信息來(lái)源：今日頭條

災(zāi)難性事故可能是由不安全的工業(yè)控制系統(tǒng)所造成的后果?？梢酝ㄟ^(guò)4個(gè)步驟來(lái)提升整個(gè)系統(tǒng)的網(wǎng)絡(luò)安全。

盡管一直以來(lái)，網(wǎng)絡(luò)安全是任何行業(yè)都會(huì)關(guān)注的主要問(wèn)題，但人們普遍認(rèn)為攻擊只會(huì)導(dǎo)致丟失專有數(shù)據(jù)、成為間諜活動(dòng)的受害者以及面臨停工的威脅。但是，2017 年的Triton（也稱為Trisis 或HatMan）攻擊，顯示出了嚴(yán)重攻擊的另一方面：可能導(dǎo)致潛在的災(zāi)難性事故。下面讓我們一起了解一下常見(jiàn)的攻擊類型、預(yù)防措施以及改進(jìn)方法。

傳統(tǒng)上，工業(yè)控制系統(tǒng)（ICS）的設(shè)計(jì)都是獨(dú)立運(yùn)行在獨(dú)立的控制網(wǎng)絡(luò)上的，很少有人能預(yù)見(jiàn)到網(wǎng)絡(luò)安全所帶來(lái)的威脅。但是，隨著工業(yè)領(lǐng)域其它技術(shù)的發(fā)展——包括智能傳感器、無(wú)線網(wǎng)關(guān)、遠(yuǎn)程管理系統(tǒng)、虛擬化、云計(jì)算、智能手機(jī)和各種商業(yè)智能需求，這些工業(yè)系統(tǒng)不受外界干擾的可能性會(huì)越來(lái)越小。

工業(yè)控制系統(tǒng)受外部攻擊的第一個(gè)實(shí)例是2010 年的Stuxnet，該腳本的設(shè)計(jì)旨在破壞運(yùn)行離心機(jī)的工業(yè)控制器的腳本。隨后是2013 年的Havex 攻擊，攻擊目標(biāo)是電網(wǎng)和電力公司；通過(guò)它收集大量的數(shù)據(jù)用于間諜和破壞活動(dòng)。

2015 年出現(xiàn)了兩個(gè)威脅：BlackEnergy破壞了工作站上的數(shù)據(jù)和文件，在烏克蘭造成了嚴(yán)重的電力中斷，IronGate 在公共資源上被發(fā)現(xiàn)，并具有與Stuxnet 相同的功能。在2016 年，Industroyer 還在烏克蘭造成了嚴(yán)重破壞，其中惡意軟件擦除了數(shù)據(jù)并在網(wǎng)絡(luò)上進(jìn)行了分布式拒絕服務(wù)（DDoS）攻擊，從而導(dǎo)致烏克蘭電網(wǎng)的關(guān)閉。

Triton 攻擊發(fā)現(xiàn)于2017 年。它的發(fā)現(xiàn)，可能避免了一場(chǎng)嚴(yán)重災(zāi)難的發(fā)生。該惡意軟件可以感染Triconex 安全控制器，使黑客可以更改安全參數(shù)。惡意攻擊可能會(huì)導(dǎo)致工業(yè)設(shè)備的安全設(shè)定值失效，甚至可能會(huì)導(dǎo)致與化工廠爆炸同樣嚴(yán)重的災(zāi)難事件。

了解攻擊源

為了應(yīng)對(duì)網(wǎng)絡(luò)安全威脅，第一步是了解攻擊者可能來(lái)自何處，因?yàn)楣粽咄ǔ?huì)使用偵察作為衡量和了解特定時(shí)期內(nèi)目標(biāo)弱點(diǎn)的第一步。從長(zhǎng)遠(yuǎn)來(lái)看，企業(yè)可能會(huì)使用攻擊向量分析來(lái)識(shí)別攻擊者可能使用的不同方法，或者可能傾向使用的系統(tǒng)。所有這些，都需要基于企業(yè)資產(chǎn)業(yè)務(wù)影響分析中出現(xiàn)的風(fēng)險(xiǎn)。用戶可以使用一些現(xiàn)成的評(píng)估工具，并使用它們將關(guān)鍵資產(chǎn)與非關(guān)鍵資產(chǎn)區(qū)分開(kāi)并合理化，然后對(duì)其進(jìn)行缺口評(píng)估（gap assessment）。

攻擊者的常見(jiàn)切入點(diǎn)包括：

1、來(lái)自外部網(wǎng)絡(luò)、因特網(wǎng)和遠(yuǎn)程連接，通過(guò)企業(yè)資源計(jì)劃（ERP）軟件、網(wǎng)關(guān)、數(shù)據(jù)和文檔存儲(chǔ)庫(kù)以及在線歷史數(shù)據(jù)庫(kù)所進(jìn)行的入站攻擊；

2、防火墻和網(wǎng)關(guān)配置不正確；

3、用戶通過(guò)被盜或偽造的憑證，訪問(wèn)業(yè)務(wù)工作站和控制計(jì)算機(jī)；

4、針對(duì)生產(chǎn)系統(tǒng)的物理攻擊，在大多數(shù)情況下，這些攻擊是針對(duì)人機(jī)界面（HMI）、工程師和操作員工作站以及實(shí)際過(guò)程安全控制器；

5、針對(duì)控制網(wǎng)絡(luò)并使用工業(yè)通信協(xié)議的橫向網(wǎng)絡(luò)攻擊，以發(fā)現(xiàn)網(wǎng)絡(luò)上的其它設(shè)備并傳播惡意代碼；

6、社會(huì)工程攻擊，其重點(diǎn)是使用個(gè)人身份信息來(lái)誘騙內(nèi)部人員給予訪問(wèn)權(quán)限、無(wú)意中打開(kāi)網(wǎng)關(guān)和運(yùn)行腳本。

網(wǎng)絡(luò)安全預(yù)防措施

每種類型的攻擊都有其自己的預(yù)防措施。通?？梢苑譃橐韵? 種類型。

01.隔離和細(xì)分

利用工具和合格的人員對(duì)控制網(wǎng)絡(luò)進(jìn)行徹底的缺口評(píng)估，通常可以發(fā)現(xiàn)許多不受監(jiān)控的訪問(wèn)點(diǎn)，而這些訪問(wèn)點(diǎn)在遵循標(biāo)準(zhǔn)做法來(lái)保護(hù)控制網(wǎng)絡(luò)時(shí)經(jīng)常會(huì)被忽略。這些威脅可能源于：

（1）對(duì)工程/ 操作員工作站的訪問(wèn)不受限制；

（2）過(guò)時(shí)的惡意軟件檢測(cè)；

（3）尚未得到保護(hù)或?qū)徲?jì)的第三方應(yīng)用程序和連接器；

（4）從控制網(wǎng)絡(luò)導(dǎo)出數(shù)據(jù)時(shí)缺乏非軍事區(qū)（DMZ）或數(shù)據(jù)隔離；

（5）連接到公共區(qū)域的關(guān)鍵資產(chǎn)。

02.管理用戶訪問(wèn)控制

該任務(wù)包括采取措施限制未經(jīng)授權(quán)的訪問(wèn)以及跟蹤和停止與未經(jīng)授權(quán)的訪問(wèn)有關(guān)的任何活動(dòng)。這包括：

（1）加強(qiáng)對(duì)未經(jīng)授權(quán)人員訪問(wèn)的難度；

（2）制定管理政策并嚴(yán)格按照計(jì)劃進(jìn)行更新；

（3）在整個(gè)企業(yè)中啟用多因素身份驗(yàn)證；

（4）白名單、添加預(yù)先批準(zhǔn)的地址、位置和基于端口的警報(bào)，以識(shí)別人員訪問(wèn)系統(tǒng)；

（5）更改所有密碼和密碼的默認(rèn)值，并定期更新用戶密碼。

03.打補(bǔ)丁頻率

必須定期將所有控制和安全設(shè)備更新到最新的固件版本。雖然例行的非侵入式修補(bǔ)程序是所有關(guān)鍵控制器都應(yīng)采用的方法，但至少應(yīng)在每個(gè)年度維護(hù)周期內(nèi)進(jìn)行修補(bǔ)。

04.運(yùn)行驗(yàn)證檢查

通過(guò)程序、邏輯和可執(zhí)行驗(yàn)證檢查，確保對(duì)邏輯、代碼和腳本的更改都是授權(quán)人員有意進(jìn)行的更改。模擬的驗(yàn)證環(huán)境除了可以幫助運(yùn)行人員在不冒實(shí)際物理系統(tǒng)風(fēng)險(xiǎn)的情況下在設(shè)備上進(jìn)行培訓(xùn)之外，還可以幫助監(jiān)控邏輯和參數(shù)的任何不必要的更改?？梢允褂霉ぞ邅?lái)自動(dòng)檢測(cè)邏輯級(jí)別的任何更改，并且可以在受控環(huán)境中執(zhí)行任何此類更改，并保留備份副本，以備在控制器或系統(tǒng)受到威脅時(shí)可以恢復(fù)。

05.增加物理安全性

考慮到最近的網(wǎng)絡(luò)安全威脅，現(xiàn)在一些控制系統(tǒng)供應(yīng)商在其控制器上配置了物理鎖，可以防止在未先通過(guò)物理安全層的情況下在控制器上執(zhí)行任何其它代碼。

06.網(wǎng)絡(luò)安全培訓(xùn)

網(wǎng)絡(luò)安全威脅的關(guān)鍵部分來(lái)自攻擊者，而這些攻擊者往往依賴工廠人員的錯(cuò)誤。如果沒(méi)有所有利益相關(guān)者就位并意識(shí)到他們的責(zé)任，就無(wú)法充分實(shí)施網(wǎng)絡(luò)安全措施。這包括培訓(xùn)人員如何識(shí)別攻擊、如何保護(hù)其個(gè)人身份信息以及如何保護(hù)自己免受攻擊。應(yīng)當(dāng)為各級(jí)管理人員、執(zhí)行人員、運(yùn)營(yíng)技術(shù)（OT）系統(tǒng)管理員和用戶提供此培訓(xùn)。

07.創(chuàng)建事件響應(yīng)計(jì)劃

在偶然的情況下，一個(gè)奇怪的錯(cuò)誤或疏忽就會(huì)給潛在的攻擊者敞開(kāi)大門，網(wǎng)絡(luò)安全實(shí)施工作需要包括一個(gè)可行的計(jì)劃，供人員在安全受到破壞或發(fā)現(xiàn)威脅時(shí)使用。這些計(jì)劃一旦制定，就需要通過(guò)定期的培訓(xùn)來(lái)實(shí)踐，并提供給所有負(fù)責(zé)人員，以確保在安全事件發(fā)生時(shí)迅速采取行動(dòng)。

08.持續(xù)更新的資產(chǎn)登記

為降低風(fēng)險(xiǎn)，請(qǐng)保留所有列出的運(yùn)營(yíng)技術(shù)資產(chǎn)清單的最新記錄，包括交換機(jī)、路由器、防火墻、各種網(wǎng)頁(yè)服務(wù)、監(jiān)控和數(shù)據(jù)采集（SCADA）軟件、歷史庫(kù)服務(wù)器、控制器或任何因特網(wǎng)協(xié)議（IP）可尋址設(shè)備，所有這些都可能使攻擊者找到利用不受管理系統(tǒng)的空間。可以通過(guò)網(wǎng)絡(luò)監(jiān)視以獲取最新版本的資產(chǎn)清單，同時(shí)可以通過(guò)各種工具監(jiān)視修補(bǔ)程序和任何漏洞。