. security technologies company providing cyber security under the Achilles moniker—specifically, certified for communications security. Based on groundwork from Dutch consortium WIB (Werkgroup voor Instrument Beoordeling; in English, Workgroup on Instrument Behavior), both the Achilles device certification and a second Achilles process certification around good networking product development practices lays down “a set of requirements and an associated certification program for suppliers to follow … to improve the quality of their cyber security processes and practices throughout the entire lifecycle of an industrial system.”
WIB and Wurldtech benefited from extensive work and input from Shell, British Petroleum, Invensys, Honeywell, ABB, Dow, DuPont, Sabic and a number of other large players in highly security-conscious industrial segments.
The two Wurldtech certification types illustrate the two primary strategies for securing a system: One focuses on specific operational parameters of specific devices; the other focuses on the research and development processes employed in the making of industrial networking components. The first measures the ability of features built into a device to prevent unauthorized access against a specific suite of attacks. The second prescribes the design criteria and available cyber security features required for the creation of a malware-resistant component, with the objective of ensuring that everything required to fend off attacks will be available to a trained implementer.
In the future, manufacturing equipment will be certified to standards such as those issued from the ISA99 industrial cyber security committee. As with most International Society of Automation (ISA) standards, these are intended to be comprehensive, and the process from conceptualization to standards publication is necessarily a long one.
The committee’s description of its purpose underlines the broad scope: “Develop and establish standards, recommended practices, technical reports, and related information that will define procedures for implementing electronically secure industrial automation and control systems and security practices, and assess electronic security performance. Guidance is directed towards those responsible for designing, implementing, or managing industrial automation and control systems and shall also apply to users, system integrators, security practitioners, and control systems manufacturers and vendors.”
Liệu chúng ta có cần các tiêu chuẩn?
Nói chung, những người sử dụng muốn các tiêu chuẩn, ít nhất theo thăm dò ý kiến gần đây của các độc giả tờ Thế giới tự động hóa (Automation World) (xem bên cạnh “Có, Không, Có thể”), nơi mà 65% những người được hỏi đã chỉ ra họ muốn các thiết bị được cấp chứng chỉ về an ninh không gian mạng. Nhưng - dù bất kể là các tin tặc mũ trắng hay mũ đen trong cuộc chiến không gian mạng - thì các vấn đề vẫn có nhiều vùng xám.
“Nhiều người yêu cầu kiến trúc”, Bryan Singer, trưởng tư vấn của hãng Kenexis Security và là đồng chủ tịch của Ủy ban ISA99, nói. “Hãy nói cho chúng tôi những gì là kiến trúc và chúng tôi sẽ làm”, họ nói. Nhưng công nghệ thay đổi quá nhanh đối với điều đó, cả các công nghệ trong các kiểm soát và các công nghệ trong các phần mềm độc hại. Câu trả lời nằm trong các quá trình thiết kế - các thực tiễn và các thủ tục, các chiến lược ủy thác các hệ thống, thiết kế cho việc vận hành và duy trì các hệ thống.
Theo một nghĩa khác, các tiêu chuẩn ISA99 có một sự bắt đầu. Bổ sung vào các tham số của WIB/Wurldtech, ISA99 đã chào đón các khái niệm cơ bản từ các chỉ dẫn và các chiến lược xuyên khắp một số lượng các nền công nghiệp, bao gồm các lộ trình được đưa ra từ Bộ An ninh Nội địa Mỹ, tập đoàn North American Electric Reliability (NERC), các chỉ dẫn Bảo vệ Hạ tầng Sống còn CIP, Ủy ban Kỹ thuật Điện tử Hàng không AEEC, các báo cáo về An ninh và Hạ tầng mạng NIS, các kế hoạch và chương trình an ninh của Ủy ban Điều phối Năng lượng Liên bang Mỹ FERC, và tương tự, các sáng kiến công nghiệp đặc thù.
“Nếu bạn phải tổng kế nó trong một vài từ”, thì Singer nói, “đó là các thực tiễn tốt nhất - hãy nghĩ về nó đúng, thiết kế nó đúng, và làm nó đúng. Nghe đơn giản, và đôi khi nó là thế, nhưng sẽ có nhiều nỗ lực đằng sau khái niệm cơ bản này”.
Do we want standards?
In general, users want standards, at least according to a recent poll of Automation World readers (see sidebar, “Yes, No, Maybe”), where 65 percent of respondents indicated they wanted devices to be certified for cyber security. But—no matter how black and white the hats in the cyber shootout—the issues still have many gray areas.
“A lot of people ask for the architecture,” says Bryan Singer, principal consultant, Kenexis Security Corp. and co-chair of the ISA99 Committee. “ ‘Tell us what the architecture is and we’ll be done,’ they say. But technology changes too fast for that, both the technologies in controls and the technologies in malware. The answer lies in design processes—practices and procedures, strategies for commissioning systems, designs for operating and maintaining systems.”
In one sense, the ISA99 standards have a head start. In addition to WIB/Wurldtech parameters, ISA99 has welcomed basic concepts from guidelines and strategies across a number of industries, including roadmaps issued by the U.S. Department of Homeland Security, North American Electric Reliability Corp.’s (NERC) Critical Infrastructure Protection (CIP) guidelines, Airlines Electronic Engineering Committee (AEEC) Network Infrastructure and Security (NIS) reports, U.S. Federal Energy Regulatory Commission (FERC) security plans and programs, and similar, industry-specific initiatives.
“If you have to sum it up in a few words,” Singer says, “it’s best practices—think about it right, design it right, and do it right. Sounds simple, and sometimes it is, but there’s a lot of effort behind that basic concept.”
Ủy ban ISA99 đã đưa ra báo cáo kỹ thuật đầu tiên của nó, ISA TR99.03.01, “Các công nghệ An ninh cho các Hệ thống Tự động hóa và Kiểm soát công nghiệp”. Về báo cáo này, Singer nói, “Chung tôi đã đi qua tất cả các công nghệ mà bạn có thể sử dụng một cách điển hình để đảm bảo an ninh cho một hệ thống kiểm soát, bao gồm các tường lửa, mạng cục bộ LAN, các phần mềm chống virus và hàng đống các thứ khác. Kết quả là một sự đánh giá khả năng cho một thiết lập cài đặt công nghiệp, cố gắng để vạch ra những xem xét. Đây là một tài liệu tốt về những điểm mạnh và yếu của các tường lửa và nhiều chiến lược và chiến thuật ngăn chặn phần mềm độc hại khác nữa”.
Một số suy nghĩ và thực tiễn cần thiết là tương tự trực tiếp với những thứ như vậy về an toàn. “Bạn cần tiếp cận tới an ninh với cùng nguyên lý mà bạn duy trì cho an toàn”, Singer nói. “Bạn có sự bắt đầu chặt chẽ và các thủ tục cho các mức an toàn - thì vì sao chúng ta lại không có cùng thứ đó cho các mạng nhỉ?”
Bob Huba, giám đốc marketing sản phẩm của DeltaV và chuyên gia kiến trúc an ninh của Emerson Process Management tại Austin, Texas, nhấn mạnh sự tương tự đối với an toàn. “Đối với [các tiêu chuẩn an toàn công nghiệp] IEC 61508 hoặc IEC 61511, bạn có mã và các thủ tục mà chúng là chắc chắn, và chúng được kiểm thử tốt vượt ra khỏi những hành vi của hệ thống kiểm soát thông thường. Có một nhu cầu để lấy cùng các dạng yêu cầu và mang chúng qua bên an ninh. Bạn có thể có các mức độ khác nhau đối với các hệ thống an toàn và cùng dạng cách tiếp cận dựa vào các mức có thể cũng làm việc được trong lĩnh vực an ninh”.
The ISA99 Committee has already issued its first technical report, ISA TR99.03.01, “Security Technologies for Industrial Automation and Control Systems.” About this report, Singer says, “We went through all the technologies you would typically use to secure a control system, including firewalls, virtual Local Area Networks (LANs), antivirus software and a bunch more. The result is a capability assessment for an industrial setting, trying to delineate the key considerations. It’s a good document around the strengths and weaknesses of firewalls and many more malware-preventive strategies and tactics.”
Some of the necessary thinking and practices are directly analogous to those around safety. “You need to approach security with the same discipline you maintain for safety,” Singer says. “You have rigorous startup and procedures for safety levels—why don’t we have the same thing for networks?”
Bob Huba, DeltaV product marketing manager and security architecture expert for Emerson Process Management in Austin, Texas, underscores the analogy to safety. “For [industrial safety standards] IEC 61508 or IEC 61511, you have code and procedures that are firm, and they are well tested beyond normal control system behaviors. There’s a need to take the same kinds of requirements and carry them over to the security side. You can have different levels of safety systems and the same kind of level-based approach can work in the security arena as well.”
Xây dựng các công cụ đúng
“Ngay bây giờ trách nhiệm là tuân theo những thực tiễn tốt nhất bất kỳ ở đâu chúng có thể được tìm thấy”, Huba nói. “Sử dụng các công cụ tốt nhất để tạo ra hệ thống an ninh tốt nhất. Nhiều qui trình là sẵn sàng. Ngay bây giờ những gì không có là một tập hợp các công cụ để cho phép bạn nói rằng giải pháp có thể tốt nhất là đang có và đang làm việc. Các tiêu chuẩn sẽ giúp mọi người xác định rằng họ đã làm mọi thứ mà họ cần phải làm”.
Nhiều lựa chọn hơn cho việc kiểm thử là pha trộn, một trong số đó là Viện Tuân thủ An ninh Công nghiệp ISA (ISCI), với việc kiểm thử bảo hiểm an ninh thiết bị nhúng của mình, ISASecure. Các thành viên sáng lập của ISCI bao gồm Chevron, ExxonMobil Research và Engineering, Honeywell, Invensys Operations Management, Siemens và Yokogawa. Các thành viên kỹ thuật chủ chốt bao gồm exida, Mu Dynamics và Rockwell Automation. Trong một động thái để tăng cường các biện pháp và thực tiễn, các đặc tả kiểm thử của ISASecure đã được trộn với những thứ của Wurldtech Achilles trong một động thái được công bố vào tháng 10 năm ngoái.
Building the right tools
“The responsibility right now is to follow best practices wherever they can be found,” Huba says. “Use the best tools to create the most secure system. A lot of the process is available. What’s missing right now is a complete set of tools to allow you to say that the best possible solution is in place and working. Standards will help people determine that they’ve done everything they need to do.”
More options for testing are in the mix, one of which is the ISA Industrial Security Compliance Institute (ISCI), with its embedded device security assurance testing, ISASecure. ISCI founding members include Chevron, ExxonMobil Research and Engineering, Honeywell, Invensys Operations Management, Siemens and Yokogawa. Key technical members include exida, Mu Dynamics and Rockwell Automation. In a move to consolidate methods and practices, ISASecure’s testing specifications were merged with those of Wurldtech Achilles in a move announced last October.
Trong khi chờ đợi, với hoặc không với chứng chỉ và các tiêu chuẩn, có một số cách thức để làm giảm bớt sợ hãi về phần mềm độc hại, bắt đầu với việc đóng si bất kỳ công cụ truy cập không được phép nào tới mạng: cài đặt các tường lửa, chỉ định và tăng cường các mật khẩu, loại bỏ hoặc khóa các bàn phím, vô hiệu hóa các kết nối bằng USB, vứt đi các đĩa hoặc băng từ lỗi thời và những thứ tương tự.
Vì quá nhiều nhóm đã làm việc trong một loạt các nền công nghiệp như vậy về các vấn đề an ninh xung quanh các dạng tương tự các hệ thống kiểm soát công nghiệp (và cũng vì nhiều mối đe dọa đi theo các con đường tương tự), có một số lượng đáng kể những điều tương tự trong số các lời dạy, các thủ tục phát triển và các tham số kiểm thử trong tất cả các tài liệu sẵn có.
“Nhiều người bây giờ làm việc về ISA99 từng là một phần của những sáng kiến trước đó qua nhiều năm”, Ernie Rakaczky, quản lý chương trình an ninh không gian mạng các hệ thống kiểm soát cho Invensys Operations Management, chỉ ra. “Chúng tôi biết lẫn nhau và đã đi tới sự tôn trọng lẫn nhau trong nắm tình hình. Từng chút một có thể khác nhau, nhưng tập hợp cốt lõi những người là như nhau trong lúc này lúc khác”.
Rakaczky trích 3 yếu tố mà bất kỳ tiếp cận nào cũng phải nắm. “Đầu tiên, có những thứ đặc thù của hệ thống kiểm soát. Bạn chỉ định hoặc thay đổi mật khẩu thế nào? Ai có được các quyền ưu tiên của người sử dụng? Cách tốt nhất để giảm thiểu sự truy cập là gì?”
Thứ 2 là một tập hợp các tiêu chí chỉ dẫn xung quanh cách để triển khai các hệ thống, từ quản lý dự án, tới thiết lập hệ thống và các tham số, tới chấp nhận các tiêu chí, tới các cách thức và phương tiện để cập nhất hệ thống cuối cùng, vì, như ông ta nói, “chẳng bao giờ có sự kết thúc trong an ninh cả”.
“Yếu tố thứ 3 là một tài liệu hoặc tập hợp các tài liệu mà dẫn dắt cách mà chương trình an ninh được triển khai và được quản lý”, ông nói. “Mục tiêu là để chắc chắn chúng ta đang làm tất cả những thứ mà chúng ta cần phải làm để hỗ trợ hệ thống và đảm bảo chúng ta đã tạo ra được chiếc ô tốt nhất có thể về an ninh”.
“Trong thực tế”, Rakaczky bổ sung, “từ phía nhà cung cấp, thiết kế cho an ninh thực sự nên là một chương trình bảo đảm chất lượng. Khi bạn chờ cho tới khi kết thúc cho chứng chỉ, thì bạn đang chờ quá lâu. Nó nên được xây dựng trong việc kiểm thử sự phát triển đang diễn ra, mã nguồn, mọi thứ. Quá khó khăn để quay lại qua chu kỳ phát triển nếu thứ gì đó không đáp ứng được các tiêu chí”.
Meanwhile, with or without certification or standards, there are several ways to allay fears of malware, beginning with sealing any means of unauthorized access to the network: installing firewalls, assigning and enforcing passwords, removing or locking away keyboards, disabling Universal Serial Bus (USB) connectors, tossing out obsolete diskette or tape drives and the like.
Because so many groups have worked in such a variety of industries on security issues around similar kinds of industrial control systems (and also because many threats follow similar paths), there are a remarkable number of similarities among the precepts, developmental procedures and test parameters in all the available documents.
“Many of the people now working on ISA99 have been part of earlier initiatives over the years,” points out Ernie Rakaczky, program manager of cyber security for control systems for Invensys Operations Management. “We know each other and have come to respect each other’s take on the situation. The bits and pieces may be different, but a core set of the people has been the same for quite a while.”
Rakaczky cites three elements that any approach should take. “First, there are the specifics of the control system. How do you assign or change passwords? Who gets what user privileges? What’s the best way to minimize access?”
Second comes a set of guiding criteria around how to implement systems, from project management, to system baselining and parameters, to acceptance criteria, to ways and means to update the final system, because, as he says, “nothing’s ever final in security.”
“The third element is a document or document set that drives how the security program is implemented and managed,” he says. “The object is to make sure we’re doing all the things we need to do in support of the system and to make sure we’ve created the best possible umbrella of security.”
“In reality,” Rakaczky adds, “from the supplier side, design for security really should be a quality assurance program. When you wait until the end for certification, you’re waiting too long. It should be built into the ongoing developmental testing, the code, everything. It’s too hard to go back through the development cycle if something doesn’t meet the criteria.”
Các cuộc tấn công lớn, tiền lớn
Có một số bên tích cực xác định cho tình huống này. Bên đầu tiên là khoản tài chính gày còm hoàn vốn đầu tư đối với các tin tặc mũ đen. “Mức độ chi tiết và đầu tư vào Stuxnet là không thể tin nổi”, Charles Hoover, giám đốc phát triển kinh doanh về an ninh tại Rockwell Automation, nói. “Có nhiều sự hiểu biết kỹ thuật được yêu cầu ở những mức độ không thường được biết, và một số lượng khổng lồ tiền được đưa vào. Đã có các cuộc tấn công chỗ bị tổn thương với 4 lỗi ngày số 0 trùng khớp nhau trong đó và từng thứ này lấy đi nhiều tiền, mà không có bất kỳ khả năng hoàn vốn nào, nói, bằng việc thâm nhập được vào cơ sở dữ liệu của ngân hàng hoặc lấy được hàng triệu tài khoản thẻ tín dụng”. Mục tiêu: sự tưởng thưởng về lý tưởng sẽ thường vượt quá bất kỳ sự có được về tài chính nào, làm cho nỗ lực không ngon đối với hầu hết các tin tặc mũ đen.
“Vẫn còn”, ông nói, “một nhân viên bất bình có thể có chứa sự thúc đẩy mạnh về tư tưởng. Mấu chốt để bảo vệ chống lại hầu hết các tình huống ít hơn là Stuxnet này là một mô hình diện tích nhà máy lớn mà cho phép bạn phân thành các khu. Bạn cần chắc chắn những khu vực chủ chốt được khóa. Điều đó có thể dễ bị từ chối làm lộ ra mật khẩu vì ai đó quên nó, ít nhất cho tới khi bạn chắc chắn người chắc chắn có quyền đối với nó”.
Các mức độ và chi tiết về sự phát triển các tiêu chuẩn (và đi sau đó là sự tăng trưởng của các chương trình chứng chỉ) đang đi rộng và sâu – một trong những lý do rằng một sáng kiến ISA99 mất lâu thời gian. Ngay bây giờ, các phần mềm chống virus, các chương trình mật khẩu mạnh, việc giám sát chống thâm nhập trái phép giao thông mạng và loại bỏ các cổng vật lý được truy cập dễ dàng tạo thành nền tảng cơ bản nhất của các chương trình. Trong ít năm nữa, một lớp bảo vệ đang gia tăng qua các mạng công nghiệp sẽ đưa vào nhiều thực tiễn tốt nhất xung quanh các thủ tục, thiết kế hệ thống và hoạt động hàng ngày, được lượng hóa vào trong các tiêu chuẩn được nhận thức.
Big attacks, big money
There are some definite positive sides to the situation. A primary one is the meager financial return on investment for black hats. “The level of detail and investment in Stuxnet is incredible,” points out Charles Hoover, business development manager for security at Rockwell Automation. “There was a lot of technical knowledge required on levels not generally known, and a huge amount of money involved. There were four different zero day vulnerability attacks dovetailed into it and every one of those costs a great deal of money, without any of the returns possible, say, by infiltrating a bank’s database or siphoning off millions of credit card accounts.” Bottom line: ideological rewards will generally outweigh any financial gain, making the effort unpalatable to most black hats.
“Still,” he says, “a disgruntled employee can harbor a strong ideological motivation. The key for protection against most of these less-than-Stuxnet situations is a strong plant area model that allows you to section off areas. You need to make sure key areas stay locked down. That can be as simple as refusing to divulge a password because somebody forgot it, at least until you’re sure the person actually has the right to it.”
The levels and the details of standards development (and the follow-on growth of certification programs) run both wide and deep—one of the reasons that an ISA99 initiative takes a long time. Right now, antivirus software, strong password programs, intruder monitoring of network traffic and removal of easily accessed physical ports make up the most basic of programs. In a few years, a growing protective layer over industrial networks will include a multitude of best practices around procedures, system design and day-to-day operation, quantified into recognized standards.
Dịch tài liệu: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.