水壩與工控安全的最大威脅竟然是……

美國內政部監察長辦公室最近公布一份報告，報告對美國墾務局(USBR)運營的5座水電站大壩進行了評估，並將這些大壩認定為「關鍵基礎設施」。

USBR是美國第二大水力發電生產商，其水電站供應著美國350萬家庭的生產生活用電。有鑒於USBR的服務規模，針對他們的網路威脅也就可能導致深遠的影響了。尤其是控制著大壩物理輸出的ICS，一旦遭到破壞性網路攻擊，甚至可能危及國家安全。

這份評估報告的一個關鍵發現是，水電站大壩面臨的主要風險並非來自於外部網路攻擊活動，而是出自內部因素。換句話說，這些水利大壩最大的網路威脅是他們的員工和前員工。

該為這些漏洞負直接責任的，是USBR的賬戶管理和人員安全操作，這其中存在與ICS系統管理員訪問許可權、口令安全及背景核查上的諸多問題。即便ICS與公網和公司業務系統斷開，此類內部威脅仍可對ICS造成極大安全風險。

系統管理員訪問許可權

水利大壩ICS系統的主要問題之一，來自其管理員訪問許可權的控制與監視方式。評估發現，USBR運營中心25名員工中的大多數，都至少掌握有一個不在其職權範圍內的ICS賬戶；有系統管理員許可權的13名員工中僅5人身負官方認定的ICS管理職責。

根據美國國家標準與技術局(NIST)設立的原則，為保證最高級別的內部安全性，應實施「最小許可權」原則(意味著僅有身負相關工作職責的員工才可以擁有相應訪問許可權)。

另外，USBR授權了近20個ICS組賬戶，每一個都具有系統管理員許可權，但卻沒有任何一個按照NIST的強制要求實現了持續監視。

弄到了組許可權的惡意攻擊者完全可以更改關鍵系統程序和日誌，獲取ICS訪問權，安裝上惡意軟體。

口令安全

員工未遵守部門強制規定每60天更改一次口令，是本次評估中發現的另一個主要威脅。這倒是暗合了對口令安全知之甚少也懶得學習網路安全最佳實踐的美國大多數民眾的標準做法。

被評估的30個ICS管理員賬戶中，有10個一年多來未修改過其口令。另外，30個ICS管理員賬戶的9個和18個組賬戶的7個至少有1年未被使用過了。沒有及時註銷未使用賬戶可能會讓這些賬戶成為網路攻擊的切入點。

定期口令更改的缺乏，有部分原因在於使用了太多組賬戶；在所有用戶間協調共享賬戶訪問許可權相當困難，因而往往直接被無視。更糟的是，員工離職時，與其賬戶及組賬戶相關的口令也未修改，又增可被利用的額外漏洞。

背景核查

水利大壩ICS風險的又一主要因素，是缺乏足夠的背景核查與人員安全操作。具系統管理員許可權的13名USBR員工中，僅11名完成了2級背景調查，而USBR的人員安全手冊要求的是所有此類員工必須通過至少該級別的背景調查。

而且，一旦入職，被賦予了ICS管理員許可權的用戶就不再接受2012年聯邦調查標準中規定的持續評估了。

接下來怎麼做

USBR的ICS安全出現了很多漏洞是事實，但仍可採取措施來緩解風險，比如報告中列出的這些：

根據職責所需控制ICS管理員許可權的發放。

刪除所有具ICS管理員許可權的組賬戶並確保不再創建非必要的組賬戶。

員工離職或崗位調動時刪除其ICS管理員賬戶。

確保員工定期修改其ICS賬戶口令。

強化背景審查過程並推進後續定期審查。

只要實現了上述措施，水利大壩及其用戶的安全性都會得到顯著提升，國家安全也會獲得相應的保障。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！