保护我们的能源基础设施免受网络攻击
几乎每一天,新闻头条都宣布了另一项安全漏洞以及信用卡号码和其他个人信息的窃取。虽然一个人的信用卡被盗可能会令人讨厌和不安,但更重要但却不那么容易认识到的是物理基础设施(包括能源系统)的安全性。
“随着信用卡被盗,你可能需要支付50美元并获得一张新的信用卡,”斯通管理学院工程系统教授斯隆管理学院John Norris Maguire信息技术教授斯图尔特·麦克尼克说。 ,麻省理工学院斯隆协会的网络安全创始主任。“但是在基础设施攻击的情况下,可能会发生真正的物理损坏,恢复可能需要数周或数月。”
一些例子证明了威胁。2008年,一起涉嫌网络攻击炸毁了土耳其的石油管道,将其关闭了三个星期; 2009年,恶意的Stuxnet计算机蠕虫摧毁了数百台伊朗离心机,破坏了该国的核燃料浓缩计划; 并且在2015年,一次袭击造成了乌克兰电网的一部分 - 仅仅6个小时,但电网上的变电站必须手动操作数月。
根据Madnick的说法,对于成功攻击的对手来说,他们必须具备能力,机会和动力。在最近的事件中,所有这三个因素都是一致的,攻击者已经削弱了主要的物理系统。
“好消息是,至少在美国,我们还没有真正体验到这一点,”Madnick说。但他认为“这只是缺乏的动力”。例如,如果有足够的动力,世界各地的攻击者都可以摧毁国家相互连接的部分或全部电网,或者阻止天然气通过该国240万英里的管道。虽然应急设施和燃料供应可能会使物品运行几天,但修复系统可能需要更长的时间来修复攻击者已经损坏或炸毁的系统。
“这些都会影响我们的日常生活,”Madnick说。“而且这并不是大多数人所关注的。但只是希望它不会发生并不是一种安全的生活方式。” 他坚信“最坏的事情还未到来”。
对行业的挑战
确保能源系统的网络安全是一项日益严峻的挑战。为什么?今天的工业设施广泛依赖于工厂控制软件,而不是传统的机电设备。在某些情况下,即使是对确保安全至关重要的功能也几乎完全在软件中实现。在典型的工业设施中,分布在整个工厂中的数十个可编程计算系统提供对过程的本地控制 - 例如,将锅炉中的水位维持在特定设定点。这些设备都与更高级别的“监督”系统相互作用,使运营商能够在现场或远程控制本地系统和整个工厂运营。在大多数设施中,这些可编程计算系统不需要对要改变的设置进行任何认证。鉴于此设置,在本地或监控系统中访问软件的网络攻击者可能会导致服务中断或中断。
用于保护关键控制系统的传统方法是将它们“气隙” - 即将它们与公共互联网分开,以便入侵者无法接触它们。但在当今高连通性的世界中,气隙不再能保证安全。例如,公司经常雇用独立的承包商或供应商来维护和监控其设施中的专用设备。为了执行这些任务,承包商或供应商需要访问通常通过互联网传输的实时运营数据信息。此外,合法的业务需求,例如传输文件和更新软件,需要使用USB记忆棒,这可能会无意中危害气隙的完整性,使植物容易受到网络攻击。
寻找漏洞
公司积极致力于加强其安全性 - 但通常仅在发生某些事件后才开始。“因此,我们倾向于通过后视镜观察,”Madnick说。他强调在问题出现之前需要识别并减轻系统的漏洞。
识别网络漏洞的传统方法是创建所有组件的清单,检查每个组件以识别任何漏洞,缓解这些漏洞,然后汇总结果以保护整个系统。但麻省理工学院系统设计与管理项目的研究员Shaharyar Khan说,这种方法依赖于两个关键的简化假设。它假定事件总是在单个线性方向上运行,因此一个事件会导致另一个事件,从而导致另一个事件,依此类推,没有反馈循环或交互使序列复杂化。并且它假定单独理解每个组件的行为足以预测整个系统的行为。
但这些假设并不适用于复杂的系统 - 能源设施中的现代控制系统极其复杂,软件密集,并且由高度耦合的组件组成,这些组件以多种方式相互作用。因此,汗说,“整个系统表现出各个组成部分没有的行为” - 系统理论中称之为出现的属性。“我们认为安全性和安全性是系统的紧急属性,”汗说。因此,挑战在于通过定义新约束来控制系统的紧急行为,这一任务需要了解所有相互作用的因素 - 从人员到设备再到外部法规,以及更多 - 最终影响系统安全。
为了开发一个能够应对这一挑战的分析工具,Madnick,Khan和电气工程教授James L. Kirtley Jr.首先提出了一种称为系统理论事故模型和过程的方法,该方法是在15年前由麻省理工学院航空航天学教授Nancy Leveson。以这项工作为基础,他们开发了“网络安全”,这是一种专门为复杂工业控制系统的网络安全分析量身定制的分析方法。
要将网络安全程序应用于设施,分析师首先回答以下问题:
被分析系统的主要目的是什么; 也就是说,你需要保护什么?回答这个问题可能听起来很简单,但Madnick指出,“令人惊讶的是,当我们向公司询问他们的'皇冠珠宝'是什么时,他们往往难以识别它们。”
鉴于主要目的,系统可能发生的最坏情况是什么?确定主要目的和最严重的损失是理解分析目标和缓解资源的最佳分配的关键。
可能导致这种损失的主要危害是什么?举个简单的例子,在设施中使用潮湿的楼梯是一种危险; 有人从楼梯上摔下脚踝是一种损失。
谁或什么控制这种危害?在上面的例子中,第一步是确定控制楼梯状态的人或者是什么。下一步是询问控制器的人或控件是谁?然后,谁或什么控制那个控制器?递归地回答该问题并在各种控制器之间映射反馈回路产生分层控制结构,其负责将楼梯的状态保持在可接受的条件下。
给定完整的控制结构,下一步是询问:在给定系统状态的情况下,控制器可能采取哪些控制措施是不安全的?例如,如果攻击者破坏了密钥传感器的反馈,控制器将无法知道系统的实际状态,因此可能采取不正确的操作,或者可能在错误的时间或错误的顺序采取正确的操作 - 任何其中会导致损坏。
网络安全分析概述:该图总结了分析师在执行网络安全分析时所采取的步骤。图片来源:麻省理工学院
基于对系统的现在更深入的理解,分析师接下来假设一系列源于不安全控制行为的损失情景,并检查各种控制器如何相互作用以发出不安全的命令。“在分析的每个层面,我们都试图确定被控制过程的约束,如果违反,将导致系统进入不安全状态,”Khan说。例如,一个约束条件可能要求锅炉内的蒸汽压力不得超过某个上限,以防止锅炉因过压而爆裂。
“随着我们在分析过程中不断完善这些限制因素,我们能够确定新的要求,确保整个系统的安全性,”他说。“然后,我们可以通过系统设计,流程和程序或社会控制(如公司文化,监管要求或保险激励措施)确定实施遵守这些限制的实际步骤。”
实例探究
为了展示网络安全分析的能力,Khan选择了一个20兆瓦的燃气轮机发电厂 - 一个小型设施,其中包括电网上的全尺寸发电厂的所有元件。在一项分析中,他研究了燃气轮机的控制系统,特别关注如何改变控制燃料控制阀的软件以引起系统级损失。
执行网络安全分析产生了几个与涡轮相关的损失情景,包括火灾或爆炸,灾难性设备故障,以及最终无法发电。
例如,在一种情况下,攻击者禁用涡轮机的数字保护系统并改变控制燃料控制阀的软件中的逻辑,以便在阀门关闭时保持阀门打开,阻止燃料流入涡轮机。如果涡轮机然后突然从电网断开,它将开始比其设计极限更快地旋转并且将分裂,损坏附近的设备并伤害该区域中的工人。
Cybersafety分析揭示了该漏洞的来源:控制系统的更新版本消除了备用机械螺栓组件,确保了涡轮机的“超速”保护。相反,过速保护完全在软件中实现。
从业务角度来看,这种变化是有道理的。机械设备需要定期维护和测试,并且这些测试使涡轮机承受极端应力,有时会失效。然而,鉴于网络安全的重要性,将机械螺栓作为独立的安全装置带回可能是明智的 - 或者至少将独立的电子超速保护方案视为最后的防线。
另一个案例研究侧重于用于向所服务的建筑物提供冷冻水和空调的系统。Cybersafety分析再一次揭示了多种损失情景; 在这种情况下,大多数都有一个共同的原因:使用变频器(VFD)来调节驱动水泵和压缩机的电机的速度。
与所有电机一样,驱动冷却器压缩机的电机具有某些临界速度,在此速度下会发生机械共振,从而导致过度振动。VFD通常被编程为在电机启动期间跳过那些临界速度。但是一些VFD可以通过网络进行编程。因此,攻击者可以向VFD查询所连接的电动机的临界速度,然后命令它以该危险速度驱动电动机,从而永久性地损坏它。
“这是一种简单的攻击方式;它不需要很多复杂性,”汗说。“但它可能会发动并可能造成灾难性的破坏。” 他引用了Matthew Angle '07,MEng '11,Ph.D。的早期作品。'16,与Madnick和Kirtley合作。作为2017年工业控制系统网络攻击研究的一部分,Angle构建了一个实验室规模的电机测试套件,配备了完整的VFD,其中包含研究人员熟悉的计算机代码。通过简单地改变一些关键代码行,它们导致VFD中的电容器爆炸,将烟雾滚滚到麻省理工学院实验室后面的院子里。在具有全尺寸VFD的工业环境中,类似的网络攻击可能会导致严重的结构性损坏并可能对人员造成伤害。
鉴于此类可能性,研究团队建议公司仔细考虑其系统中设备的“功能”。很多时候,工厂人员甚至都不知道他们的设备提供的功能。例如,他们可能没有意识到,通过控制它的计算机代码的微小变化,可以使在其工厂中驱动电动机的VFD反向操作 - 明显的网络漏洞。删除该漏洞需要使用功能较少的VFD。“消除这些漏洞的良好工程设计有时会被误认为是倒退,但可能有必要改善工厂的安全状况,”Khan说。对系统进行全面的网络安全分析不仅会突出这些问题,
应对挑战
在他们的网络安全研究中,Khan,Madnick及其同事发现,漏洞通常可以追溯到人类行为以及管理决策。在一个案例中,公司在运营商手册中包含了其设备的默认密码,该手册可在互联网上公开获得。其他情况涉及操作员将USB驱动器和个人笔记本电脑直接连接到工厂网络,从而突破气隙甚至将恶意软件引入工厂控制系统。
在一种情况下,夜间工作人员使用USB棒将电影下载到工厂计算机上。但是,这些行动往往是为了让当前关闭的工厂重新启动和运行的绝望尝试的一部分。“在优先考虑的宏伟计划中,我明白专注于让工厂再次运转是文化的一部分,”Madnick说。“不幸的是,人们为了保持工厂运转而做的事情有时会给工厂带来更大的风险。”
实现新的文化和思维方式需要对管理链上的网络安全做出认真的承诺。缓解策略可能需要重新设计控制系统,购买新设备或改变可能产生额外成本的流程和程序。鉴于利害攸关的问题,管理层不仅要批准此类投资,还要在其组织中灌输一种紧迫感,以识别漏洞并消除或减轻漏洞。
根据他们的研究,研究人员得出结论,不可能保证工业控制系统永远不会破坏其网络防御系统。“因此,系统的设计必须能够抵御攻击的影响,”Khan说。“网络安全分析是一种强有力的方法,因为它产生了一整套要求 - 不仅是技术要求,还有组织,后勤和程序 - 可以提高任何复杂能源系统抵御网络攻击的弹性。”
标签: 免受网络攻击