您已过时的ETRM系统构成的网络安全风险


您的ETRM系统是否让您暴露在黑客?

经过 肯特兰德鲁姆

能源或商品交易和风险管理(ETRM或CTRM)系统获得了势头 自20世纪90年代以来 并继续成为许多能源公司信息技术景观的核心。在许多情况下,这些应用程序已经开发并不断增强了几十年,并随身携带过时的技术和软件开发标准。虽然近年来,ETRM供应商的主要etrm供应商对其平台进行了改进,但相对较少的客户留在软件发布的前沿。此外,大多数传统的ETRM解决方案最初是作为本地解决方案开发的,大多数客户都继续以这种方式操作它们。 这些等因素,结合创造了显着的网络安全风险的潜力。

许多公司在其ETRM解决方案的原始实施中的时间和金钱方面取得了重大投资。然而,多年来,这些应用程序越来越多地与企业资源规划(ERP),数据仓库等其他关键企业系统相结合,以及交流/经纪人和市场数据服务等外部各方进一步扩大网络风险配置文件。初始资本支出和经常性运营费用留下了一些胃口,即在没有经营所需的关键新功能的额外修补或升级,尽管如此,它只是恰好这些步骤可以减少的这些步骤潜在的曝光。

网络风险

能源公司是 已知是顶级目标 对于恶意行为者 - 特别是那些国家赞助和“黑客”品种的演员。 ETRM解决方案架构的任何级别或层的过时的软件都会提出了这些网络威胁演员将寻求利用的安全漏洞。通常,旧应用程序与最新,最安全的操作系统(OS),数据库(DB)和运行时软件不兼容,因此这些关键组件也无法升级。更多数量的旧组件增加了潜在的攻击表面,并且更老化的是意味着有更多的已知漏洞可用于任何潜在的黑客。

该软件修补“日志JAM”由过时的应用程序创建的结果导致如下情况:

  • 运行旧版本的Java,.NET Framework等。
  • 使用SQL Server或Oracle数据库的过去版本。
  • 在过时版本的Windows或Linux上托管应用程序和数据库。

在更极端的情况下,这种情况可以螺旋到中间件软件,自定义集成以及与第三方等价格数据和测量服务等的接触点。自定义代码可以增加凭证填充或SQL注入等利用的风险。连同,这些差距可以让您的IT系统暴露在几十个,如果不是数百个潜在的网络漏洞。它不仅仅是恶意演员获得敏感的交易数据,或者他们可以离线采取关键的商业和风险系统,但ETRM可以用作攻击商业网络上的其他资产的平台。

缓解行动

显而易见的答案是升级ETRM系统,但建立一个福利案件,获得批准和为一个大型项目的安全资金来挑战和耗时。虽然组织考虑了升级或潜在的重新平台计划的长期前景,但下面是可以立即采取的步骤,以降低网络事件的风险。

  • 应用与ETRM供应商的软件兼容的OS和DB的最新版本和补丁 - 对于Java和.NET等组件和框架。
  • 硬化 您的数据库和应用程序服务器通过删除不必要的组件和访问,关闭端口,仅限于仅限rdp / ssh到白名单IP地址等。
  • 在ETRM系统的服务器上运行漏洞扫描并通过优先级进行纠正已确定的问题。
  • 使用运行当前加密协议的安全连接,例如TLS(传输层安全性) - 由于已知的漏洞,SSL已被弃用。
  • 请考虑在可行的情况下启用传输中的数据加密和静止(在DB或存储层中)。
  • 进行静态和/或动态码分析 在所有自定义接口和组件上,通过严重性进行修复安全缺陷。
  • 通过远程访问终端服务器或Citrix,对ETRM本身的中间层和数据库服务器,确保从最终用户系统的所有设备到达终点保护。
  • 启用日志记录并利用SIEM(安全信息和事件管理)解决方案以检测异常活动,并提供潜在违规的预警。
  • 分段网络 将遗留系统放在自己的“盒子”中,其中可以限制对真正需要的人和系统。

上面列出的项目涵盖了广泛的成本和复杂性,可以在各种逻辑序列中实现,并且可以以大多数IT部门可实现的方式进行起搏。

结论

当被要求的时候,风险和商业领导者的时间较少,可能难以证明大型投资可以证明像升级或替换ETRM系统所必需的投资。然而,潜在的网络安全漏洞所带来的真正风险需要迅速和谨慎的行动,以确保包括公司交易和风险景观的系统。像以前推荐的操作可以在减少ETRM系统的潜在攻击表面的情况下走得很长的路,并成为网络威胁演员的更难目标。


关于作者:

肯特兰德鲁姆,董事总经理在适当的LLP 过程& Technology 谁领导公司的练习 下游部门,拥有20年多元化的信息技术经验,重点是能源行业的解决方案交付。肯特有一个经过验证的曲目记录,用于管理下游和公用事业公司的全部生命周期软件实施项目,包括ERP,ETRM,BI,MDM和CRM。在重新加入适当之前,他曾担任副总统&CPS能源的首席信息官。肯特举行了B.S.计算机科学与经济学博学学位,综合单词大学组织发展硕士学位。

更多来自Atrm的作者& Cybersecurity:


Follow 华晨安全杂志on 推特, Facebook, 和 linkedin. 确保您收到最新安全和网络安全新闻和信息的警报。