最近，一個(gè)潛在的民族國(guó)家威脅行為者在測(cè)試新的惡意軟件時(shí)，無意中關(guān)閉了中東地區(qū)的關(guān)鍵基礎(chǔ)設(shè)施，這種工業(yè)控制系統(tǒng)(ICS)面對(duì)新的網(wǎng)絡(luò)威脅時(shí)所呈現(xiàn)出的脆弱性，引發(fā)了人們的普遍擔(dān)憂。許多安全專家認(rèn)為，這起事件是威脅行為者即將對(duì)ICS展開新一輪破壞性攻擊的預(yù)兆，專家們希望關(guān)鍵基礎(chǔ)設(shè)施所有者能夠緊急更新其運(yùn)營(yíng)技術(shù)(OT)網(wǎng)絡(luò)的安全性。

[[224555]]

什么是工業(yè)控制系統(tǒng)?

工業(yè)控制系統(tǒng)是用于操作或自動(dòng)化工業(yè)過程的任何設(shè)備、儀器以及相關(guān)的軟件和網(wǎng)絡(luò)。工業(yè)控制系統(tǒng)通常用于制造業(yè)，但對(duì)于能源、通信和交通等關(guān)鍵基礎(chǔ)設(shè)施也同樣具有非常重要的意義。很多此類系統(tǒng)都是通過互聯(lián)網(wǎng)——工業(yè)物聯(lián)網(wǎng)(IIoT)連接到傳感器和其他設(shè)備中的，這無疑增加了潛在的ICS攻擊面。

企業(yè)組織除了必須充分利用經(jīng)驗(yàn)教訓(xùn)來確保企業(yè)IT的安全外，還要將這些經(jīng)驗(yàn)教訓(xùn)應(yīng)用于運(yùn)營(yíng)技術(shù)(OT)的獨(dú)特特性之中。這包括超越基于邊界的設(shè)施安全，并將安全控制措施添加到最重要的資產(chǎn)——專有控制系統(tǒng)中，因?yàn)樵撓到y(tǒng)將對(duì)流程安全性和可靠性負(fù)有主要責(zé)任。

根據(jù)一些安全專家總結(jié)稱，以下是電廠操作員、流程控制工程師、制造IT專家以及安全人員在規(guī)劃ICS安全時(shí)必須要詢問的一些關(guān)鍵問題：

1. 我是否配有專人負(fù)責(zé)管理和維持ICS安全?

組織規(guī)劃人員往往傾向于認(rèn)為，工業(yè)網(wǎng)絡(luò)安全在很大程度上屬于技術(shù)問題，而加深這一技術(shù)問題的更大難題是缺乏技術(shù)資源。近年來，關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營(yíng)商越來越多地采用推薦的技術(shù)控制措施來保護(hù)他們的系統(tǒng)，但卻沒有足夠的人員來管理和維護(hù)這些措施/技術(shù)。

例如，投入反惡意軟件技術(shù)，但卻沒有人來負(fù)責(zé)技術(shù)更新。安全產(chǎn)品可以識(shí)別漏洞，但卻沒有人來修復(fù)。

通常情況下，負(fù)責(zé)管理網(wǎng)絡(luò)安全的人員同時(shí)也是將系統(tǒng)放在首位的自動(dòng)化工程師和生產(chǎn)工程師。安全只是這些人的其中一項(xiàng)兼職工作。由于時(shí)間精力，通常只會(huì)更關(guān)注保持系統(tǒng)運(yùn)行而不是解決安全問題。許多工廠管理者認(rèn)為，他們通過實(shí)施一些技術(shù)控制措施已經(jīng)解決了他們的安全問題，但這種想法往往是在虛假的安全意識(shí)下運(yùn)作的。

2. 我是否真的清楚自己的工控系統(tǒng)中安裝了什么?

想要獲得正確的保護(hù)，首先你需要弄清楚自己的工控系統(tǒng)中究竟安裝了什么，以及它們分別連接了哪些系統(tǒng)?如果你不具備這種可見性，你將會(huì)被溺死在網(wǎng)絡(luò)安全的深水中。你需要了解技術(shù)控制的具體位置，以及這些技術(shù)可以用于保護(hù)的具體位置。對(duì)于不支持現(xiàn)代安全控制的系統(tǒng)，你還需要考慮進(jìn)行補(bǔ)償控制以降低風(fēng)險(xiǎn)。

由于缺乏基本的安全保護(hù)措施，我們發(fā)現(xiàn)黑客能夠輕松繞過防火墻、跳過物理隔離(air gaps)，并利用ICS設(shè)備的漏洞。對(duì)于工廠管理人員、運(yùn)營(yíng)商以及制造商來說，確保ICS設(shè)備本身值得信賴并支持重要的網(wǎng)絡(luò)安全是至關(guān)重要的。通常情況下，PLC(可編程邏輯控制器)，傳感器以及工業(yè)網(wǎng)關(guān)沒有安全證書(如數(shù)字證書)或包含在芯片中的私鑰作為信任的基礎(chǔ)。像安全啟動(dòng)、認(rèn)證、加密和信任鏈接這樣的基本網(wǎng)絡(luò)保護(hù)措施，并未在影響人員安全、正常運(yùn)行時(shí)間和環(huán)境的設(shè)備上實(shí)施。

3. 我是否真正擁有合適的網(wǎng)絡(luò)安全控制系統(tǒng)策略?

組織容易犯的最大錯(cuò)誤之一就是將IT安全與工業(yè)控制系統(tǒng)安全等同起來。但是，這兩者本質(zhì)上來說卻是完全不同的。

IT安全通常專注于檢測(cè)和解決網(wǎng)絡(luò)中的漏洞，而不考慮對(duì)流程系統(tǒng)的實(shí)際影響。對(duì)于工廠操作員來說，最重要的是系統(tǒng)的完整性和可用性。他們關(guān)注的焦點(diǎn)并不在于特定網(wǎng)絡(luò)威脅的復(fù)雜程度，而在于它是否會(huì)給這個(gè)過程帶來問題。

你是否真正地?fù)碛锌刂葡到y(tǒng)網(wǎng)絡(luò)安全策略和程序?不是IT，不是業(yè)務(wù)連續(xù)性，不是物理安全性。你是否有想過如何保護(hù)你的流程控制系統(tǒng)，或者你是否與IT部門保持同步?為了確保安全，你需要能夠信任連接到你的控制器、執(zhí)行器和人機(jī)界面(HMI)系統(tǒng)的過程傳感器的輸出。在9/11之前，擁有這些設(shè)備的人就等于擁有了它的一切。而在9/11之后，網(wǎng)絡(luò)被重新分類為關(guān)鍵基礎(chǔ)設(shè)施，且取自運(yùn)營(yíng)商并提供給IT部門。其結(jié)果是形成過于以IT為中心的ICS安全觀。

4. 我能否信任我的設(shè)備輸出?

確認(rèn)你自己有控制權(quán)來確保工業(yè)控制網(wǎng)絡(luò)上設(shè)備的可靠性。否則的話，相信他們的數(shù)據(jù)是會(huì)帶來風(fēng)險(xiǎn)的。

你的工業(yè)控制設(shè)備是否具有安全引導(dǎo)過程和防止未經(jīng)授權(quán)更改固件的機(jī)制等功能?你知道你的無線軟件更新和安全補(bǔ)丁程序有多安全嗎?你的ICS設(shè)備能否支持使用基于標(biāo)準(zhǔn)的PKI認(rèn)證和數(shù)字證書?

如今，每個(gè)人都只是專注于診斷。沒有人會(huì)想起來問‘我們是否可以信任我們自己的傳感器’。如果你是一名醫(yī)生，除非你知道顯示器可以被信任，否則你不能相信你的血壓讀數(shù)。

5. IT安全措施是在保護(hù)我的系統(tǒng)還是造成更多問題?

IT部門不應(yīng)該直接采用沒有控制系統(tǒng)人員監(jiān)督的控制系統(tǒng)。否則，可能會(huì)導(dǎo)致意外問題。在IT中，如果有人嘗試輸入錯(cuò)誤的密碼達(dá)到五次，你就可以把這個(gè)人鎖定了。

如果有人真的需要急于進(jìn)入該系統(tǒng)，采用同樣的方法來控制對(duì)關(guān)鍵電廠系統(tǒng)的訪問可能是災(zāi)難性的。如此一來，你可能會(huì)把設(shè)備變?yōu)閺U墟。因?yàn)樽鳛橐幻诳停宜枰龅木褪前l(fā)送五次錯(cuò)誤的密碼來鎖定你。

此外，了解你的安全控制是否適用于運(yùn)營(yíng)技術(shù)(OT)環(huán)境至關(guān)重要。由于安全性和可靠性的影響，代理、網(wǎng)絡(luò)ping掃描和其他常見的保護(hù)企業(yè)IT網(wǎng)絡(luò)的方法，在過程控制網(wǎng)絡(luò)中都是不起作用的。這樣的解決方案應(yīng)該永遠(yuǎn)不會(huì)投入生產(chǎn)階段。

6. 我的系統(tǒng)是否有正確的文檔?

無論是部署新的控制系統(tǒng)，還是強(qiáng)化現(xiàn)有的控制系統(tǒng)，為控制組件提供必要和可選服務(wù)的所有文檔都是非常重要的。你需要知道文檔是否按功能分解了服務(wù)——例如，控制系統(tǒng)協(xié)議VS工程協(xié)議VS文件傳輸和HMI配置協(xié)議。

當(dāng)控制組件出現(xiàn)故障時(shí)，是否有文檔解釋控制器輸出的行為?你需要了解系統(tǒng)中實(shí)施了哪些專有網(wǎng)絡(luò)協(xié)議，以及為加強(qiáng)各自的服務(wù)而采取了哪些措施? 通過此類信息，你才能真正地了解你正在面臨的風(fēng)險(xiǎn)，以及隔離正在影響系統(tǒng)的漏洞所需的緩解措施。

7. 我完全了解自己的網(wǎng)絡(luò)訪問問題嗎?

將控制系統(tǒng)連接到網(wǎng)絡(luò)可以使它們更容易管理和操作，但是首先你需要對(duì)安全風(fēng)險(xiǎn)有所了解，并采取適當(dāng)?shù)目刂拼胧﹣頊p輕風(fēng)險(xiǎn)。

例如，你采取了哪些措施能夠確保通過網(wǎng)絡(luò)訪問你的控制系統(tǒng)環(huán)境的任何人只能對(duì)數(shù)據(jù)進(jìn)行只讀訪問?過程系統(tǒng)供應(yīng)商是否需要遠(yuǎn)程訪問網(wǎng)絡(luò)?你可以對(duì)這種訪問進(jìn)行什么樣的控制?

同樣地，你需要知道工程師是否會(huì)遠(yuǎn)程訪問控制組件，以及為什么他們需要訪問權(quán)限。請(qǐng)確保你知道存在哪些控制措施，或者可能需要添加哪些措施以使網(wǎng)絡(luò)風(fēng)險(xiǎn)達(dá)到可接受的級(jí)別，并確保安全地執(zhí)行遠(yuǎn)程訪問。

此外，還要確保詢問需要通過設(shè)備類別和設(shè)備類型支持的通信協(xié)議。了解你是否擁有與控制系統(tǒng)通信的所有強(qiáng)大認(rèn)證和加密功能，識(shí)別最易受攻擊的通信協(xié)議，了解你是否正在與 SCADA 和 IIoT 網(wǎng)絡(luò)進(jìn)行安全通信。

8. 事件響應(yīng)和事件管理功能是否到位?

即使網(wǎng)絡(luò)攻擊的可能性相對(duì)較低，也要謹(jǐn)記，任何一次網(wǎng)絡(luò)攻擊所造成的影響都可能是災(zāi)難性的。在此環(huán)節(jié)，你需要明確的一個(gè)基本問題是你應(yīng)對(duì)和緩解成功攻擊的能力。如果攻擊者真的想滲透你的組織并建立一個(gè)基地，你可能將無法阻止他們，你需要確保自己有一個(gè)計(jì)劃和一個(gè)流程，以便能夠從網(wǎng)絡(luò)攻擊中迅速而安全地恢復(fù)。

在評(píng)估你的ICS環(huán)境的網(wǎng)絡(luò)安全措施時(shí)，你需要明確以下問題：“你是否有基于資產(chǎn)重要性的事件響應(yīng)協(xié)議來適當(dāng)和快速地做出響應(yīng)?你知道工業(yè)資產(chǎn)存在何種程度的攻擊面嗎?”

最后，評(píng)估你的漏洞識(shí)別和緩解過程，同時(shí)適用于基于IT的控制系統(tǒng)資產(chǎn)以及專有控制系統(tǒng)資產(chǎn)，目前存在的補(bǔ)丁級(jí)別以及最容易暴露的設(shè)施。如果最糟糕的情況發(fā)生，你需要明確自己是否具備測(cè)試業(yè)務(wù)連續(xù)性計(jì)劃，包括對(duì)風(fēng)險(xiǎn)系統(tǒng)的全新備份。