立即保护您的 OPC UA 环境的 4 种方法
OPC UA是工业环境中广泛采用的标准。尽管如此,其安全性仍然存在问题。2022 年 4 月,Pwn2Own(一个为能够破坏工业控制系统的参赛者提供奖励的黑客会议)的两名黑客获得了运行世界许多电网的软件的权限,这清楚地证明了这一点。当然,如果两名道德安全黑客能够在两天内获得对关键服务的这种访问权限,那么外国情报机构也可以。
为了在同月进一步推动这一点,网络安全和基础设施安全局 (CISA)与美国能源部、国家安全局和联邦调查局发布了联合警报:他们已经确定了对OPC UA 服务器。我将了解 Pwn2Own 黑客攻击和 CISA 警报突出显示的 OPC UA 服务器面临的危险,然后我将介绍您现在可以采取的四项措施来保护您的 OPC UA 环境。
通过暴力获取对 OPC UA 服务器的访问权限
以下是名为“针对 ICS/SCADA 设备的 APT 网络工具”的 CISA 警报对威胁的描述:
“APT 攻击者的 OPC UA 工具包含具有基本功能的模块,可识别 OPC UA 服务器并使用默认或先前受损的凭据连接到 OPC UA 服务器。客户端可以从服务器读取 OPC UA 结构,并可能写入通过 OPC UA 可用的标签值。”
公平地说,这个问题不是 OPC UA 漏洞;相反,实施不当会导致攻击者可以利用的安全漏洞。这就是 Pwn2Own 的黑客访问电力系统的方式:他们能够进入网络,然后通过暴力破解获得访问权限。CISA 发现的——以及警报的内容——是试图做到这一点的特定工具。
如果攻击者成功使用这些工具(或类似工具),他们可以从基础设施中获取关键的操作数据,或者在最坏的情况下,可以对系统进行更改。具有这种 OPC UA 访问权限的外部行为者可能会造成灾难性后果,甚至可能带来国家安全风险。
如何降低 OPC UA 的风险
CISA 警报提供了一些可以让您的 OPC UA 环境更安全的操作。我将深入探讨这些内容,并添加来自 Paessler 监控专家的一些建议。
1. 将 ICS/SCADA 系统和网络与公司和互联网网络隔离
虽然与 OPC UA 没有直接关系,但这确实最大限度地减少了外部参与者首先访问 ICS 网络和系统的可能性。乌托邦式的理想是拥有一个完全气隙的ICS 网络,但在现实中,这几乎是不可能的。相反,CISA 警报建议密切控制“进入或离开 ICS/SCADA 边界”的通信。
这里的一个好做法是密切监视不同网络之间边界上的防火墙,以确保您知道进出网络的流量,并观察任何异常活动(例如带宽使用高峰予以说明)。
2.配置OPC UA安全
CISA 建议正确配置 OPC UA 安全。这包括确保存在应用程序身份验证并使用明确的信任列表。请参阅 OPC 基金会关于构建 OPC UA 应用程序的实用安全指南以获得他们的建议。
3. 监控 OPC UA 服务器的诊断摘要
这是我们 Paessler 专家的推荐。暴力尝试往往会表现出某些特征,例如会话尝试次数激增或 OPC UA 请求次数激增。按理说,您应该关注 OPC UA 环境的这两个方面。
OPC UA 服务器可以配置为跟踪诊断信息。如果打开此功能,您可以监控某些可能表明试图通过蛮力获取访问权限的计数。这包括被拒绝的会话和被拒绝的请求计数。
您可以使用具有 OPC UA 功能的监控工具(如我们的Paessler PRTG 产品)来观察这两个指标,并在被拒绝的会话或请求计数异常激增时触发警报。
4. 留意您的 OPC UA 证书
OPC UA 证书是安全概念的关键部分,需要仔细监控它们以确保它们有效并且不会意外过期。在这里,具有 OPC UA 功能的监控工具也可以发挥重要作用。
要查看 OPC UA 证书监控工作原理的示例,请查看此 OPC UA 证书监控教程。
监控是网络安全的重要组成部分
监控是维护网络安全的关键。它不仅可以识别可能表示可疑活动的活动,还可以触发警报,以便您立即了解。甚至 CISA 报告也建议使用监控解决方案来记录和触发有关恶意指标和行为的警报。
Paessler PRTG 监控软件让您可以使用 OPC UA、Modbus、SNMP 等标准和协议监控您的 OT 环境。更好的是,它可以让您将 OT、IIoT 和 IT 监控数据合并到一个概览中。详细了解其在工业基础设施中的用途。
售前咨询专员
