當前，工業控制系統(ICS)面臨一系列數字威脅。其中兩個方面尤其突出。一方面，數字攻擊者在獲得工業公司的非授權訪問方面越來越在行。有些攻擊者采用惡意軟件，另一些訴諸于漁叉式網絡釣魚(或釣鯨)和其他社會工程技術。盡管有這些戰法技術，2016年我們看到的大多數主要ICS安全事件，都很幸運地只對受影響企業造成了中斷，而不是破壞。

[[177288]]

另一方面，如趨勢科技的研究人員發現的，攻擊者可以利用被動情報獲取技術，來竊聽工業環境中呼機間的未加密呼叫，然后利用這些信息進行社會工程攻擊，侵入工控公司，或者產生可能影響工業操作的虛假警報。

為免遭這些威脅侵害，公司企業采取恰當的措施建立有效工業安全項目，并對企業范圍內的風險進行優先級排序，就十分重要了。美國最大的高速電子電纜生產商之一百通公司，發展出了工業網絡安全3步走方法，有序幫助降低復雜度，優化風險優先級，保護工業網絡、終端和控制系統的安全。

1. 保護網絡

工業企業想要保衛自己的網絡，最好從確保擁有邊界安全的良好網絡設計開始。一旦完成了這第一步，企業應按 ISA IEC 62443 工業自動化和控制系統網絡安全標準對自身網絡進行隔離，保護旗下所有的無線應用，部署安全遠程訪問解決方案以輔助快速故障排除和問題解決。

企業還應監視自身網絡，尤其是在運營技術(OT)環境：

2. 保護終端

OT員工可能會覺得自家終端有邊界防火墻、專有軟件、專用協議和物理隔離，數字攻擊拿它們沒辦法。但事實并非如此。當員工、承包商或供應鏈的家伙們帶著他們的筆記本或U盤走到終端前進行維護時，這些防護措施就被繞過了。

因此，公司企業應要保護自身工業終端應該還要做到：

很多企業可以從以下幾個方面開始：收集并維護好所有終端硬軟件的準確清單;跟蹤OT資產中的漏洞;確保每個終端都有安全穩固的配置;監視并報警未授權修改。

3. 保護控制器

每個工業環境中都有物理系統——執行器、校準器、閥門之類的機械設備和溫度、壓強之類的傳感器等等與物理世界互動的東西。很多案例中，攻擊者都獲得了這些機械設備的訪問權，導致系統誤操作;但若沒獲取到控制級別的權限，他們也沒有直接的途徑來干這事兒。

為繞開這一障礙，有些攻擊者瞄上了負責管理這些系統的工業控制器：

下圖就是我們日常接觸到的一種控制器。

[[177289]]

這是個普通的恒溫調節器，與供熱系統互動以加熱房間或大樓。

通過加強檢測能力，增大對ICS修改與威脅的可見性，實現脆弱控制器的安全措施，監視可疑訪問與修改控制，及時檢測/限制威脅，公司企業便能有效防護工業控制器不被數字攻擊侵害。

結論

鑒于工業環境日趨復雜的態勢，公司企業努力實現針對數字威脅的防護顯得尤其重要。要做到這一點，需要針對網絡安全、終端安全和工業控制器安全部署多重防護，邁好這3步。