物聯(lián)網(wǎng)帶來很多安全隱患，包括在攝像頭使用默認(rèn)密碼或硬編碼密碼，到資源有限的傳感器無法運(yùn)行安全機(jī)制(例如加密)，這些都引起人們關(guān)注。

然而，最大的安全挑戰(zhàn)之一可能是IT / OT融合，即信息技術(shù)與運(yùn)營技術(shù)的融合。IT團(tuán)隊(duì)對信息安全并不陌生，但是通常在工業(yè)控制系統(tǒng)(ICS)中工作的OT同行從未在連接互聯(lián)網(wǎng)的網(wǎng)絡(luò)中工作過。隨著物聯(lián)網(wǎng)和工業(yè)物聯(lián)網(wǎng)(IIoT)的好處變得顯而易見，現(xiàn)在越來越多的ICS和OT環(huán)境開始緊密相連–這帶來了很多好處，同時(shí)也帶來很多安全威脅。更嚴(yán)重的問題是，IT團(tuán)隊(duì)不知道如何在此類環(huán)境中處理威脅，從而使很多IT和OT團(tuán)隊(duì)不確定確切的安全責(zé)任在哪里。

[[286382]]

在本文中，電氣與電子工程師協(xié)會(huì)(IEEE)的成員Kayne McGladrey概述了ICS安全性的挑戰(zhàn)，并解釋了OT環(huán)境如何在抵御此類威脅，同時(shí)仍能從物聯(lián)網(wǎng)中受益。

很多研究都預(yù)測ICS環(huán)境中最嚴(yán)重的安全攻擊和問題。你認(rèn)為最大的OT安全威脅是什么?

Kayne McGladrey：我們處在OT安全威脅的‘潘多拉魔盒’時(shí)代。多年來，IT系統(tǒng)和專業(yè)人員一直在觀察針對IT系統(tǒng)的攻擊，并制定對策，但是尚未為ICS環(huán)境做出類似的廣泛努力。因此，每次安全研究人員打開OT環(huán)境進(jìn)行檢查時(shí)，都會(huì)不斷發(fā)現(xiàn)新的威脅。

例如，在很多報(bào)告中提到頭號威脅之一是缺少設(shè)備清單。盡管對于IT專業(yè)人員而言，IT資產(chǎn)管理并不是一個(gè)新領(lǐng)域，它還是互聯(lián)網(wǎng)安全中心的20項(xiàng)關(guān)鍵安全控制之一，但為OT和控制系統(tǒng)建立自動(dòng)化清單卻是相對較新的做法。企業(yè)無法保護(hù)其看不到的東西，他們也無法針對未知且不可見的系統(tǒng)部署補(bǔ)丁或進(jìn)行安全審核。這種可見性的缺乏還意味著很難抵御配置錯(cuò)誤、通過技術(shù)攻擊側(cè)面載入惡意軟件或通過惡意網(wǎng)絡(luò)元素的命令注入攻擊。

為什么ICS如此缺乏應(yīng)對此類攻擊的能力?

McGladrey：人員和資金。網(wǎng)絡(luò)安全正成為各大新聞媒體的頭條新聞，這吸引著新人們加入該領(lǐng)域，也吸引風(fēng)險(xiǎn)資本家為從事網(wǎng)絡(luò)安全工作的公司提供資金。OT和ICS安全是大多數(shù)人聞所未聞的領(lǐng)域。

伴隨IoT的部署，過去的ICS或監(jiān)管控制及數(shù)據(jù)采集威脅在如何演變?

McGladrey：Stuxnet就是這些攻擊的很好的例子，其中由于氣隙，USB記憶棒被用來部署惡意軟件。物聯(lián)網(wǎng)設(shè)備沒有這種氣隙，相反，它們不斷連接到互聯(lián)網(wǎng)。再加上普遍缺乏設(shè)備或傳感器清單，物聯(lián)網(wǎng)設(shè)備使攻擊者更容易在目標(biāo)網(wǎng)絡(luò)中建立長期立足點(diǎn)，以進(jìn)行數(shù)據(jù)滲透、命令注入、協(xié)議操縱和其他技術(shù)攻擊。

IT/OT融合如何擴(kuò)大對增強(qiáng)ICS安全的需求?

McGladrey：人們意識(shí)到，水和電等關(guān)鍵公用事業(yè)正在互聯(lián)，這推動(dòng)了對增強(qiáng)ICS安全性的需求。今年夏天，在南非，勒索軟件攻擊使一家電力公司的IT系統(tǒng)中斷，讓消費(fèi)者無法支付電費(fèi)，而導(dǎo)致消費(fèi)者斷電。同時(shí)，在烏克蘭，針對電網(wǎng)的ICS攻擊，造成廣泛的破壞性影響。

隨著ICS安全威脅成為頭條新聞，攻擊者的行為是否正在改變?

McGladrey：如果有的話，暴露的增加導(dǎo)致攻擊者現(xiàn)在更加積極地嘗試建立長期立足點(diǎn)，以作為戰(zhàn)斗空間準(zhǔn)備工作的一部分，以防被檢測。2019年聯(lián)合國推動(dòng)建立網(wǎng)絡(luò)規(guī)范是間接承認(rèn)多個(gè)國家在彼此的公用事業(yè)中建立了立足點(diǎn)。

面對這些問題，構(gòu)建ICS安全框架有哪些最佳做法?

McGladrey：為了構(gòu)建ICS安全框架，請從主動(dòng)和被動(dòng)清單收集的基礎(chǔ)工作開始。另外，請確保修復(fù)可修復(fù)的系統(tǒng)，并對這些系統(tǒng)部署一致的配置。最后，收集網(wǎng)絡(luò)數(shù)據(jù)以設(shè)置‘正常’流量的基準(zhǔn)，以便將來進(jìn)行分析并檢測異?；顒?dòng)。