确保水和废水公用设施安全
水和废水系统部门的网络安全
吉姆·麦卡锡
国家网络安全卓越中心
国家标准与技术研究所
鲍勃·斯蒂
唐·法茨
MITRE公司
弗吉尼亚州麦克林
草案
翻译:樊山 (鹰眼翻译社区)
2022年11月
water_nccoe@nist.gov
1执行摘要
目的
本文件概述了国家网络安全卓越中心(NCCoE)项目,该项目将开发示例网络安全解决方案,以保护WWS部门公用事业运营环境中的基础设施。该部门越来越多地采用网络支持技术,这需要制定最佳实践、指导和解决方案,以确保设施的网络安全态势得到保障。
本项目探讨了WWS利益相关者确定的四个关注领域,即:资产管理、数据完整性、远程访问和网络分割。对这些领域进行了审查,以确定该领域利益攸关方之间的共同特点,并确定该行业众多领域面临的问题。本项目的重点是市政公用事业。
WWS行业的关键基础设施问题带来了一些独特的挑战。该行业的公用事业通常涉及管道分配网络和基础设施以及集中处理操作的广泛地理区域。支撑该基础设施的支持性操作技术(OT)可能依赖于监控和数据采集(SCADA)系统,该系统在整个企业中提供数据传输,实时发送传感器读数和信号。这些系统还控制与分销网络相连的生产环境中的自动化过程。
此外,随着工业物联网(IIoT)设备和平台(如基于云的SCADA和智能监控)的出现,许多OT设备正在向信息技术(IT)能力融合。
该项目将确定挑战,并开发一个参考架构,以演示使用商用产品和服务的解决方案。本文所述的项目也有助于与来自公共和私营部门的WWS部门利益相关者展开广泛讨论,以确定利益相关者和商业解决方案提供商。商业解决方案将集成到试点实验室环境中,以开发参考架构和案例研究。
该项目将产生一份可公开获取的NIST网络安全实践指南,其中将包括实施网络安全参考设计所需实际步骤的详细实施指南,以应对这些挑战。
范围
本项目描述描述了加强WWS设施运行环境中网络安全态势的几个领域。将探索以下领域:
l 资产管理–库存、可见性、关键性
l 数据完整性
l 远程访问
l 网络细分
假设
该项目将展示改善WWS利益相关者网络安全态势的解决方案,并遵循以下假设:
l 充分反映运营能力的WWS基础设施可用于解决方案测试
l 存在一系列商业可用的解决方案,并随时可供行业利益相关者使用,以展示针对已确定挑战的解决方案
挑战
WWS公用事业公司在网络支持操作方面具有广泛的能力。确定在解决广泛问题方面具有代表性的挑战可能很困难。此外,实验室构建的测试解决方案可能无法解决实际操作场景的复杂性。NCCoE并没有提供合规性解决方案,而是展示了该行业大部分人可能自愿采用的例证性案例。
背景
WWS利益相关者显然普遍认为,需要额外的网络安全实施参考,以帮助保护其关键基础设施。
基于网络方法的进步,加上网络威胁的不断增加,有必要在整个行业内改进网络安全保护。NCCoE及其利益相关者正在开展该项目,以确定并展示该行业的网络安全解决方案。该项目将以现有行业指南为基础,为直接实施现有商业解决方案提供信息,以应对行业公用事业面临的最紧迫的网络安全挑战。
本项目参考了联邦机构为确保水和废水供应商的保护所做的努力。环境保护局(EPA)[1]作为行业风险管理专门机构(SRMA),以工具、演习和技术援助的形式提供应对网络事件的协调和支持。国土安全部(DHS)网络安全和基础设施安全局(CISA)[2]领导了保护资产、缓解漏洞和减少潜在网络事件影响的工作。
WWS组织也为部门意识和能力建设做出了贡献。美国水工程协会(AWWA)为帮助水系统评估网络安全风险提供资源和指导。本文引用的AWWA网络安全评估工具和指南有助于公用事业单位识别网络风险敞口,确定优先事项,并执行适当和积极的网络安全战略,以支持《2018年美国水基础设施法》(AWIA)第2013节[3]。此外,水环境联合会(WEF)领导废水公用事业部门的工作,并在确定部门需求和优先事项方面提供指导和信息[4]。水信息共享与分析中心(WaterISAC)是水和废水部门的所有威胁安全信息源,为WSS部门提供了宝贵的信息和资源,包括“水和废水公用事业的15个网络安全基础”[5]
2 场景
根据与WWS公用事业单位和利益相关方的讨论,NCCoE确定了四类利益相关方,这些利益相关方已证明WWS公用设施具有高风险特征。NCCoE计划探索每个场景中的具体情境挑战,这些挑战将与公共和私人利益相关者合作解决。目标是在一个复制WWS中真实世界运营设施的环境中,用商用产品演示针对每个基于场景的挑战的解决方案集。
场景1:资产管理
WWS设施中可能存在可能产生额外网络安全风险的常见情况:
l 现有设备和软件清单不包括场外或远程设备,这在管理其安全配置方面造成了差距。
l 资产管理计划中不包括第三方设备。
l 生产设施的PLC和传感器无法通过特定的安全修订进行更新。
l 自动更新被禁用或设置为手动。
l 网络上的非操作设备(如HVAC或智能物联网设备)可能会增加攻击面。
l 在发生网络相关事件时,不会备份或归档整个操作配置。
在这些情况下,公用事业可能不知道或缺乏全面评估其资产处置的能力。恶意行为者可以使用组件软件中未修补的漏洞来建立植入软件的入口点。
资产管理的预期安全要求/结果是:
l 演示识别、分类和管理所有支持网络的设备的技术。
l 从易受攻击的网络设备检测网络上的潜在风险,如未修补的设备或软件缺陷。
l 提供操作系统归档和备份解决方案,可用于在发生网络事件时将系统恢复到完整功能。
场景2:数据完整性
网络设备之间的安全可靠通信可能会因以下几种情况而受到损害:
l 传输中的数据未加密,允许明文传输和窃听数据包。
l 直接监控系统活动允许网络上的欺骗和中间人攻击。
l 威胁行为体可以使用无效数据包模拟设备通信,并降低网络可用性。
l 第三方集成商提供对现有操作软件的更新和更改,而不使要求与公用事业的要求保持一致,这可能会在数据安全方面造成差距。
数据完整性的预期安全要求/结果是:
l 保护静态数据和传输数据的完整性。检测到缺乏保护和完整性受损。
l 演示安全通信方法,以防止潜在的系统危害或降低网络可用性。
l 提供解决方案,允许在部署到生产环境之前对网络设备和设备进行沙盒测试,以确保通信中的数据完整性。
场景3:远程访问
威胁行为体可以通过多种途径访问网络,例如凭证收集、网络钓鱼活动或明文识别和身份验证数据。
然后可以展开以下场景:
l SCADA软件使用通用用户名和密码,允许多个用户在无需唯一身份验证的情况下访问系统。
l 服务器端口不限于网络流量所需的最小值,增加了攻击面。
l 远程访问网络不需要多因素身份验证。
l 第三方硬件和服务提供商可以广泛使用操作技术,这也可能导致其他网络领域。
预期的安全要求/结果是:
l 演示确保在网络上的所有设备和系统上配置安全策略和实践保障的方法,如多因素身份验证和消除共享帐户。
l 提供一种机制来执行协议,如规则或基于角色的控制,以便访问取决于责任级别。
l 检测入侵或异常行为对网络的潜在危害。
l 演示防范和补救恶意活动的方法。
场景4:网络分割
部门最佳实践要求进行网络分割,即根据功能或权限的相似性,通过物理或虚拟方式将网络分割成更小的逻辑分区。在以下类型的场景中可能会发现网络分割的缺失:
l 没有手动方法将工业控制系统(ICS)组件与通用网络断开。
l 安全操作数据不会通过主动管理的路由器通过网络非军事区(DMZ)传输给公用事业管理人员。
l 网络没有被分割(通过虚拟局域网或软件定义的网络),因此通信可以从企业的任何部分流向另一部分。
l 集中监控平台和过程控制系统之间的数字通信不是通过DMZ实现的。
l 可通过未经授权的终端访问工厂运行的关键设备。
预期的安全要求/结果是:
l 为商用产品的使用提供解决方案,如防火墙或软件定义的网络,这将提供企业网络的逻辑分割。
l 检测允许未经授权访问的漏洞,如拥塞、宽网络周界或拓扑。
l 证明DMZ相关解决方案作为完全气隙设施的替代方案的有效性。
l 提供解决方案,从逻辑上确保对高风险操作组件的敏感访问。
3高层架构
本节提出了一个简化的参考架构,作为开发项目场景的模型。在大范围内,一个市政WWS公用设施覆盖了很广的区域,其架构如图1所示。
图1 WWS基础设施示例
如图1所示,WWS实用程序通常由以下组件组成:
l 集中式:监控能力,可远程访问服务器和历史记录,为管理和业务收集数据
l 区域:本地化处理中心,包括有线网络服务器、监控和数据采集(SCADA)、人机界面(HMI)和可编程逻辑控制器(PLC),以及过程控制数据和传感器读数
l 远程:具有无线遥测功能的广域网SCADA,用于监控泵站和配水网络等远程基础设施
l 此外,PLC和控制器分布在网络和泵站之间,带有传感器,可记录压力、温度和物理化学特性等指标
在该图中,WWS公用事业运营一个集中处理设施,根据市政的地理要求,有几个区域子设施。监控中心可以通过远程访问功能,通过互联网与运营商和站点的信息进行连接。网络分割理想地在连接设备的集群之间创建逻辑分离。
要求
该项目将确定合作供应商的专业网络安全能力,以解决上一节中确定的漏洞。为了演示参考架构,合作利益相关者需要供应商提供以下内容的产品和技术:
<u>资产管理:</u>资产发现和可见性解决方案识别网络上存在的所有资产,无论是物理资产、虚拟资产、内部或外部资产还是云端资产。这些软件解决方案还提供有关配置、产品版本或协议中需要更新或强制执行安全策略的现有差距的信息。改进资产发现和可见性通常通过对所有网络设备进行分类和分级,然后是审计和合规阶段来实现。可以通过自动化和协调基线需求来实现预定安全态势的实施。
<u>数据完整性:</u>数据完整性解决方案将提供能力,以确保OT环境中的通信不会在传输过程中被修改或替换。这些技术将确定完整性是否受到损害,例如数据修改或欺骗。它们提供了防止完整性丢失的功能,如密码机制和验证技术。这些功能还将与现有的安全信息和事件管理系统集成,以捕获和分析网络流量数据。
<u>远程访问:</u>本项目将包括提供和实施访问策略的功能。这些解决方案确保网络设备之间可以进行授权通信,并防止来自未知系统的未授权访问或信息交换。这些功能可以被配置为监视和记录未经授权的网络认证尝试,从而提供异常行为的可见性。此外,这些系统可能需要与WWS实体内的现有身份和访问管理解决方案协同工作,例如联合系统、混合云/IT网络、多因素身份验证和IIoT设备管理。
<u>网络分段:</u>网络分段功能将提供逻辑上隔离的网络子集,可以更有效地进行管理。分段是通过基于过程或操作区域、ICS协议或可访问性要求等共性建立设备和基础设施的区域或逻辑组来实现的。分段提供了更详细的授权和访问级别,对关键资产和基础设施之间的网络流的可见性,以及对设备管理的控制,并通过将威胁隔离在网络的有限部分,将其潜在危害降至最低。
4相关标准和指南
l NIST改善关键基础设施网络安全框架(NIST网络安全框架[CSF])是一种工具,可帮助组织了解与其业务相关的网络安全风险,并确定管理这些风险的目标。该框架由三个组件组成:核心、实施层和CSF概要。该核心将网络安全分为五个功能:识别、保护、检测、响应和恢复。每个职能进一步细分为描述与职能相关的结果和目标的类别和子类别。CSF的四个层次描述了组织网络安全计划的严格程度和复杂程度。它们为理解和推理网络安全在多大程度上被或需要被整合到业务流程中提供了基础。最后,CSF配置文件用于将业务职能与网络安全职能联系起来,帮助组织了解网络安全如何对业务成果做出贡献。
l NIST SP 800-82r3 IPD《操作技术(OT)安全指南》为保障操作技术系统的安全,同时保持这些系统的性能、可靠性和安全提供了指导。该出版物涉及建立OT网络安全计划、管理OT网络风险、开发OT网络安全架构以及将NIST CSF应用于OT系统。
l WaterISAC,“水和废水公用事业的15个网络安全基础”,https://www.waterisac.org/fundamentals.本指南最初于2012年发布,2019年更新,描述了在15个高级别类别下组织的IT和OT网络安全最佳实践。
l 美国水利工程协会(AWWA)网络安全风险管理工具,主页(AWWA.org)。使用该工具,用户可以回答关于其控制系统环境的22个问题,该工具生成所需网络安全控制的优先列表。
l ISO/IEC 62443是一系列标准,旨在满足管理网络安全控制系统和操作技术的要求和方法。标准分为四个层次:一般、政策和程序、系统和组件。
5安全控制图
本表将NCCoE应用于网络安全挑战的商业产品的特性映射到《改进关键基础设施网络安全框架》中描述的适用标准和最佳实践以及其他NIST活动。本练习旨在证明标准和最佳实践的真实适用性,但并不意味着具有这些特征的产品将满足行业对监管批准或认证的要求。
表1:安全控制图
附录A参考文件
[1] 美国环境保护局(EPA),《来源与解决方案:废水》。可用:https://www.epa.gov/nutrientpollution/sources-and-solutions-wastewater.
[2] 网络安全和基础设施安全局(CISA),国家关键职能部门供水和废水管理。可用:https://www.cisa.gov/ncf-water.
[3] 摘要3021,《2018年美国水基础设施法案》,可查阅:https://www.congress.gov/115/bills/s3021/BILLS-115s3021enr.pdf.
[4] M.Arceneaux和L.McFadden,《水务部门的网络安全状况》。水环境技术,2022年1月。可用:https://www.waterenvironmenttechnology-digital.com/waterenvironmenttechnology/january_2022/MobilePagedArticle.action?articleId=1753528#articleId1753528.
[5] 水资源信息共享与分析中心(ISAC),15《水和污水设施网络安全基础》。2019.可用:https://www.waterisac.org/system/files/articles/15%20Cybersecurity%20Fundamentals%20%28WaterISAC%29.pdf。
附录B首字母缩写
DMZ 非军事区
IIoT 工业物联网
ICS 工业控制系统
NCCoE 国家网络安全卓越中心
NIST 国家标准与技术研究所
OT 操作技术
PLC 可编程逻辑控制器
SCADA 监控和数据采集
WWS 水和废水系统
