当您隔离工业控制系统时,不要忘记DNS
许多运行工业控制系统的组织努力将它们与互联网隔离,但有时忘记禁止域名系统(DNS)流量,这为恶意软件提供了一种隐秘的方式来实现数据。
有时被称为监督控制和数据采集(SCADA)系统,工业控制系统(ICS)是臭名昭着的不安全。它们不仅是完整的缺陷的固件,而且通信协议很多都使用缺乏身份验证或加密。
由于大多数ICS系统通常意味着在部署一旦部署一旦部署的十年内,因此没有相当大的成本,他们“重新替换不可替换。因此,ICS运营商倾向于专注于保护控制系统周围的周边,而不是修补设备本身,这并不总是可能的。这是通过将ICS环境从公司网络和较大的互联网隔离来完成的,有时称为灭火器的动作。
根据ICS安全咨询公司数字债券的Reid Wightman表示,控制系统所有者经常认为他们的关键环境在他们实际上没有。他的团队经常发现的一件事是在为客户执行安全评估的同时发现他们已经阻止了互联网通信,但忘了DNS。
Wightman没有有特定的数字分享,但这种监督足以让他决定在S4Xeurope会议上致力于他的一半演讲。
DNS用于将人类可读的主机名转换为数字互联网协议(IP)地址,计算机需要彼此交谈。它是互联网的核心组成部分,但它也被用入本地网络,用于计算机更容易找到彼此。
问题是DNS请求可用于通过使DNS查询和响应以及攻击者拥有的域名来发送数据进出网络。该技术已知为DNS隧道,已知多年,并且过去已被恶意软件使用。
最近的例子来自一个名为Wekby的讯连月板组,该组过去几年一直针对医疗保健,电信,航空航天,国防和高科技产业的组织。
5月,来自安全公司Palo Alto Networks的研究人员报告说,该组的最新恶意软件工具正在使用DNS隧道与其命令和控制服务器进行通信。
Wightman Hasn“T使用DNS隧道看到任何特定于ICS特定的恶意软件以转义网络隔离,但该技术肯定是可行的。可以通过感染USB驱动器上的内部人员或承包商引入恶意软件,如被感染的USB驱动器的内部人员,就像被感染伊朗的Natanz核电站的Stuxnet Cybersabotage Worm一样。
减轻这个问题的最佳方法是为ICS环境完全禁止DNS,但在需要本地DNS的情况下,DNS服务器应突出,以拒绝对外部域的DNS查询,但是,Wightman表示。“例如,控制区DNS将Corpdomain.com的请求转发给Corpdomain.com到公司DNS,并拒绝任何其他域的查询。”