铁路软件过时的六种网络风险缓解策略

如今，铁路和公共交通运营商面临着重大的过时问题，随着商业现货(COTS)和物联网(IoT)产品的使用越来越多，这个问题只会越来越严重。原因很容易理解。铁路车辆和其他铁路资产的预期寿命为20至40年，而COTS硬件的寿命要短得多。在铁路运营技术(OT)环境中使用商业固件和操作系统，以及其难以管理的相关软件过时只会放大问题。

具体地说，这意味着即使有最好的过时管理系统，也要应用IEC标准62402:2019的所有建议¹，总有一天，机车车辆、信号系统或任何其他铁路子系统(如SCADA、乘客信息系统、站台纱门等)将不得不使用已知的过时元件进行操作。事实上，国际公共交通协会(UITP)的网络安全小组委员会正在研究过时问题²确定在8至10年后，公共交通营办商一般必须采取缓解措施，以保护不可避免地过时的系统。这个工作组，那个Cylus领导撰写了一份全面的白皮书，为公共交通运营商定义了如何应对软件过时的策略。

让我明确一点:过时远远不止于此网络安全风险。过时会带来可持续性风险，对操作和维护成本产生重大影响，以及与RAMS(可靠性、可用性、可维护性和安全性)问题相关的操作效率风险。对于那些对这些不相关的网络风险感兴趣的人，我建议咨询IEC标准62402:2019^3.，特别是过时资产风险评估部分和本UITP报告。

为什么过时的软件会成为定时炸弹?

以下是运营商必须从网络安全角度解决过时问题的原因:

法律和监管合规风险

依赖过时解决方案的运营商如果不遵守政府或行业法规，可能会面临巨额罚款甚至法律诉讼，特别是当使用具有已知漏洞的旧技术导致数据泄露时。

无安全补丁

硬件过时可能是固件过时的触发因素，因为没有进行安全更新。如果不发送补丁，系统就会变得容易受到已知攻击的攻击，而这些攻击本来是很容易预防的。

发现新漏洞

软件(即操作系统、固件、应用软件)本身的过时使铁路网络更容易受到网络攻击。随着时间的推移，发现新漏洞的可能性只会增加。

剥削的可能性增加

发现的漏洞越多，利用它们的机会就越大。更糟糕的是，从长远来看，低技能的攻击者可以稍微改编其他垂直领域已经开发好的恶意软件，并复制攻击。不需要从头开始开发攻击向量只会增加攻击者的报复动机和攻击的可能性。

被安全生态系统排除在外

为了加剧漏洞的影响，过时的软件从未真正集成来自新的“设计安全”编码最佳实践的最新安全控制，这使得检测更加困难，利用漏洞的可能性更大。此外，更新的保护提供的反病毒和类似网络安全解决方案没有针对过时的铁路系统上的恶意软件攻击签名进行调整，这再次增加了检测此类攻击的难度和发生攻击的概率。换句话说，如果没有正确的网络缓解措施，软件过时就会成为一颗定时炸弹。

减少过时风险的建议

根据我的经验和UITP网络安全小组委员会的工作，以下是我避免过时陷阱的6条建议:

1.更新规划

报废监测应在投标阶段开始，要求与系统设计阶段相结合，并在系统的整个生命周期中进行。所有铁路和公共交通运营商都应建立一个符合IEC 62402:2019标准的淘汰管理系统，该标准要求进行计划淘汰风险评估。

2.资产监控和报废识别

在他们的淘汰政策中，运营商必须映射他们所有的资产，并确定他们什么时候会过时。虽然可以手动完成一些后续工作，但随着时间的推移和资产数量的增加，软件驱动的监控解决方案变得必不可少。具有自动发现功能的监控系统不仅能够识别网络上运行的所有资产，而且越来越能够通过其软件或固件版本检测硬件细节，并标记出过时的版本及其总体风险评分。在设定基线后，他们还会监控任何可疑的数据流或从现有或新设备到过时设备的未经授权的访问尝试。

3.根据安全级别划分分区

根据新的TS 50701，被监控的资产应被分配到一致的安全区域和由管道连接的政策⁴标准(IEC 62443铁路适用)，并基于初步风险评估。资产划分应该根据技术生命周期(即过时)标准，以及许多其他允许的分割标准(例如，资产在完整性、可用性和机密性方面的风险;地理位置:物理上或逻辑上的位置;访问需求;操作功能;安全方面等)。现代OT网络连续监控技术允许这样的分区，并在违反这些策略时发出警报。

4.处理过时资讯科技解决方案

NCSC(英国国家网络安全中心)建议，过时的系统应该被视为“不可信”。它甚至建议只使用供应商仍然支持的解决方案，这意味着从过时的平台迁移，并应用短期缓解措施，直到迁移完成。虽然在IT环境中应用这一建议是可能的，但由于实际和经济原因，它在OT铁路网络中是不可行的。

5.处理OT环境中过时的解决方案

除了通过数据二极管物理隔离运行过时资产的网络之外，实施包含网络流量分析和深度数据包检测功能的监控解决方案是唯一有效的缓解措施，该解决方案在现有OT网络中产生许多其他复杂问题(例如延迟、同源)。只是再次强调，监控解决方案对于资产监督、过时识别和区域划分至关重要，并且可以提供补偿控制，以确保实时检测恶意行为，直到这些系统被迁移。

6.处理安全关键网络中的过时问题

并不是所有的监控系统都能处理安全关键网络中的过时问题。但是，特定于轨道的监视解决方案可以理解专有和专用协议。事实上，这样的解决方案必须有能力分析流向过时资产的持续数据流，包括来自OSI堆栈更高级别的数据流，然后必须将其与已知病毒和威胁的更新库进行系统比较。此外，运营商必须依赖能够更新其基于规则的监控系统的供应商，以围绕更新的、可利用的漏洞建立新的壁垒。

结论

COTS和物联网产品的越来越多的使用将提高铁路和公共交通运营商的效率，同时从长远来看，降低他们的成本。然而，这种数字化进程的好处也将放大与过时相关的问题，特别是在安全关键系统中。因此，铁路和公共交通运营商的合规性强制要求更新的过时管理系统和持续的以铁路为重点的监测解决方案，能够识别、划分和缓解解决方案，以确保过时问题得到处理。

引用:

1. IEC 62402:2019标准:请注意，该标准的重点主要是硬件过时
2. UITP报告:操作环境和网络安全的过时，2020年12月
3. 该标准定义的风险评估方法不同于网络安全专家所熟悉的IEC 62443方法
4. 针对铁路网络安全环境的未来标准TS 50701已于2020年10月10日正式发布，并将于2021年初发布。