6月12日訊 2017年席卷全球的 WannaCry 和 ExPetr 勒索軟件攻擊令美國和歐洲的公共事業(yè)單位、制造商、電信公司和公共交通系統(tǒng)遭受重創(chuàng)，這讓網(wǎng)絡安全專家和網(wǎng)絡犯罪分子充分認識到，運營技術（OT）系統(tǒng)比信息技術（IT）系統(tǒng)更易遭受攻擊。

工業(yè)網(wǎng)絡安全技術提供商 Indegy 首席技術官米勒·甘德爾斯曼撰文分析工業(yè)系統(tǒng)面臨的網(wǎng)絡威脅，并提出防范建議。

工業(yè)威脅形式多樣化

2018年工業(yè)系統(tǒng)面臨的最大威脅是勒索軟件攻擊，網(wǎng)絡攻擊者通常會加密關鍵數(shù)據(jù)，以此索要贖金。而勒索軟件攻擊不是工業(yè)控制系統(tǒng)面臨的唯一網(wǎng)絡風險，恐怖組織、國家和工業(yè)間諜都試圖通過各種類型的攻擊滲透運營技術（OT） 系統(tǒng)，企圖通過數(shù)據(jù)牟利、竊取知識產(chǎn)權（例如制造藍圖或配方）、發(fā)起拒絕服務或破壞工廠。

在制造和工業(yè)環(huán)境中，網(wǎng)絡攻擊或意外中斷等事件帶來的影響令人擔憂。例如，如果系統(tǒng)集成商使用過時、不準確的硬拷貝資產(chǎn)電子表格在錯誤的可編程邏輯控制器（PLC）上進行了預先計劃的更改時，就會導致大型汽車制造商的生產(chǎn)線全線關閉超過24小時。

無論是系統(tǒng)出現(xiàn)意外故障還是惡意攻擊者故意為之的攻擊事件，都足以引起制造業(yè)的管理層高度重視，在做選擇時慎重考慮，以保護系統(tǒng)運作免遭意外或未經(jīng)授權的更改操作。

OT安全面臨的挑戰(zhàn)

針對運營技術（OT）領域的網(wǎng)絡安全工作遠遠落后于信息技術（IT）領域，盡管企業(yè)正在努力追趕，但仍面臨諸多挑戰(zhàn)。

最大的挑戰(zhàn)在于企業(yè)并不全面了解其需要保護的所有 ICS 資產(chǎn)。如果沒有自動化資產(chǎn)管理軟件提供持續(xù)更新，企業(yè)的現(xiàn)有資產(chǎn)庫可能會過時。

另一個挑戰(zhàn)是，ICS 設備中不一定具有安全功能。許多 PLC、RTU、HMI、工程工作站、OPC 服務器等均未在設計時考慮安全性。此外，這些設備的設計者在規(guī)劃設計時并未設想將其納入物聯(lián)網(wǎng)，這也源于數(shù)年前不曾有人預言最終會出現(xiàn) IT-OT 融合的現(xiàn)象。因此，企業(yè)應當消除傳統(tǒng)的“隔離”概念，并且要認識到安全漏洞的嚴重性以及漏洞帶給 OT 環(huán)境前所未有的挑戰(zhàn)。

另外一個棘手的挑戰(zhàn)是，工業(yè)系統(tǒng)中，暫停運行成本高昂，因此無法通過停止生產(chǎn)或更新固件或修復漏洞來解決問題。OT 設備的維護必須事先規(guī)劃好，可能需要花上數(shù)月時間讓系統(tǒng)離線，以進行更新，提高設備的安全性。與此同時，企業(yè)必須維持現(xiàn)狀或通過替代方案降低風險。

綜上，填補 ICS 的網(wǎng)絡安全缺口尤為重要。為此美國國家標準與技術研究院（NIST）發(fā)布了《改善關鍵基礎設施網(wǎng)絡安全框架》，為保護工業(yè)控制系統(tǒng)及其環(huán)境提供指導。

如何評估工業(yè)網(wǎng)絡安全解決方案？

為了解決制造企業(yè)運營技術（OT）環(huán)境中的安全可見性和控制盲點問題，專門為此構建的技術正在萌芽。當評估工業(yè)網(wǎng)絡安全解決方案時，企業(yè)可考慮以下重要功能：

自動化資產(chǎn)發(fā)現(xiàn)與管理：有效的 ICS 安全策略要求組織確切了解其擁有的資產(chǎn)、配置和相關活動。這就需要借助自動化資產(chǎn)發(fā)現(xiàn)功能獲得態(tài)勢感知，全面了解資產(chǎn)并簡化持續(xù)的資產(chǎn)管理過程。這項功能包括發(fā)現(xiàn)和報告閑置資產(chǎn)，不斷更新資產(chǎn)詳情，并通過大量信息跟蹤所有變化以進行備份和恢復。

監(jiān)控網(wǎng)絡活動和檢測異常/威脅：使用安全策略監(jiān)控工業(yè)網(wǎng)絡中的內(nèi)部和外部設備通信和協(xié)議，以此檢測安全威脅和異常情況。

驗證控制器的完整性：通過網(wǎng)絡或物理連接到設備的方法檢測控制器的變化，例如配置更改，代碼更改和固件下載，這對于防止故障、中斷和/或物理損壞至關重要。

評估漏洞和管理風險：這涉及在所有控制設備上執(zhí)行例程漏洞評估，以識別缺失的補丁和錯誤的配置，并對每臺設備提供風險評分，以修復存在安全隱患的部分。

檢測和響應事件：對在 ICS 網(wǎng)絡中檢測到的可疑活動和威脅生成實時警報，包括全面審查跟蹤所有 ICS 活動，并保留控制器歷史信息，以便進行備份和提供恢復支持。

組織機構應將這些功能與在其使用的 IT 安全技術集成，例如安全信息和事件管理（SIEM）軟件。工業(yè)網(wǎng)絡安全威脅不再只是“紙上談兵”，亦不是危言聳聽。工廠所有者和運營者應部署正確的技術，并全面了解并管理運營技術（OT）環(huán)境，以確保過程、設備和人員安全。