在互聯(lián)世界里，因?yàn)镮CS/SCADA(工業(yè)控制系統(tǒng)/監(jiān)控和數(shù)據(jù)采集系統(tǒng))系統(tǒng)與互聯(lián)網(wǎng)物理隔離就對(duì)網(wǎng)絡(luò)攻擊免疫的老一套認(rèn)知已經(jīng)不再適用。雖然很多企業(yè)已經(jīng)承認(rèn)傳統(tǒng)物理隔離正在消失，有些企業(yè)依然堅(jiān)信這是一種切實(shí)可行的安全措施。

理論上，物理隔離聽(tīng)起來(lái)是種挺好的策略。但實(shí)際操作中，事情往往沒(méi)那么簡(jiǎn)單。即使在企業(yè)已經(jīng)采取所有能用的方法隔離他們的ICS網(wǎng)絡(luò)，與外面的世界斷絕聯(lián)系，我們依然可以看到網(wǎng)絡(luò)威脅跨越了邊界侵入進(jìn)來(lái)。同時(shí)，即便有可能完全物理隔離ICS網(wǎng)絡(luò)，內(nèi)部人士依然會(huì)造成威脅。

無(wú)論企業(yè)是否實(shí)現(xiàn)了物理隔離，ICS網(wǎng)絡(luò)都存在風(fēng)險(xiǎn)。原因何在，且聽(tīng)業(yè)界人士細(xì)細(xì)道來(lái)：

1. 文件交換的需要

甚至在物理隔離的操作技術(shù)(OT)環(huán)境中，文件也必須與外界進(jìn)行交換。此類例子有軟件補(bǔ)丁和來(lái)自系統(tǒng)集成方、承包商等第三方的文件等。對(duì)手可以利用這一點(diǎn)，誘騙雇員安裝虛假軟件更新和補(bǔ)丁，或者傳輸帶惡意軟件的文件到工業(yè)網(wǎng)絡(luò)中。

本月早些時(shí)候，勒索軟件作者就四處散布了名為“Allenbradleyupdate.zip”的惡意文件，偽裝成洛克韋爾自動(dòng)化公司的合法更新文件。該勒索軟件若成功安裝，便會(huì)鎖定受害計(jì)算機(jī)，直到機(jī)主支付贖金才能登錄系統(tǒng)訪問(wèn)計(jì)算機(jī)上的內(nèi)容?？刂葡到y(tǒng)擁有者和操作者被誘騙安裝上惡意軟件，損害到ICS網(wǎng)絡(luò)的威脅是十分現(xiàn)實(shí)的。

2. 受感染的個(gè)人設(shè)備

很多雇員會(huì)將個(gè)人設(shè)備接入ICS網(wǎng)絡(luò)，無(wú)論僅僅是為充個(gè)電，還是通過(guò)USB傳輸些文件。受感染的個(gè)人設(shè)備會(huì)將惡意軟件引入網(wǎng)絡(luò)，給ICS網(wǎng)絡(luò)帶來(lái)網(wǎng)絡(luò)威脅。

2011年的一份研究中，美國(guó)國(guó)土安全部(DHS)員工有意在聯(lián)邦機(jī)構(gòu)和承包商停車場(chǎng)掉落數(shù)據(jù)盤(pán)和U盤(pán)。研究報(bào)告顯示，60%的掉落設(shè)備(很容易包含有惡意代碼)都被插入到了公司或機(jī)構(gòu)的計(jì)算機(jī)上。

更近一些的例子，任天堂發(fā)布了火爆游戲“口袋妖怪(Pokemon Go)”的限量版App。攻擊者便利用人們對(duì)該App的渴求，在第三方App商店里上架了假冒的口袋妖怪App，一旦安裝便會(huì)奪取受害設(shè)備的控制權(quán)。ICS雇員可沒(méi)對(duì)虛假App下載免疫，隨后再將他們感染了惡意軟件的個(gè)人設(shè)備連接到ICS網(wǎng)絡(luò)，就會(huì)讓惡意軟件得以擴(kuò)散并感染更多的資產(chǎn)。

3. 漏洞和人為過(guò)失

與所有網(wǎng)絡(luò)類似，ICS環(huán)境也對(duì)軟/硬件漏洞、設(shè)計(jì)缺陷等敏感。由于在設(shè)計(jì)時(shí)就沒(méi)將安全考慮進(jìn)去，ICS網(wǎng)絡(luò)甚至比IT網(wǎng)絡(luò)承受的風(fēng)險(xiǎn)更大。廠商和安全研究人員就經(jīng)常性曝出操作技術(shù)中的新漏洞。然而，大多數(shù)ICS網(wǎng)絡(luò)的系統(tǒng)并沒(méi)有定期更新。

某些情況下，網(wǎng)絡(luò)架構(gòu)或配置上的缺陷，也會(huì)創(chuàng)造出可被黑客利用的漏洞。例如，為集成者建立的臨時(shí)遠(yuǎn)程訪問(wèn)連接，如果不小心忘了關(guān)閉，會(huì)造成嚴(yán)重的安全風(fēng)險(xiǎn)。另外，需要遠(yuǎn)程接入ICS網(wǎng)絡(luò)，而又沒(méi)有安全接入機(jī)制可用的員工，有可能會(huì)訴諸“創(chuàng)造性的備選方案”來(lái)完成自己的工作。這些計(jì)劃外的連接，都可能成為滲漏點(diǎn)，將工業(yè)網(wǎng)絡(luò)暴露在外。

4. 內(nèi)部人士威脅

由于ICS網(wǎng)絡(luò)內(nèi)缺乏身份驗(yàn)證或授權(quán)，可信內(nèi)部人士(雇員、集成者、承包商)便對(duì)關(guān)鍵資產(chǎn)享有不受限制的訪問(wèn)權(quán)限。無(wú)論他們是無(wú)意犯錯(cuò)，還是心懷不滿而故意破壞，造成的結(jié)果都與外部敵人帶來(lái)的相當(dāng)(甚至還更多更嚴(yán)重)。即使網(wǎng)絡(luò)被完全物理隔離，對(duì)內(nèi)部人士威脅都是不免疫的。對(duì)這種攻擊方法的唯一防護(hù)措施，就是通過(guò)不間斷的監(jiān)控和更好的訪問(wèn)控制。

5. 聯(lián)網(wǎng)技術(shù)和工業(yè)物聯(lián)網(wǎng)(IIoT)

隨著我們邁入現(xiàn)代制造業(yè)的下一個(gè)階段，聯(lián)網(wǎng)技術(shù)被越來(lái)越多地部署到了制造產(chǎn)業(yè)中。聯(lián)網(wǎng)技術(shù)有時(shí)也被稱作工業(yè)物聯(lián)網(wǎng)，為現(xiàn)代生活提供了很多便利。智能傳感器被用于自動(dòng)改善性能、安全性、可靠性和節(jié)能度。這些技術(shù)讓操作經(jīng)理可以隨時(shí)檢查機(jī)器、流程、庫(kù)存等等的狀態(tài)，無(wú)論這些東西位于哪里。

這一點(diǎn)，對(duì)異地、轉(zhuǎn)包制造工廠或供應(yīng)商工廠而言特別有用。為利用這些聯(lián)網(wǎng)技術(shù)，設(shè)施操作員必須開(kāi)放他們的網(wǎng)絡(luò)，也就消除了物理隔離，將網(wǎng)絡(luò)暴露在了外部威脅眼前。

無(wú)論ICS網(wǎng)絡(luò)物理隔離與否，它們都對(duì)安全威脅不設(shè)防。ICS安全最大的攔路虎，就是對(duì)控制層上所發(fā)生的活動(dòng)——也就是對(duì)工控設(shè)備的訪問(wèn)和改變，缺乏可見(jiàn)性和控制權(quán)。要想在破壞造成之前檢測(cè)并響應(yīng)業(yè)務(wù)系統(tǒng)中的安全事件，專門(mén)為ICS環(huán)境而不是IT環(huán)境打造的新型監(jiān)視工具是必須的。