奥尔德斯马水处理设施安全事故及教训

背景概况

2021年2月5日，有黑客未经授权远程访问了位于佛罗里达州奥尔德斯马的Bruce T. Haddock水处理厂的操作员工作站，该工厂位于佛罗里达州坦帕市西北约15英里处。根据皮涅拉斯县警长办公室的说法，该身份不明的网络攻击者当天在两个不同的场合访问了操作员工作站，时间相隔大约五小时。在当天上午大约 8 点的第一次非法入侵期间，工厂操作员观察到鼠标光标在操作员站的屏幕上移动，并认为可能是管理员正在监视系统（因为过去发生过这种情况）。当天下午 1 点半左右，操作员观察到有人再次访问了系统，这次操作员终于可以确定异常。攻击者操控了鼠标，将指针挪到了控制水处理的软件上，并展开了持续 3~5 分钟的操作。网络攻击者将氢氧化钠（碱液）的设定值从100 ppm更改成11,100 ppm，然后退出系统。操作员看到了变化，立即将氢氧化钠的设定值改回了100 ppm。

在网络遭受入侵后，操作员立即通知了他的主管，禁用了远程访问应用程序（即TeamViewer） [1]

攻击的潜在影响

据奥尔德斯马市政府官员称，氢氧化钠设定值的改变大约需要在24-36小时之后才会对公共供水产生不利影响，但是该系统内置了冗余功能，可以在高pH值情况下向他们发出警报。由于工厂操作员观察到正在进行的网络入侵，因此设定值的更改被迅速撤消，奥尔德斯马市1.5万人口才能不陷于危险之境。此外，工业控制系统（ICS）已配置pH警报器，以提醒自来水工作人员氢氧化钠浓度过高。奥尔德斯马水处理厂有标准的操作程序，以帮助操作员在影响公众之前识别出异常的pH值。

尽管奥尔德斯马市并没有因为此次未经授权的篡改事件导致危险状况的发生，但如果此次网络攻击没有被察觉到，可能会有什么潜在的隐患呢？我们可以回顾历史，以了解可能发生的事情。2007年4月，斯宾塞水处理厂（位于马萨诸塞州波士顿以西约60英里处）的工作人员在供水中添加了过多的碱液，导致100多人被送往当地医院接受治疗。斯宾塞事件是由于内部组织失误和通知系统问题造成的，但涉及氢氧化钠值的增加，影响了公共供水。当高浓度的氢氧化钠（碱液）进入供水系统时，会引起皮疹、烧伤和其他不良反应。[2] 所以，在斯宾塞事件中，虽然pH值的高警报响了，但是在公众遭受到不利影响之前却并未采取纠正措施。

从奥尔德斯马安全事件中吸取的教训

自动化和过程控制

当我第一次听说奥尔德斯马的安全事件时，我首先想到的是作为一个自动化和过程控制工程师，为什么没有使用设定值限制来限制高低值的输入。输入验证是配置和编程的一种稳健的方法，对于关键系统尤其如此。如果使用了设定值限制，网络攻击者将无法轻易地将设定值更改为超出定义限制的值。

安全最佳实践

在奥尔德斯马安全事件中，许多ICS安全和行业最佳实践没有得到遵循，包括但不限于以下内容：

• 远程访问–对于许多组织而言，远程访问功能对于促进支持和故障排除工作至关重要，特别是考虑到资源限制和COVID-19限制。如果不需要远程访问，应该禁用远程访问，否则应该限制远程访问的使用。
• 多因素认证(MFA) –从不受信任的网络（例如Internet、企业网络等）到受信任的ICS设备的远程访问应要求使用MFA。
• 网络分割–根据事件的描述，操作员工作站可以访问Internet，并且远程用户可以连接到该工作站，而无需多次进行身份验证。ICS资产应在专用安全区内的防火墙后进行保护。
• VPN –仅在访问工业非军事区（DMZ）时，才需要通过加密的VPN连接进行远程访问，从而利用安全设备限制网络访问并检查与ICS环境的所有连接。
• 工业DMZ –未使用工业DMZ来代理从不受信任的设备到受信任的ICS操作员工作站的连接。到ICS环境的所有入口和出口流量都应通过工业DMZ，以方便访问控制，流量检查，记录和监视。远程桌面网关或跳转主机应位于工业DMZ中，并且可以用来连接ICS环境中的受信任设备。
• 最小权限原则–可以向使用TeamViewer检查供水系统状态的管理人员提供仅以查看的方式访问过程数据以进行监视的目的，从而强制执行最小特权和最小功能的原则。
• 数据限制–ICS数据安全性似乎不足。 为了发送用于监视目的的过程数据，应考虑使用单向网关。有一点是明确的，该工厂缺乏安全区域和网络流量限制，因此有可能使机密数据面临安全风险。
• 过时的操作系统–尽管尚不清楚操作员站上不受支持的Windows 7版本是否是奥尔德斯马安全漏洞的一个因素，但众所周知的事实是，不受支持/未安装补丁程序的操作系统和第三方应用程序可能会导致广泛的安全威胁。
• 共享帐户–多名员工共享同一用户帐户。出于基于角色的访问控制和计费的目的，应该用一个单独的帐户唯一地标识ICS的每个用户。不支持单个登录的旧式控制系统应在可行时进行迁移。
• 密码安全–所有计算机共享一个密码来访问TeamViewer。 最佳做法建议是创建强密码，不要共享它们。应该创建一个密码策略以帮助促进密码安全性的实施，并应提供持续的网络意识培训。
• 主机防火墙 –似乎没有使用基于主机的防火墙。[3]必须使用端点安全保护（例如，防火墙，AV等），并且应加强系统以删除不必要的应用程序和服务。
• 信息物理安全系统 –没有透露奥尔德斯马的冗余是否包括一个网络物理安全系统，该系统将在最坏的情况下（如果其他控制机制出故障）将系统置于安全状态。建议使用网络物理安全作为对策，以减少ICS安全事件的影响。[4]
• 安全评估/审查 –尽管该工厂表示他们已经采取了一些冗余措施来减轻风险，但在具有已知安全漏洞的系统上启用和使用远程访问使他们面临着无数潜在的网络攻击。建议应该进行安全评估，以评估对水处理厂ICS环境的风险和威胁。

总结

尽管在ICS网络安全方面没有“灵丹妙药”，但自来水工厂和其他关键基础设施可以通过评估、设计和实施符合ICS安全标准（例如NIST 800-82， IEC-62443等）和行业最佳实践的安全解决方案来改善其网络安全状况。分层安全控制的战略使用在降低安全风险方面是有效的，这种方法也被称为“深度防御”。“然而，网络对手不断调整他们的战术和技术，以逃避安全控制，因此，随着新威胁的出现，各工厂机构也必须不断完善和调整他们的安全对策。从这次安全事件中吸取的教训应该为关键基础设施敲响警钟，以评估其网络安全态势，并分配必要的资金进行持续改进，因为“设置并忘记它”的方法并不是解决动态安全威胁的有效手段。

Patrick Honeycutt拥有超过20年的网络安全和过程控制经验。他负责监督各种LSI的网络安全工作，包括ICS/OT网络安全评估，根据领先安全框架的指导方针和实践（NIST 800-82, ISA-99/IEC-62443等），根据行业特定的联邦指导方针（NERC CIP, FERC, CFATS等）评估关键基础设施，设计和实现网络和安全解决方案，使客户的ICS/OT环境与安全框架实践和行业特定的联邦准则保持一致。他还帮助LSI的客户建立ICS/OT网络安全计划，并创建安全路线图，以帮助他们使用基于风险的分阶段方法应对网络安全风险。请致电877-735-6905与Patrick联络，或发送电子邮件至 phoneycutt@logicalsysinc.com。

VISIT OUR ICS/OT CYBERSECURITY PAGE

[1]     Levenson, E. 2021年2月13日）。佛罗里达黑客行动突显了在没有适当安全性的情况下进行远程访问的风险。于2021年2月15日检索至 https://www.cnn.com/2021/02/13/us/florida-hack-remote-access/index.html 

[2]    Russell, J.（2007年9月28日）。州政府在碱水危机中批评斯宾塞员工。于2021年2月15日检索至  https://www.telegram.com/article/20070928/FRONTPAGENEWS/70928004

[3]     Mass.gov（2021）。为公共供水企业提供网络安全咨询。于2021年2月15日检索至 https://www.mass.gov/service-details/cybersecurity-advisory-for-public-water-suppliers

[4]     网络安全与基础设施安全局（2021年2月11日）。美国水处理设施的妥协。于2021年2月15日检索至 https://us-cert.cisa.gov/ncas/alerts/aa21-042a