工業(yè)世界聯(lián)網(wǎng)程度的提升有一個關(guān)鍵問題：如果發(fā)生網(wǎng)絡(luò)攻擊且攻擊成功，后果不堪設(shè)想，比如，網(wǎng)絡(luò)罪犯入侵計算機系統(tǒng)并切斷城市供電或供水。而且，不僅網(wǎng)絡(luò)犯罪團伙會盯上ICS，民族國家黑客也常將ICS列為攻擊敵對國關(guān)鍵基礎(chǔ)設(shè)施的入口點。

[[220481]]

正如2017年6月NotPetya數(shù)據(jù)清除惡意軟件爆發(fā)所展現(xiàn)的，ICS已經(jīng)成為網(wǎng)絡(luò)犯罪的主要目標(biāo)。然而，很多工控設(shè)備都面臨安全措施老化過時的風(fēng)險，需要進行替換或升級。如何應(yīng)對ICS面臨網(wǎng)絡(luò)攻擊風(fēng)險的事實?公共事業(yè)機構(gòu)該從哪里開始防御這種之前從未考慮過的威脅?

為確保ICS能抵御今天的在線安全威脅，公司企業(yè)需采取足夠的措施以創(chuàng)建有效工業(yè)安全項目并合理排定企業(yè)風(fēng)險優(yōu)先級。這聽起來似乎是令人生畏的浩大工程，但健壯的多層安全方法可以分解為基本的3步：1) 保護網(wǎng)絡(luò);2) 保護終端;3) 保護控制器。

一、保護網(wǎng)絡(luò)

工業(yè)公司應(yīng)確保自身網(wǎng)絡(luò)設(shè)計良好，有著防護周全的邊界。企業(yè)應(yīng)按 ISA IEC 62443 標(biāo)準(zhǔn)劃分自身網(wǎng)絡(luò)，保護所有無線應(yīng)用，部署能快速排除故障的安全遠程訪問解決方案。公司網(wǎng)絡(luò)，包括其工業(yè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備，都應(yīng)列入監(jiān)視對象范圍。

二、保護終端

運營技術(shù)(OT)團隊可能會覺得公司的終端受到邊界防火墻、專利安防軟件、專業(yè)協(xié)議和物理隔離的防護，可以抵御數(shù)字攻擊。但事實不是這樣的，雇員、承包商和供應(yīng)鏈員工將他們的筆記本電腦或U盤帶入企業(yè)網(wǎng)絡(luò)時，這些安全防護措施就被繞過了。

必須確保所有終端都是安全的，要防止員工將自己的設(shè)備接入公司網(wǎng)絡(luò)。事實上，黑客可以侵入OT環(huán)境中基于PC的終端。公司企業(yè)還應(yīng)保護其IT終端不受OT環(huán)境中橫向移動的數(shù)字攻擊侵襲。

購買資產(chǎn)發(fā)現(xiàn)產(chǎn)品，或者實現(xiàn)網(wǎng)上終端清點過程，是保護終端安全的不錯開端?？梢远x控制措施和自動化以確保防護到位。然后公司企業(yè)必須保證每臺終端上的配置是安全的，并監(jiān)視這些終端以防遭到未授權(quán)修改。

總體上，IT和OT環(huán)境通用的解決方案是公司企業(yè)明智的選擇。應(yīng)定義一個足夠靈活的安全平臺，既能夠深度覆蓋IT，又適用于敏感的OT環(huán)境。

三、保護控制器

每個工業(yè)環(huán)境都有其物理系統(tǒng)——致動器、校準(zhǔn)器、閥門、溫度感應(yīng)器、壓力傳感器一類機械裝置。這些與現(xiàn)實世界交互的物理系統(tǒng)被稱為控制器，也就是橋接物理系統(tǒng)控制和網(wǎng)絡(luò)指令接收行為的特殊計算機。很多案例中惡意黑客都曾獲取過這些設(shè)備的控制權(quán)，引發(fā)設(shè)備故障，造成物理破壞，或?qū)镜膿p害。不過，如果僅僅是能訪問而不能控制，惡意黑客也無法直接造成破壞。

通過加強檢測能力和對ICS修改及威脅的可見性，實現(xiàn)脆弱控制器的安全防護措施，監(jiān)視可疑訪問及控制修改，以及及時檢測/控制威脅，公司企業(yè)可有效防止工業(yè)控制器遭到數(shù)字攻擊。

網(wǎng)絡(luò)犯罪已成當(dāng)今世界發(fā)展最快的產(chǎn)業(yè)之一。其范圍涵蓋僅僅出于好玩就發(fā)起攻擊的腳本小子，以及像跨國公司一樣運營的犯罪組織。隨著ICS成為網(wǎng)絡(luò)罪犯的主要目標(biāo)，公司企業(yè)需采取措施做好ICS對數(shù)字威脅的防護。而要做好防護，就需要重點放在網(wǎng)絡(luò)安全、終端安全和工業(yè)控制器安全的多層安全措施。