過去，網絡攻擊者在很大程度上忽略了操作技術(OT)系統，例如工業控制系統和 SCADA 系統，因為很難獲得專有信息，或者 OT 系統未連接到外部網絡且數據不易滲透。

[[437701]]

但現在已經不是這樣了。今天，許多工業系統都連接到公司網絡，可以訪問互聯網，并使用從連接的傳感器和大數據分析的一切來改進運營。OT 和 IT 的這種融合和集成導致了越來越多的網絡風險，包括跨 IT 和 OT 的有效和有影響的網絡事件。

OT 世界中的網絡安全威脅與 IT 不同，因為其影響不僅僅是數據丟失、聲譽受損或客戶信任度下降。OT 網絡安全事件可能導致生產損失、設備損壞和環境泄漏。保護 OT 免受網絡攻擊需要一套不同于保護 IT 的工具和策略。讓我們看看網絡安全威脅通常如何進入 OT 的受保護環境。

進入 OT 的主要媒介

惡意軟件可以通過兩種主要媒介進入 OT 環境中的安全生產設施：通過網絡或通過可移動媒體和設備。

攻擊者可以通過跨可路由網絡的防火墻利用網絡資產進入 OT 系統。適當的 OT 網絡最佳實踐，如網絡分段、強身份驗證和多個防火墻區域，可以大大有助于防止網絡事件。

BlackEnergy 惡意軟件在首次記錄的針對電網的有針對性的網絡攻擊中使用，它通過向網絡 IT 端用戶發送魚叉式網絡釣魚電子郵件危害了一家電力公司。從那里，威脅行為者能夠轉向關鍵的 OT 網絡，并使用 SCADA 系統打開變電站中的斷路器。據報道，這次襲擊導致超過 200,000 人在冬季斷電六個小時。

雖然“sneakernet”這個詞可能是新的或聽起來很尷尬，但它指的是這樣一個事實，即 USB 存儲設備和軟盤等設備可用于將信息和威脅上傳到關鍵的 OT 網絡和氣隙系統中，只需網絡攻擊者親自攜帶它們進入設施并將它們連接到適用的系統。

USB 設備繼續帶來挑戰，尤其是當組織越來越依賴這些便攜式存儲設備來傳輸補丁、收集日志等時。USB 通常是鍵盤和鼠標支持的唯一接口，因此無法禁用它，從而啟用備用 USB 端口。因此，存在在我們試圖保護的機器上插入外來設備的風險。眾所周知，黑客會在他們所針對的設施內和周圍植入受感染的 USB 驅動器。員工有時會發現這些受損的驅動器并將它們插入系統，因為這是確定其中一個驅動器上的內容的唯一方法——即使沒有任何標簽，如“財務業績”或“員工人數變化”。

Stuxnet 可能是最臭名昭著的惡意軟件被 USB 帶入隔離設施的例子。這種極其專業和復雜的計算機蠕蟲被上傳到一個氣隙核設施中，以改變可編程邏輯控制器 (PLC) 的編程。最終結果是離心機旋轉太快太久，最終導致設備物理損壞。

現在，生產環境比以往任何時候都面臨來自惡意 USB 設備的網絡安全威脅，這些設備能夠繞過氣隙和其他保護措施從內部中斷操作?！?021 年霍尼韋爾工業網絡安全 USB 威脅報告》發現，從 USB 設備檢測到的威脅中有 79% 有可能導致 OT 中斷，包括失去視野和失去控制。

同一份報告發現 USB 的使用增加了 30%，而其中許多 USB 威脅 (51%) 試圖遠程訪問受保護的氣密設施?；裟犴f爾審查了 2020 年來自其全球分析研究與防御 (GARD) 引擎的匿名數據，該引擎分析基于文件的內容，驗證每個文件，并檢測通過 USB 傳入或傳出實際 OT 系統的惡意軟件威脅。

TRITON 是第一個被記錄使用的惡意軟件，旨在攻擊生產設施中的安全系統。安全儀表系統 (SIS) 是工業設施自動化安全防御的最后一道防線，旨在防止設備故障和爆炸或火災等災難性事故。攻擊者首先滲透到 IT 網絡，然后再通過兩種環境均可訪問的系統轉移到 OT 網絡。一旦進入 OT 網絡，黑客就會使用 TRITON 惡意軟件感染 SIS 的工程工作站。TRITON 的最終結果是 SIS 可能會被關閉，并使生產設施內的人員處于危險之中。

物理設備也可能導致網絡事件

我們需要注意的不僅僅是基于內容的威脅。鼠標、電纜或其他設備也可以成為對抗 OT 的武器。

2019 年，惡意行為者將目標鎖定在有權訪問控制網絡的受信任人。該授權用戶在不知不覺中將真正的鼠標換成了武器化鼠標。一旦連接到關鍵網絡，其他人就會從遠程位置控制計算機并啟動勒索軟件。

發電廠支付了贖金;然而，他們沒有取回他們的文件，不得不重建，影響了三個月的設施。在使用設備之前，您必須了解設備的來源。

抵御網絡威脅的三個步驟

網絡威脅不斷演變。首先，定期檢查您的網絡安全策略、政策和工具，以掌握這些威脅。其次，USB 使用威脅正在上升，因此評估您的 OT 操作風險以及您當前對 USB 設備、端口及其控制的保護措施的有效性非常重要。

最后但并非最不重要的一點是，強烈建議采用縱深防御策略。該策略應分層 OT 網絡安全工具和策略，為您的組織提供最佳機會，使其免受不斷變化的網絡威脅的侵害。