工業(yè)計(jì)算機(jī)連接外部世界的情況增多，對工業(yè)計(jì)算機(jī)的網(wǎng)絡(luò)攻擊也逐漸成為一種日趨嚴(yán)重的威脅——因?yàn)榇祟愂录蓪?dǎo)致物理傷害和整個(gè)系統(tǒng)的生產(chǎn)宕機(jī)。而且，工業(yè)企業(yè)無法提供服務(wù)還會嚴(yán)重?fù)p害一個(gè)地區(qū)的社會福利、生態(tài)和宏觀經(jīng)濟(jì)。因此，工業(yè)網(wǎng)絡(luò)安全越來越重要，越來越受重視。

[[259937]]

鑒于工業(yè)控制系統(tǒng)(ICS)的重要性，我們必須了解ICS領(lǐng)域的主要趨勢，從業(yè)務(wù)和威脅的角度理解這些趨勢。

一、業(yè)務(wù)角度

2018年6月，卡巴斯基實(shí)驗(yàn)室發(fā)布了第二份年度報(bào)告《2018工業(yè)網(wǎng)絡(luò)安全狀態(tài)》，一份基于對全球320位ICS網(wǎng)絡(luò)安全決策者的調(diào)查訪問分析了工業(yè)網(wǎng)絡(luò)安全現(xiàn)狀的調(diào)查。

該報(bào)告揭示了ICS網(wǎng)絡(luò)安全的一些有趣事實(shí)，反映出ICS公司是如何看待這一關(guān)鍵領(lǐng)域的。

1. ICS網(wǎng)絡(luò)安全很重要，但…

主要發(fā)現(xiàn)之一：盡管3/4的受訪公司都聲稱ICS網(wǎng)絡(luò)安全非常重要，但他們往往并未執(zhí)行相關(guān)的安全措施。

比如說，超過3/4的受訪公司企業(yè)認(rèn)為自己很有可能或至少有可能成為ICS網(wǎng)絡(luò)攻擊的目標(biāo)，但僅有23%的公司符合行業(yè)或政府關(guān)于ICS網(wǎng)絡(luò)安全的最低監(jiān)管要求。

盡管超過半數(shù)(51%)的公司稱自己在過去一年中未遭受過任何數(shù)據(jù)泄露或安全事件，問題的關(guān)鍵在于他們是否意識到遭遇了攻擊。很多公司根本不檢測或跟蹤攻擊。10%的受訪者至今沒有計(jì)量自身遭受過的事件和數(shù)據(jù)泄露的數(shù)量。

而且，因?yàn)槭茉L公司才剛剛開始數(shù)字轉(zhuǎn)型過程，他們的攻擊界面必然會隨其數(shù)字化程度的加深而擴(kuò)大。

2. 問題與挑戰(zhàn)

公司企業(yè)對潛在網(wǎng)絡(luò)攻擊最大的顧慮是產(chǎn)品及服務(wù)受損和人員傷亡。大多數(shù)公司不同程度地將網(wǎng)絡(luò)破壞與商業(yè)成功聯(lián)系在了一起。網(wǎng)絡(luò)安全事件造成的產(chǎn)品質(zhì)量受損(54%)直接與客戶信任流失(40%)相關(guān)，敏感商業(yè)信息泄露則與合約或商業(yè)機(jī)會損失(22%)相關(guān)。

公司企業(yè)幾乎所有部門都面臨嚴(yán)峻的網(wǎng)絡(luò)安全挑戰(zhàn)。對58%的受訪公司而言，主要挑戰(zhàn)是雇到具備合適技能的ICS網(wǎng)絡(luò)安全人員，網(wǎng)絡(luò)安全人才緊缺問題是個(gè)全球性的問題。第二大挑戰(zhàn)就是ICS與IT系統(tǒng)和IoT系統(tǒng)的集成(54%)。該集成意味著這些系統(tǒng)對外部世界的開放程度增加，又進(jìn)一步加劇了安全人才短缺問題。

3. 認(rèn)知與現(xiàn)實(shí)的差異

認(rèn)知上存在差異，現(xiàn)狀與所擔(dān)憂的問題之間也有不同。大多數(shù)公司認(rèn)為APT(66%)和數(shù)據(jù)泄露及間諜事件(59%)是最令人擔(dān)憂的事，因?yàn)檫@些問題的潛在影響很是令人恐懼。

然而，針對性攻擊和APT的占比并不高(僅占網(wǎng)絡(luò)安全事件的16%)，倒是傳統(tǒng)惡意軟件和病毒爆發(fā)越來越成問題。2018年發(fā)生的網(wǎng)絡(luò)安全事件中64%是由傳統(tǒng)惡意軟件和病毒爆發(fā)引起的。

最近的《2018 SANS 工業(yè)IoT安全調(diào)查：IIoT安全問題》報(bào)告也反映出了相同的認(rèn)知斷層。該調(diào)查發(fā)現(xiàn)，3/4的公司確信或一定程度上確信自己能夠維護(hù)好自身工業(yè)物聯(lián)網(wǎng)(IIoT)的安全。然而，相比運(yùn)營技術(shù)部門，公司領(lǐng)導(dǎo)層和部門經(jīng)理對安全的認(rèn)知太過樂觀了。

二、威脅態(tài)勢

2018年9月，卡巴斯基實(shí)驗(yàn)室發(fā)布報(bào)告《2018年第一季度工業(yè)自動化系統(tǒng)威脅態(tài)勢》，基于卡巴斯基安全網(wǎng)絡(luò)收集的數(shù)據(jù)，指出了與ICS網(wǎng)絡(luò)安全威脅態(tài)勢有關(guān)的幾個(gè)有趣趨勢?？ò退够踩W(wǎng)絡(luò)( Kaspersky Security Network )是保護(hù)ICS計(jì)算機(jī)的一個(gè)分布式反病毒網(wǎng)絡(luò)，受保護(hù)的ICS計(jì)算機(jī)執(zhí)行一種或幾種ICS功能，比如數(shù)據(jù)采集與監(jiān)控系統(tǒng)(SCADA)、數(shù)據(jù)存儲、數(shù)據(jù)網(wǎng)關(guān)和作為工程師及操作員的工作站。

1. 網(wǎng)絡(luò)安全事件增多

2018年第一季度里至少遭遇過一次攻擊的ICS計(jì)算機(jī)達(dá)到了41.2%，比2017年上半年的36.6%有所上升，主要原因是惡意行為的整體增長。

2. 地理分布、金錢動機(jī)與安全事件

網(wǎng)絡(luò)攻擊的地理分布呈現(xiàn)出非洲、亞洲和拉丁美洲的ICS計(jì)算機(jī)遭攻擊比例遠(yuǎn)高于歐洲、北美和澳洲的趨勢。歐洲內(nèi)部也不均衡，東歐的數(shù)字遠(yuǎn)超西歐，南歐被攻擊的ICS計(jì)算機(jī)比例比北歐和西歐高。

這種地理分布上的巨大差異來源于不同國家間的整體發(fā)展水平和網(wǎng)絡(luò)安全水平，以及惡意行為在不同國家的發(fā)生率。

國際數(shù)據(jù)公司(IDC)的調(diào)查研究表明，2017年最大的信息安全產(chǎn)品市場在美國和西歐。國際貨幣基金組織(IMF)將所有ICS計(jì)算機(jī)遭攻擊比例最少的國家都?xì)w類為發(fā)達(dá)經(jīng)濟(jì)體。

另外，ICS計(jì)算機(jī)攻擊率最少的10個(gè)國家中有6個(gè)——美國、英國、荷蘭、瑞典、瑞士和以色列，位列國際電信聯(lián)盟(ITU)《2017全球網(wǎng)絡(luò)安全指標(biāo)》前20。

最后，發(fā)展中國家ICS計(jì)算機(jī)遭攻擊比例高是因?yàn)檫@些國家建立工業(yè)的時(shí)間相對較短。

設(shè)計(jì)和調(diào)試工業(yè)設(shè)施時(shí)，主要關(guān)注點(diǎn)通常放在了運(yùn)營的經(jīng)濟(jì)層面和工業(yè)過程的物理安全方面，信息安全并不受重視?？ò退够?018工業(yè)網(wǎng)絡(luò)安全狀態(tài)》報(bào)告也反映出了這一點(diǎn)。

3. 主要威脅源

公司企業(yè)工業(yè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施計(jì)算機(jī)的主要感染源是互聯(lián)網(wǎng)、可移動載體和電子郵件。

2017年第一季度，互聯(lián)網(wǎng)是20.6%的ICS計(jì)算機(jī)威脅源;2018年第一季度該數(shù)字上升到了27.3%。該趨勢從邏輯上是說得通的，因?yàn)楝F(xiàn)代工業(yè)網(wǎng)絡(luò)很難再被認(rèn)為是與外部系統(tǒng)隔離的。

今天，無論是出于控制工業(yè)過程的目的，還是為了提供工業(yè)網(wǎng)絡(luò)及系統(tǒng)的管理功能，工業(yè)網(wǎng)絡(luò)和企業(yè)網(wǎng)絡(luò)之間都需要留有交互接口。

工業(yè)網(wǎng)絡(luò)感染第二大來源是可移動載體。USB對ICS的威脅就是霍尼韋爾《工業(yè)USB威脅》報(bào)告的主題。通過可移動載體遭到攻擊的ICS計(jì)算機(jī)在低GDP國家較為常見，西歐和北美因?yàn)檎w安全措施較好和可移動載體使用較少而免受此害。

另一方面，對電子郵件威脅的分析表明，信息安全水平與穿透網(wǎng)絡(luò)邊界到達(dá)ICS計(jì)算機(jī)的網(wǎng)絡(luò)釣魚郵件和惡意郵件附件的數(shù)量無關(guān)。

對此，一個(gè)可能的解釋是，防護(hù)電子郵件攻擊的有效工具要么沒在網(wǎng)絡(luò)邊界上應(yīng)用，要么沒被正確配置。

4. 攻擊并不復(fù)雜

對工業(yè)系統(tǒng)的攻擊整體上并不復(fù)雜，通常采用帶PDF附件的魚叉式網(wǎng)絡(luò)釣魚、帶木馬安裝程序的軟件安裝包和已遭入侵網(wǎng)站的水坑攻擊實(shí)施。一旦某臺機(jī)器被成功利用，該攻擊框架便會安裝額外的模塊以擴(kuò)張攻擊者的立足點(diǎn)。

三、前路漫漫

想要有效應(yīng)對ICS網(wǎng)絡(luò)安全挑戰(zhàn)，公司企業(yè)需拿出措施得當(dāng)?shù)姆椒ú呗?。?dāng)然，充足的資金支持也是必要的。

另外，工業(yè)公司需多關(guān)注員工的網(wǎng)絡(luò)威脅意識，跟上現(xiàn)代網(wǎng)絡(luò)安全發(fā)展變化。

網(wǎng)絡(luò)安全措施必須跟得上技術(shù)采納的速度。

工業(yè)公司應(yīng)更嚴(yán)肅對待ICS事件響應(yīng)計(jì)劃，這樣才能最小化發(fā)生運(yùn)營、經(jīng)濟(jì)和聲譽(yù)慘痛損失的風(fēng)險(xiǎn)。

只有通過設(shè)立有效事件響應(yīng)計(jì)劃，以及部署專門的網(wǎng)絡(luò)安全解決方案以管理復(fù)雜互聯(lián)的分布式工業(yè)生態(tài)系統(tǒng)安全，公司企業(yè)才能保護(hù)自身服務(wù)和產(chǎn)品，保護(hù)客戶及其環(huán)境。

• SANS報(bào)告《2018 SANS 工業(yè)IoT安全調(diào)查：IIoT安全問題》：https://www.sans.org/reading-room/whitepapers/ICS/paper/38505
• 卡巴斯基實(shí)驗(yàn)室報(bào)告《2018年第一季度工業(yè)自動化系統(tǒng)威脅態(tài)勢》：https://ics-cert.kaspersky.com/reports/2018/09/06/threat-landscape-for-industrial-automation-systems-h1-2018/
• 國際電信聯(lián)盟(ITU)《2017全球網(wǎng)絡(luò)安全指標(biāo)》：https://www.itu.int/dms_pub/itu-d/opb/str/D-STR-GCI.01-2017-R1-PDF-E.pdf
• 卡巴斯基《2018工業(yè)網(wǎng)絡(luò)安全狀態(tài)》報(bào)告：https://ics-cert.kaspersky.com/reports/2018/06/28/the-state-of-industrial-cybersecurity-2018-findings-of-joint-survey-by-kaspersky-lab-and-pac
• 霍尼韋爾《工業(yè)USB威脅》報(bào)告：https://honeywellprocess.blob.core.windows.net/public/Support/Customer/Honeywell-USB-Threat-Report.pdf

【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文