最新公告
  • 欢迎您光临欧资源网,本站秉承服务宗旨 履行“站长”责任,销售只是起点 服务永无止境!立即加入我们
  • SCADA软件中的意味着漏洞,你中枪了吗?

    工控系统安全形势亟待改善

    但是,一些安全专家认为,这类恶意软件仍然是普通攻击者无法企及的。

    “创建能够成功攻击 ICS 系统的恶意软件并非易事,它需要大量的战略和规划可编程序控制器,”漏洞和情报管理公司 Secunia 的首席安全官 Thomas Kristensen 说。显然,可以发起此类攻击的人员和组织的数量是有限的。

    Peterson 表示,大多数部署 SCADA 和 DCS(分布式控制系统)的应用程序和硬件都没有考虑安全开发生命周期(SDL)。想想 1990 年代后期的微软可编程序控制器,充满了导致错误、错误和错误的常见编程错误。这意味着可编程逻辑控制器 (PLC) 和其他设备领域的设计并不安全。

    Digital Bond 发布了多个在许多 PLC(SCADA 硬件组件)中发现的漏洞。这是一个名为 Project Basecamp 的研究项目的一部分,该项目旨在展示许多现有 PLC 的脆弱性和不安全性。

    Santamarta 认为,如今,研究人员更容易发现 SCADA 软件中的漏洞。

    SCADA 漏洞信息甚至还有市场。由安全专家 Luigi Auriemma 和 Donato Ferrante 创立的马耳他安全公司 ReVuln 向政府机构和其他私人买家出售软件漏洞信息。ReVuln 出售的漏洞中超过 40% 是 SCADA 漏洞。

    根据 Donato Ferrante 的说法,SCADA 安全方面的攻击和投资都呈增长趋势。事实上,如果 SCADA 市场的大玩家投入大量资金来加强这些基础设施,这意味着 SCADA/ICS 话题将是未来一年的热门话题。

    然而,保护 SCADA 系统并不像传统的 IT 基础设施和计算机系统那样简单。即使安全供应商已经发布了 SCADA 的安全补丁,易受攻击系统的所有者也需要很长时间才能部署它们。

    Luigi Auriemma 说 SCADA 系统的自动补丁很少。大多数时候,SCADA 管理员需要手动应用适当的补丁。

    Kamluk认为情况很糟糕。SCADA 系统的主要目标是持续运行,这意味着安装补丁或更新无法重新启动系统或程序。

    此外,SCADA 安全补丁需要在部署到真实环境之前进行彻底测试,因为任何意外行为都会对系统运行产生重大影响。

    大多数 SCADA 安全专家希望在重新设计 PLC 等工业控制设备时应考虑到安全性。

    Peterson 认为,具有基本安全措施和计划的 PLC 需要在未来 1-3 年内在大多数关键基础设施中部署安全性。

    Santamarta 认为,理想情况下,工业设备的设计是为了安全,但让我们面对现实吧,这需要时间。我们不应该从 IT 角度对它们过于苛刻。也就是说,每个人都应该意识到是时候做点什么了,包括工业制造商。Santamarta 表示,由于安全设计没有充分考虑安全性,ICS 所有者应采取纵深防御措施来保护这些系统。Kamluk 表示,ICS 应该与互联网断开连接,并放入一个具有严格限制/审核访问权限的隔离网络。

    Kristensen 说,关键基础设施的所有者应该意识到,对关键基础设施的访问需要单独的网络或至少单独的身份验证信息。这也应该是 ICS 的相关主题,安全专家认为这是一个良好的开端,然而,到目前为止,进展甚微。

    “我只是希望政府能够诚实地公开表示,这些系统的设计初衷并不安全,运行关键 SCADA 和 DCS 的组织应该计划在未来 1-3 年内更新或更换这些系统,”彼得森说。Kamluk 说,政府法规是有帮助的。一些 SCADA 供应商牺牲安全性来保持低成本,而不考虑这种做法的风险和对人类生活的潜在影响。

    今年早些时候,卡巴斯基实验室宣布了一项操作系统开发计划,旨在为 SCADA 和其他 ICS 系统提供安全的设计环境。Santamarta 说,虽然这听起来像是一个有趣的项目,但这将取决于 SCADA 社区和行业如何应对它。Ferrante 表示,关于新操作系统的详细信息不足以评估其功能。我们需要等待正式发布。无论如何,采用新操作系统的主要问题是它需要能够运行现有的 SCADA 系统,而不必重写代码。

    站内大部分资源收集于网络,若侵犯了您的合法权益,请联系我们删除!
    欧资源网 » SCADA软件中的意味着漏洞,你中枪了吗?

    常见问题FAQ

    免费下载或者VIP会员专享资源能否直接商用?
    本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。
    提示下载完但解压或打开不了?
    最常见的情况是下载不完整: 可对比下载完压缩包的与网盘上的容量,若小于网盘提示的容量则是这个原因。这是浏览器下载的bug,建议用百度网盘软件或迅雷下载。若排除这种情况,可在对应资源底部留言,或 联络我们.。
    找不到素材资源介绍文章里的示例图片?
    对于PPT,KEY,Mockups,APP,网页模版等类型的素材,文章内用于介绍的图片通常并不包含在对应可供下载素材包内。这些相关商业图片需另外购买,且本站不负责(也没有办法)找到出处。 同样地一些字体文件也是这种情况,但部分素材会在素材包内有一份字体下载链接清单。
    欧资源网
    一个高级程序员模板开发平台

    发表评论