2021年10月28日，美國能源部長格蘭霍姆召開了她的顧問委員會(SEAB)第一次會議。本次會議議題包括能源部的“能源地球射擊(Earthshot)計劃”和對清潔能源的關(guān)注。Michael Mabee、Joe Weiss、David Bardin 和 Tommy Waller 等行業(yè)專家在會上陳述了意見建議。國際知名自動化和網(wǎng)絡(luò)安全專家Joe Weiss針對過程傳感器的網(wǎng)絡(luò)層面保護問題，再次闡述了他的觀點。并建議能源部，保護過程傳感器是一個需要特別關(guān)注的硬技術(shù)障礙。能源部需要認真對待過程傳感器網(wǎng)絡(luò)安全，鼓勵過程傳感器監(jiān)控范式轉(zhuǎn)變，鼓勵對過程傳感器負責(zé)人員進行網(wǎng)絡(luò)安全培訓(xùn)，并與CISA協(xié)調(diào)政府和行業(yè)專家共同解決過程傳感器網(wǎng)絡(luò)安全問題。過程傳感器到底有什么的網(wǎng)絡(luò)安全問題呢?這一問題的嚴(yán)重程度如何?

　　過程傳感器有何網(wǎng)絡(luò)安全風(fēng)險?

　　過程傳感器用于測量壓力，液位，流量(如蒸汽，液體，電力等)，溫度，電壓，電流等。這些設(shè)備通過為現(xiàn)場控制器、執(zhí)行器、電機、驅(qū)動器、分析儀、機器人和基于windows的操作站提供關(guān)鍵輸入，對網(wǎng)絡(luò)安全、過程安全、可靠性、產(chǎn)品質(zhì)量和彈性至關(guān)重要。所有監(jiān)視或控制物理過程的組織都利用來自具有共同網(wǎng)絡(luò)限制的普通供應(yīng)商的類似類型的過程傳感器。這包括商用和軍事核設(shè)施的運營組合體，包括水力和可再生能源的發(fā)電，電網(wǎng)中的微電網(wǎng)，智能制造，智能建筑，以及電機在內(nèi)的高功率應(yīng)用設(shè)備等等。

　　IT和運營技術(shù)(OT)網(wǎng)絡(luò)安全從業(yè)人員采取基于網(wǎng)絡(luò)的方法，監(jiān)控互聯(lián)網(wǎng)協(xié)議(IP)網(wǎng)絡(luò)的網(wǎng)絡(luò)異常。這對于IT網(wǎng)絡(luò)來說是必要的，但對于全面控制系統(tǒng)的網(wǎng)絡(luò)安全來說是不夠的。這是因為，作為OT網(wǎng)絡(luò)輸入的過程傳感器被錯誤地認為是無損的、經(jīng)過認證的、具有網(wǎng)絡(luò)日志功能，并在整個操作周期中提供正確的讀數(shù)。

　　Weiss在其博客文章中稱，過程傳感器讀數(shù)的錯誤，無論是出于無意還是惡意，都造成了重大的災(zāi)難性影響，但過程安全標(biāo)準(zhǔn)并沒有解決過程傳感器的網(wǎng)絡(luò)安全問題。因此，在對安裝在液化天然氣設(shè)施中的最先進的安全壓力變送器的聯(lián)合ISA84(過程安全)/ISA99(網(wǎng)絡(luò)安全)評估中，對過程傳感器的網(wǎng)絡(luò)漏洞進行了檢查。在138項個體網(wǎng)絡(luò)安全要求中，壓力變送器失敗占了69項，而這些要求本可以阻止設(shè)施的安全運行。所有的基礎(chǔ)設(shè)施和設(shè)備都處于危險之中，因為過程傳感器是不安全的和未經(jīng)認證的(即，傳感器測量信號來自于傳感器)。

　　過程傳感器的主要障礙

　　梳理Weiss在能源部顧問委員會上的建議，大致可以歸納出以下主要的技術(shù)或非技術(shù)障礙。

　　1、所有過程應(yīng)用中都有數(shù)千萬個傳統(tǒng)過程傳感器(這不包括個人和住宅應(yīng)用中額外的數(shù)千萬個 IOT傳感器)。過程傳感器沒有網(wǎng)絡(luò)安全、身份驗證或網(wǎng)絡(luò)日志記錄，可能無法更新以確保網(wǎng)絡(luò)安全。這涉及到整個生態(tài)系統(tǒng)，包括傳感器、傳感器網(wǎng)絡(luò)、通信協(xié)議和安全技術(shù)。

　　2、普遍認為過程傳感器網(wǎng)絡(luò)安全不是問題，因為它只會產(chǎn)生局部影響。然而，這種認識是錯誤的，已有活生生的例子發(fā)生了。需要解決使傳感器能夠損壞更大流程(比如電網(wǎng))的系統(tǒng)交互問題。

　　3、智能電網(wǎng)、智能制造、工業(yè) 4.0等基于“無處不在的傳感器”和傳感器數(shù)據(jù)的大數(shù)據(jù)分析。如果不能信任輸入的傳感器數(shù)據(jù)，那么大數(shù)據(jù)分析就不受信任。

　　4、傳感器網(wǎng)絡(luò)安全問題是一個新問題。需要工程和網(wǎng)絡(luò)組織協(xié)同工作。過程傳感器的監(jiān)控將迫使這些不同的專業(yè)領(lǐng)域一起工作，這可能會促進改變游戲規(guī)則。

　　5、已有傳感器對建筑和HVAC控制的影響的研究報告顯示，建筑/暖通空調(diào)系統(tǒng)中傳感器系統(tǒng)的網(wǎng)絡(luò)安全威脅正在增加，因此傳感器數(shù)據(jù)傳輸可能會被黑客入侵。根據(jù)研究報告的結(jié)論，必須了解被黑客入侵的傳感器數(shù)據(jù)如何影響樓宇控制性能(這只能由控制系統(tǒng)完成，而不能由網(wǎng)絡(luò)專家完成)。典型的情況可能包括傳感器數(shù)據(jù)被黑客修改并發(fā)送到控制回路，從而導(dǎo)致極端的控制行為。

　　6、如果不能相信你測量的東西，你就不能擁有網(wǎng)絡(luò)安全。然而，過程傳感器的網(wǎng)絡(luò)安全超出了NERC關(guān)鍵基礎(chǔ)設(shè)施保護 (CIP) 網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的范圍。

　　7、如果不能相信你測量的東西，態(tài)勢感知能力也無從談起。

　　8、假冒過程傳感器和硬件后門是硬件供應(yīng)問題。硬件供應(yīng)鏈攻擊的情況已屢見不鮮。

　　真實的控制系統(tǒng)網(wǎng)絡(luò)事件

　　Weiss稱，美國的早就對手意識到了這些局限性。伊朗電氣工業(yè)的工業(yè)安全專家對工業(yè)控制系統(tǒng)安全框架和最佳實踐有深入的了解，如ISA-99/IEC-62443, NERC CIP, NIST 800-82, SANS安全實踐，Nozomi工具，西門子，橫河和ABB控制系統(tǒng)等等。

　　WEISS個人收集的控制系統(tǒng)網(wǎng)絡(luò)事件的非公開數(shù)據(jù)庫中，就有超過75起建筑/設(shè)施控制系統(tǒng)網(wǎng)絡(luò)事件，其中一些是由過程傳感器問題引起或加劇的。

　　俄羅斯黑客2018年曾經(jīng)入侵了沙特阿拉伯一家石化工廠的Triconex安全系統(tǒng)(施耐德公司旗下的安全平臺，已超越了一般意義上的功能安全系統(tǒng)，為工廠提供全套的安全關(guān)鍵解決方案和全生命周期安全管理理念與服務(wù)。核電站、石化工廠、供水系統(tǒng)廣泛使用Triconex安全系統(tǒng))。入侵的目的是炸掉工廠。即使在工廠被惡意軟件關(guān)閉后，黑客也沒有被發(fā)現(xiàn)，缺乏識別控制系統(tǒng)網(wǎng)絡(luò)事件直接影響的能力以滿足最近政府行為等網(wǎng)絡(luò)安全TSA網(wǎng)絡(luò)安全需求和總統(tǒng)行政命令14028。過程傳感器的監(jiān)測將幫助過程傳感器提供直接過程異常的跡象。

　　另有某國向北美市場提供了假冒的壓力傳感器，并在提供給美國公用事業(yè)公司的大型電力變壓器上安裝了硬件后門。缺乏過程傳感器認證允許“欺騙”傳感器信號從而控制變壓器。由于沒有對過程傳感器信號進行認證(傳感器信號來自變壓器內(nèi)部或“惡意攻擊者”)，不可能知道變壓器是否已被損壞。

　　OT網(wǎng)絡(luò)安全需要范式轉(zhuǎn)變

　　網(wǎng)絡(luò)攻擊泛化的時代，無論是IT還是OT網(wǎng)絡(luò)都無法完全免受網(wǎng)絡(luò)攻擊的困擾。因此，保護關(guān)鍵的基礎(chǔ)設(shè)施需要改變模式。傳統(tǒng)的IT網(wǎng)絡(luò)安全最佳實踐不能復(fù)制到OT系統(tǒng)，即使那樣也將是無效的。建議的方法本質(zhì)上是，即實時帶外(不連接任何互聯(lián)網(wǎng))監(jiān)測過程傳感器的電特性。多年來，工程師們一直使用這種方法監(jiān)測設(shè)備運行狀況(過程異常檢測)。直到最近，這種方法還沒有應(yīng)用到網(wǎng)絡(luò)安全中。

　　帶外過程傳感器監(jiān)測的結(jié)果是隔離過程傳感器測量，免于網(wǎng)絡(luò)惡意軟件的危害，無論是來自IT或OT網(wǎng)絡(luò)。這種方法可以幫助證明在勒索軟件攻擊期間設(shè)施的持續(xù)運行，因為惡意軟件無法到達過程傳感器監(jiān)控。同時，過程傳感器監(jiān)測持續(xù)提供運行的實時狀態(tài)。

　　此外，過程傳感器監(jiān)控提供了預(yù)測性維護能力，提高了生產(chǎn)率和安全性。其他人已經(jīng)認識到這種方法的價值。