最近，一個潛在的民族國家威脅行為者在測試新的惡意軟件時，無意中關閉了中東地區的關鍵基礎設施，這種工業控制系統(ICS)面對新的網絡威脅時所呈現出的脆弱性，引發了人們的普遍擔憂。許多安全專家認為，這起事件是威脅行為者即將對ICS展開新一輪破壞性攻擊的預兆，專家們希望關鍵基礎設施所有者能夠緊急更新其運營技術(OT)網絡的安全性。

[[224555]]

什么是工業控制系統?

工業控制系統是用于操作或自動化工業過程的任何設備、儀器以及相關的軟件和網絡。工業控制系統通常用于制造業，但對于能源、通信和交通等關鍵基礎設施也同樣具有非常重要的意義。很多此類系統都是通過互聯網——工業物聯網(IIoT)連接到傳感器和其他設備中的，這無疑增加了潛在的ICS攻擊面。

企業組織除了必須充分利用經驗教訓來確保企業IT的安全外，還要將這些經驗教訓應用于運營技術(OT)的獨特特性之中。這包括超越基于邊界的設施安全，并將安全控制措施添加到最重要的資產——專有控制系統中，因為該系統將對流程安全性和可靠性負有主要責任。

根據一些安全專家總結稱，以下是電廠操作員、流程控制工程師、制造IT專家以及安全人員在規劃ICS安全時必須要詢問的一些關鍵問題：

1. 我是否配有專人負責管理和維持ICS安全?

組織規劃人員往往傾向于認為，工業網絡安全在很大程度上屬于技術問題，而加深這一技術問題的更大難題是缺乏技術資源。近年來，關鍵基礎設施運營商越來越多地采用推薦的技術控制措施來保護他們的系統，但卻沒有足夠的人員來管理和維護這些措施/技術。

例如，投入反惡意軟件技術，但卻沒有人來負責技術更新。安全產品可以識別漏洞，但卻沒有人來修復。

通常情況下，負責管理網絡安全的人員同時也是將系統放在首位的自動化工程師和生產工程師。安全只是這些人的其中一項兼職工作。由于時間精力，通常只會更關注保持系統運行而不是解決安全問題。許多工廠管理者認為，他們通過實施一些技術控制措施已經解決了他們的安全問題，但這種想法往往是在虛假的安全意識下運作的。

2. 我是否真的清楚自己的工控系統中安裝了什么?

想要獲得正確的保護，首先你需要弄清楚自己的工控系統中究竟安裝了什么，以及它們分別連接了哪些系統?如果你不具備這種可見性，你將會被溺死在網絡安全的深水中。你需要了解技術控制的具體位置，以及這些技術可以用于保護的具體位置。對于不支持現代安全控制的系統，你還需要考慮進行補償控制以降低風險。

由于缺乏基本的安全保護措施，我們發現黑客能夠輕松繞過防火墻、跳過物理隔離(air gaps)，并利用ICS設備的漏洞。對于工廠管理人員、運營商以及制造商來說，確保ICS設備本身值得信賴并支持重要的網絡安全是至關重要的。通常情況下，PLC(可編程邏輯控制器)，傳感器以及工業網關沒有安全證書(如數字證書)或包含在芯片中的私鑰作為信任的基礎。像安全啟動、認證、加密和信任鏈接這樣的基本網絡保護措施，并未在影響人員安全、正常運行時間和環境的設備上實施。

3. 我是否真正擁有合適的網絡安全控制系統策略?

組織容易犯的最大錯誤之一就是將IT安全與工業控制系統安全等同起來。但是，這兩者本質上來說卻是完全不同的。

IT安全通常專注于檢測和解決網絡中的漏洞，而不考慮對流程系統的實際影響。對于工廠操作員來說，最重要的是系統的完整性和可用性。他們關注的焦點并不在于特定網絡威脅的復雜程度，而在于它是否會給這個過程帶來問題。

你是否真正地擁有控制系統網絡安全策略和程序?不是IT，不是業務連續性，不是物理安全性。你是否有想過如何保護你的流程控制系統，或者你是否與IT部門保持同步?為了確保安全，你需要能夠信任連接到你的控制器、執行器和人機界面(HMI)系統的過程傳感器的輸出。在9/11之前，擁有這些設備的人就等于擁有了它的一切。而在9/11之后，網絡被重新分類為關鍵基礎設施，且取自運營商并提供給IT部門。其結果是形成過于以IT為中心的ICS安全觀。

4. 我能否信任我的設備輸出?

確認你自己有控制權來確保工業控制網絡上設備的可靠性。否則的話，相信他們的數據是會帶來風險的。

你的工業控制設備是否具有安全引導過程和防止未經授權更改固件的機制等功能?你知道你的無線軟件更新和安全補丁程序有多安全嗎?你的ICS設備能否支持使用基于標準的PKI認證和數字證書?

如今，每個人都只是專注于診斷。沒有人會想起來問‘我們是否可以信任我們自己的傳感器’。如果你是一名醫生，除非你知道顯示器可以被信任，否則你不能相信你的血壓讀數。

5. IT安全措施是在保護我的系統還是造成更多問題?

IT部門不應該直接采用沒有控制系統人員監督的控制系統。否則，可能會導致意外問題。在IT中，如果有人嘗試輸入錯誤的密碼達到五次，你就可以把這個人鎖定了。

如果有人真的需要急于進入該系統，采用同樣的方法來控制對關鍵電廠系統的訪問可能是災難性的。如此一來，你可能會把設備變為廢墟。因為作為一名黑客，我所需要做的就是發送五次錯誤的密碼來鎖定你。

此外，了解你的安全控制是否適用于運營技術(OT)環境至關重要。由于安全性和可靠性的影響，代理、網絡ping掃描和其他常見的保護企業IT網絡的方法，在過程控制網絡中都是不起作用的。這樣的解決方案應該永遠不會投入生產階段。

6. 我的系統是否有正確的文檔?

無論是部署新的控制系統，還是強化現有的控制系統，為控制組件提供必要和可選服務的所有文檔都是非常重要的。你需要知道文檔是否按功能分解了服務——例如，控制系統協議VS工程協議VS文件傳輸和HMI配置協議。

當控制組件出現故障時，是否有文檔解釋控制器輸出的行為?你需要了解系統中實施了哪些專有網絡協議，以及為加強各自的服務而采取了哪些措施? 通過此類信息，你才能真正地了解你正在面臨的風險，以及隔離正在影響系統的漏洞所需的緩解措施。

7. 我完全了解自己的網絡訪問問題嗎?

將控制系統連接到網絡可以使它們更容易管理和操作，但是首先你需要對安全風險有所了解，并采取適當的控制措施來減輕風險。

例如，你采取了哪些措施能夠確保通過網絡訪問你的控制系統環境的任何人只能對數據進行只讀訪問?過程系統供應商是否需要遠程訪問網絡?你可以對這種訪問進行什么樣的控制?

同樣地，你需要知道工程師是否會遠程訪問控制組件，以及為什么他們需要訪問權限。請確保你知道存在哪些控制措施，或者可能需要添加哪些措施以使網絡風險達到可接受的級別，并確保安全地執行遠程訪問。

此外，還要確保詢問需要通過設備類別和設備類型支持的通信協議。了解你是否擁有與控制系統通信的所有強大認證和加密功能，識別最易受攻擊的通信協議，了解你是否正在與 SCADA 和 IIoT 網絡進行安全通信。

8. 事件響應和事件管理功能是否到位?

即使網絡攻擊的可能性相對較低，也要謹記，任何一次網絡攻擊所造成的影響都可能是災難性的。在此環節，你需要明確的一個基本問題是你應對和緩解成功攻擊的能力。如果攻擊者真的想滲透你的組織并建立一個基地，你可能將無法阻止他們，你需要確保自己有一個計劃和一個流程，以便能夠從網絡攻擊中迅速而安全地恢復。

在評估你的ICS環境的網絡安全措施時，你需要明確以下問題：“你是否有基于資產重要性的事件響應協議來適當和快速地做出響應?你知道工業資產存在何種程度的攻擊面嗎?”

最后，評估你的漏洞識別和緩解過程，同時適用于基于IT的控制系統資產以及專有控制系統資產，目前存在的補丁級別以及最容易暴露的設施。如果最糟糕的情況發生，你需要明確自己是否具備測試業務連續性計劃，包括對風險系統的全新備份。