【編者按】制造業(yè)面臨的網(wǎng)絡(luò)風(fēng)險在逐年增加，主要表現(xiàn)為影響工業(yè)過程的破壞性網(wǎng)絡(luò)攻擊、信息收集和過程信息竊取以及針對工業(yè)控制系統(tǒng)（ICS）的新型攻擊。以網(wǎng)絡(luò)攻擊為驅(qū)動的制造業(yè)生產(chǎn)過程破壞越來越普遍。近日工業(yè)網(wǎng)絡(luò)安全公司Dragos發(fā)布了《制造業(yè)網(wǎng)絡(luò)威脅展望》，詳細(xì)梳理了造成信息收集和處理信息竊取的入侵行為，以及針對工業(yè)控制系統(tǒng)（ICS）和工業(yè)物聯(lián)網(wǎng)（IIoT）設(shè)備的攻擊；針對制造組織的ICS威脅最新觀察結(jié)果及詳盡的分析，并提出了實用的防御建議。

　　一、主要發(fā)現(xiàn)

　　制造業(yè)面臨的網(wǎng)絡(luò)風(fēng)險正在增加，主要原因是破壞性的網(wǎng)絡(luò)攻擊影響工業(yè)過程，入侵導(dǎo)致信息收集和過程信息盜竊，以及針對工業(yè)控制系統(tǒng)（ICS）的新活動。Dragos目前公開跟蹤了五個以制造業(yè)為攻擊目標(biāo)的組織：CHRYSENE、PARISITE、MAGNALLIUM、WASSONITE和XENOTIME，以及各種能夠?qū)嵤┢茐牡睦账鬈浖顒印?/p>

　　制造業(yè)依靠ICS來實現(xiàn)規(guī)?；?、功能化，并確保一致的質(zhì)量控制和產(chǎn)品安全。制造行業(yè)作為國家關(guān)鍵基礎(chǔ)設(shè)施，生產(chǎn)關(guān)鍵材料、制成品和藥品，是事關(guān)國計民生的重要領(lǐng)域。由于設(shè)施和操作的相互關(guān)聯(lián)性，對制造行業(yè)的攻擊可能會對整個供應(yīng)鏈產(chǎn)生連鎖反應(yīng)，而供應(yīng)鏈依賴于及時和精確的生產(chǎn)來保障產(chǎn)品、健康和安全以及國家安全。

　　勒索軟件運營商正在采用具有ICS感知的功能，能夠停止與工業(yè)相關(guān)的過程，并造成潛在破壞性影響。Dragos還沒有觀察到規(guī)模或復(fù)雜程度與針對沙特阿拉伯和烏克蘭的能源運營的破壞性惡意軟件攻擊TRISIS和CRASHOVERRIDE中使用的規(guī)?；驈?fù)雜程度相同的針對制造業(yè)運營商的ICS特定惡意軟件。然而，已知的和持續(xù)存在的制造業(yè)威脅可能會對運營產(chǎn)生直接或間接的影響。對截至2020年10月的威脅情況以及未來隨著對手及其行為的可能演變，報告總結(jié)了以下特點：

　　 具有破壞工業(yè)過程能力的勒索軟件是對制造運營的最大威脅。攻擊者越來越多地在勒索軟件中采用ICS感知機(jī)制，這可能會中斷運營；

　　 Dragos公開跟蹤了五個針對制造業(yè)的活動組織；

　　 制造業(yè)過程中斷對供應(yīng)鏈的影響會波及企業(yè)以及其他地方的運營；

　　 知識產(chǎn)權(quán)盜竊對于制造商而言仍然是高風(fēng)險；

　　 相互連接的企業(yè)、運營和過程控制網(wǎng)絡(luò)日益融合，導(dǎo)致了日益嚴(yán)重的威脅。

　　二、以制造業(yè)實體為攻擊目標(biāo)的組織

　　（ 一 ） CHRYSENE圖片

　　CHRYSENE的攻擊目標(biāo)為制造業(yè)、石化、石油和天然氣以及發(fā)電行業(yè)。攻擊目標(biāo)已超出該組織最初對波斯灣地區(qū)的關(guān)注，而且該組織在多個地區(qū)仍然保持活躍。

　　相關(guān)組織：APT 34、GREENBUG、OilRig

　?。?二 ） MAGNALLIUM圖片

　　Magnalium至少從2013年就開始攻擊能源、航空航天等行業(yè)。盡管Magnalium沒有專門針對制造業(yè)，但化學(xué)制造過程屬于該組織的攻擊目標(biāo)范疇。該活動組織最初的攻擊目標(biāo)是設(shè)在沙特阿拉伯的公司，但后來將目標(biāo)擴(kuò)大到包括歐洲和北美的實體，包括美國電力公司。MAGNALLIUM缺乏專門針對ICS開展攻擊的實力，但該組織仍專注于最初的IT入侵。

　　相關(guān)組織：PARISITE、APT 33、Elfin

　?。?三 ） PARISITE圖片

　　Parisite自2017年開始運營，面向制造業(yè)、電力公用事業(yè)、航空航天、石油和天然氣行業(yè)以及政府和非政府組織，攻擊北美、歐洲和中東等地區(qū)目標(biāo)。

　　相關(guān)組織：MAGNALLIUM, Fox Kitten, Pioneer Kitten

　?。?四 ） WASSONITE圖片

　　WASSONITE的攻擊目標(biāo)是印度（以及可能的韓國和日本）的制造業(yè)、發(fā)電、核能和研究機(jī)構(gòu)。該組織的運營依賴于DTrack惡意軟件、憑據(jù)捕獲工具，利用系統(tǒng)工具進(jìn)行橫向移動。WASSONITE至少從2018年開始運營。

　　相關(guān)組織：Lazarus Group，COVELLITE

　?。?五 ） XENOTIME圖片

　　XENOTIME對多家ICS供應(yīng)商和制造商造成了威脅，構(gòu)成了潛在的供應(yīng)鏈威脅。XENOTIME以TRISIS攻擊而聞名，該攻擊導(dǎo)致2017年8月在沙特阿拉伯的一家石油和天然氣設(shè)施遭到破壞。2018年，XENOTIME的業(yè)務(wù)范圍擴(kuò)大到北美和亞太地區(qū)的電力公司，歐洲、美國、澳大利亞和中東的石油和天然氣公司。攻擊目標(biāo)還包括控制系統(tǒng)設(shè)備，超越了2017年事件所針對的Triconex控制器。

　　相關(guān)組織：Temp.Veles

　　三、工業(yè)控制系統(tǒng)（ICS）惡意軟件

　　目前，有兩個攻擊組織XENOTIME和ELECTRUM被證明有能力利用專門針對ICS進(jìn)程的惡意軟件（TRISIS和CRASHOVERRIDE），并破壞ICS進(jìn)程。盡管Dragos尚未觀察到有惡意軟件家族會擾亂制造運營，但這些攻擊者可能會在開發(fā)此類惡意軟件的過程中將目標(biāo)鎖定在制造公司，即使它們不是最終目標(biāo)。

　　例如，2016年惡意軟件CRASHOVERRIDE在烏克蘭的一個輸變電站中專門針對西門子SIPROTEC保護(hù)繼電器和ABB設(shè)備進(jìn)行破壞。Dragos觀察到，一些大型制造公司可能會在現(xiàn)場有自己的電力運營部門，其中包含相同的設(shè)備。從理論上講，如果使用相同的設(shè)備，攻擊者可以將制造業(yè)作為針對關(guān)鍵基礎(chǔ)設(shè)施（如電力公司）的破壞性攻擊的“試驗場”。Dragos估計，由于總體上較復(fù)雜的網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施和較少的政府監(jiān)督，制造業(yè)可能成為攻擊者更具吸引力的目標(biāo)。

　　最臭名昭著的ICS惡意軟件Stuxnet也針對制造業(yè)。2010年首次發(fā)現(xiàn)該蠕蟲病毒的攻擊目標(biāo)是伊朗擁有的負(fù)責(zé)控制鈾濃縮離心機(jī)的可編程邏輯控制器（PLC）。這種網(wǎng)絡(luò)攻擊在當(dāng)時是史無前例的，它是第一次對計算機(jī)系統(tǒng)造成物理破壞的攻擊。

　　四、針對制造業(yè)的威脅

　?。?一 ） 勒索軟件

　　制造業(yè)最常見的威脅是勒索軟件。Dragos觀察到，在過去兩年中，影響ICS環(huán)境和操作的非公開和公共勒索軟件事件數(shù)量顯著增加。今年，Dragos確定了采用ICS感知功能的多種勒索軟件，包括能夠在環(huán)境中停止工業(yè)過程的能力，其活動可以追溯到2019年。EKANS、Megacortex和Clop只是包含這類代碼的少數(shù)勒索病毒軟件。EKANS和其他關(guān)注ICS的勒索軟件對工業(yè)操作構(gòu)成了一種獨特的、特定的風(fēng)險，此前在勒索軟件操作中沒有觀察到這種風(fēng)險。

　?。?二 ） 暴露于互聯(lián)網(wǎng)上的資產(chǎn)

　　暴露于互聯(lián)網(wǎng)上的工業(yè)和網(wǎng)絡(luò)資產(chǎn)對制造業(yè)來說是高風(fēng)險，因為這些資產(chǎn)有助于攻擊者進(jìn)入受害環(huán)境。針對ICS的威脅組織，包括PARISITE、MAGNALLIUM、ALLANITE和XENOTIME，以前或目前都試圖利用遠(yuǎn)程訪問技術(shù)或登錄基礎(chǔ)設(shè)施。

　　根據(jù)《2019年Dragos年度回顧報告》，66%的事件響應(yīng)案例涉及對手直接從互聯(lián)網(wǎng)訪問ICS網(wǎng)絡(luò)，100%的組織都有可路由的網(wǎng)絡(luò)連接到其操作環(huán)境中。最近以色列針對水基礎(chǔ)設(shè)施的網(wǎng)絡(luò)入侵是可編程邏輯控制器（PLC）暴露在開放互聯(lián)網(wǎng)上的結(jié)果。Dragos還響應(yīng)了工業(yè)實體的勒索軟件事件，這些企業(yè)利用互聯(lián)網(wǎng)連接的遠(yuǎn)程訪問門戶滲透到運營網(wǎng)絡(luò)并部署勒索軟件。

　　2020年7月，美國國土安全部網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）和國家安全局（NSA）發(fā)布了一份警告，鼓勵資產(chǎn)所有者和運營商立即采取行動，限制OT資產(chǎn)接入互聯(lián)網(wǎng)。根據(jù)該警報，最近在發(fā)布前觀察到的行為包括：在轉(zhuǎn)向操作技術(shù)（OT）之前，通過魚叉釣魚獲得對信息技術(shù)（IT）的初始訪問，部署商用勒索軟件來影響IT和OT環(huán)境，連接到不需要驗證的可訪問互聯(lián)網(wǎng)的可編程邏輯控制器（PLC），使用常用端口和標(biāo)準(zhǔn)應(yīng)用層協(xié)議與控制器通信并下載修改后的控制邏輯，使用供應(yīng)商工程軟件和程序下載、修改可編程邏輯控制器上的控制邏輯和參數(shù)。

　　攻擊者很快就可以將面向互聯(lián)網(wǎng)的服務(wù)（包括遠(yuǎn)程桌面協(xié)議（RDP）和VPN服務(wù)）中的漏洞進(jìn)行武器化和利用。2020年夏季發(fā)現(xiàn)的新漏洞會影響關(guān)鍵網(wǎng)絡(luò)基礎(chǔ)設(shè)施服務(wù)，包括F5、Palo Alto Networks、Citrix和Juniper網(wǎng)絡(luò)設(shè)備，可能會被針對ICS的攻擊者利用，這些漏洞可使對手獲得對企業(yè)運營的初始訪問權(quán)，之后可能轉(zhuǎn)向工業(yè)運營。

　?。?三 ） ICS漏洞

　　ICS專用設(shè)備和服務(wù)中的漏洞可能給制造環(huán)境帶來風(fēng)險。截至2020年10月，Dragos的研究人員評估并驗證了108個安全建議，其中包含262個漏洞，這些漏洞會影響制造環(huán)境中的工業(yè)設(shè)備。Dragos發(fā)現(xiàn)，幾乎有一半的通報都描述了一個漏洞，該漏洞可能導(dǎo)致受到破壞的環(huán)境中可視性丟失和/或失去控制。

　　在Dragos評估的影響制造業(yè)工業(yè)設(shè)備的漏洞中，70%需要訪問受害者網(wǎng)絡(luò)才能利用，26%要求攻擊者能夠訪問易受攻擊的設(shè)備本身，8%的要求攻擊者在局域網(wǎng)上以便于攻擊。鼓勵資產(chǎn)所有者和運營商注意這些漏洞對制造操作的威脅。例如，可視化或控制裝置丟失會引起安全隱患，并可能使工人的生命或環(huán)境面臨風(fēng)險。

　　（ 四 ） 知識產(chǎn)權(quán)盜竊

　　Dragos高度自信地認(rèn)為，知識產(chǎn)權(quán)盜竊和工業(yè)間諜活動是制造實體的主要威脅，尤其是來自國家支持的攻擊者和惡意內(nèi)部人士的威脅。與過程和自動化功能相關(guān)的知識產(chǎn)權(quán)和商業(yè)秘密的竊取，可使工業(yè)組織以及感興趣的政府快速發(fā)展關(guān)鍵基礎(chǔ)設(shè)施，包括制造業(yè)。它還可以支持國家資助的間諜活動，以進(jìn)行政治或國家安全工作。獲得產(chǎn)品的材料規(guī)格可能不足以復(fù)制它們，企業(yè)依賴工程和工業(yè)設(shè)計原理圖以及基因自動化測序詳細(xì)信息。根據(jù)Dragos研究人員稱，攻擊者可能會竊取算法、工程設(shè)計和編程規(guī)范，以復(fù)制整個生產(chǎn)過程，而不僅僅是物質(zhì)產(chǎn)品和服務(wù)的輸出。

　　（ 五 ） 第三方/供應(yīng)鏈

　　自2017年以來，作為威脅受害者的第一步，多種威脅已轉(zhuǎn)移到危害供應(yīng)商、托管服務(wù)提供商（MSP）和外部網(wǎng)絡(luò)服務(wù)。攻擊者可以濫用現(xiàn)有的信任關(guān)系和互聯(lián)性，以獲得對敏感資源的訪問權(quán)，在某些情況下還包括ICS系統(tǒng)，幾乎都不可能被發(fā)現(xiàn)。

　　此類活動的最新案例包括：DYMALLOY和ALLANITE組織針對幾個原始設(shè)備制造商和供應(yīng)商進(jìn)行了攻擊，針對電力部門實施了后續(xù)網(wǎng)絡(luò)釣魚攻擊；針對幾家原始設(shè)備制造商和供應(yīng)商的XENOTIME；APT10進(jìn)行了一場廣泛的黑客攻擊，劫持了MSP及其客戶之間的連接，其中包括制造企業(yè)。

　　承包商、供應(yīng)商和其他第三方人員通?？梢灾苯釉L問操作環(huán)境進(jìn)行更新、檢查或新設(shè)備安裝等活動。攻擊者有可能將這些個人使用的設(shè)備作為進(jìn)入其最終目標(biāo)的接入點。企業(yè)資源規(guī)劃（ERP）供應(yīng)商還提供了潛在的感染媒介，如果沒有適當(dāng)?shù)母綦x和安全控制，這些媒介可以彌合IT和OT之間的鴻溝。ERP服務(wù)需要訪問操作資產(chǎn)以監(jiān)視和存儲與生產(chǎn)、供應(yīng)鏈、庫存和安全相關(guān)的信息。它們應(yīng)該集成到企業(yè)功能中，如合規(guī)或財務(wù)。最近的漏洞暴露突出了這些系統(tǒng)的威脅和潛在的利用。2020年7月，主要的ERP供應(yīng)商SAP發(fā)布了影響SAP NetWeaver Application Server（AS）Java組件的嚴(yán)重漏洞的詳細(xì)信息和修補(bǔ)程序，該漏洞影響了眾多SAP業(yè)務(wù)解決方案，包括ERP。攻擊者可以利用該漏洞控制受信任的SAP連接。

　　制造業(yè)實體是全球供應(yīng)鏈的一部分，支持多個其他行業(yè)，這使得它們成為對手攻擊電力公用事業(yè)或制藥等行業(yè)的跳板。一些制造業(yè)公司的活動延伸到多個垂直行業(yè)。汽車制造商大眾汽車于2019年成為可再生能源供應(yīng)商，旨在與能源公司在電池儲能和管理方面展開競爭。

　　利用第三方連接可使攻擊者進(jìn)行間諜活動、偵察和數(shù)據(jù)竊取操作，以預(yù)先做好準(zhǔn)備以展開破壞性O(shè)T攻擊。由于制造業(yè)公司在各個行業(yè)垂直領(lǐng)域的相互關(guān)聯(lián)關(guān)系，資產(chǎn)所有者和運營商應(yīng)意識到所有ICS實體面臨的威脅，并將ICS特定威脅情報納入安全運營和風(fēng)險管理。

　　五、IT/OT融合

　?。?一 ） 網(wǎng)絡(luò)隔離

　　制造商的網(wǎng)絡(luò)安全成熟度取決于行業(yè)、監(jiān)管要求、地理位置和各種其他因素。然而，在制造環(huán)境中存在“扁平網(wǎng)絡(luò)”并不罕見。這是因為企業(yè)和運營部門之間共享網(wǎng)絡(luò)連接。這使得攻擊者更容易跨越IT和OT邊界，并從IT接入點進(jìn)入后攻擊制造業(yè)務(wù)。

　　如果企業(yè)和運營部門之間確實存在隔離，利用跳轉(zhuǎn)主機(jī)和訪問限制，那么制造工廠通常利用所有制造工廠的相同廣域網(wǎng)（WAN）連接。如果攻擊者能夠進(jìn)入一個設(shè)施的運營，則可能會危及整個公司的運營。

　　扁平網(wǎng)絡(luò)結(jié)構(gòu)的危險在2017年得到了廣泛證明。那一年，WannaCry和NotPetya蠕蟲勒索軟件和惡意軟件攻擊全球，破壞了眾多制造商的運營。這些蠕蟲利用舊版本的Microsoft服務(wù)器消息塊（SMB）協(xié)議中的漏洞和連續(xù)的憑據(jù)竊取和重用進(jìn)行傳播。由于IT和OT之間存在較弱的隔離、環(huán)境之間的維護(hù)互連以及缺乏訪問限制進(jìn)行互連，惡意軟件在工業(yè)運營中緩慢蔓延，造成了數(shù)十億美元的損失。盡管WannaCry和NotPetya事件給全球制造商敲響了警鐘，但三年后，不當(dāng)?shù)木W(wǎng)絡(luò)隔離仍然是一個問題。

　?。?二 ） Wi-Fi連接

　　除了與互聯(lián)網(wǎng)連接的過程自動化和其他“智能”制造過程外，運營商還采用了支持Wi-Fi的機(jī)床和診斷設(shè)備?；ヂ?lián)網(wǎng)連接工具連接到歷史數(shù)據(jù)庫，用于質(zhì)量保證、監(jiān)管和物流等目的。通常，這些工具連接到企業(yè)或運營資源，可以用作網(wǎng)絡(luò)接入點，或在旨在破壞生產(chǎn)和阻礙運營的攻擊中成為攻擊目標(biāo)。物流應(yīng)用程序和服務(wù)使制造資產(chǎn)的移動部件（如車輛、司機(jī)和貨物）能夠與倉庫或人力資源等靜態(tài)資產(chǎn)進(jìn)行通信和交互。員工和承包商使用帶有Wi-Fi連接的移動和桌面硬件來使用應(yīng)用程序和服務(wù)，并定期訪問企業(yè)網(wǎng)絡(luò)，有時還訪問運營網(wǎng)絡(luò)。

　　物流技術(shù)可以確保供應(yīng)鏈的及時、精簡，但對任何中斷都非常敏感。如果物流網(wǎng)絡(luò)中的一臺設(shè)備受到威脅，則惡意軟件或?qū)κ挚赡軙⒉嫉皆撛O(shè)備所連接的所有網(wǎng)段。時間敏感的小事故可能意味著制造業(yè)運營的嚴(yán)重破壞，并影響客戶、產(chǎn)品和服務(wù)。

　?。?三 ） 缺乏可見性

　　隨著制造業(yè)務(wù)的聯(lián)系日益緊密，這些環(huán)境中仍然缺乏對過程、資產(chǎn)和連接的可見性。很難抵御運營商看不到的威脅。

　　根據(jù)Dragos 2019年度回顧報告，81%的Dragos服務(wù)團(tuán)隊合作的組織對ICS/OT網(wǎng)絡(luò)的可見性極為有限或根本沒有。從事件響應(yīng)活動中觀察發(fā)現(xiàn)，沒有用于事件分析的安全性和過程數(shù)據(jù)聚合實例，而需要手動檢索日志和分布式分析。

　　至關(guān)重要的是，在未來，所有制造部門和運營部門（包括工程、裝配和物流）的資產(chǎn)所有者和運營商改善網(wǎng)絡(luò)和主機(jī)可見性，以識別和抵御日益增長的威脅。

　　六、防御建議

　　制造企業(yè)都是不同的，并且網(wǎng)絡(luò)安全機(jī)制、網(wǎng)絡(luò)體系結(jié)構(gòu)以及它們愿意接受的風(fēng)險也會因行業(yè)而異。例如，在食品和制藥行業(yè)，已經(jīng)制定了監(jiān)管條例，以監(jiān)測生產(chǎn)和銷售給公眾的產(chǎn)品的安全性。但是，為了提高環(huán)境的整體安全性，所有制造企業(yè)都應(yīng)執(zhí)行以下建議：

　　 進(jìn)行架構(gòu)檢查，以確定IT和OT網(wǎng)絡(luò)之間的所有資產(chǎn)、連接和通信。確定非軍事區(qū)（DMZ）以限制飛地之間的流量。嚴(yán)格檢查并限制公司網(wǎng)絡(luò)和ICS網(wǎng)絡(luò)之間的連接，并將其限制為僅已知的、需要的流量。

　　 確保理解網(wǎng)絡(luò)的相互依賴關(guān)系，并進(jìn)行核心分析，以識別可能破壞業(yè)務(wù)連續(xù)性的潛在弱點。

　　 盡可能實施多因素身份驗證（MFA），尤其是在外圍設(shè)備和登錄門戶。重點關(guān)注與集成商、維護(hù)人員、供應(yīng)商人員以及諸如安全設(shè)備之類連接。如果無法在內(nèi)部設(shè)備上實現(xiàn)MFA，請確保對所有憑證使用強(qiáng)且難以猜測的口令。

　　 確保維護(hù)企業(yè)網(wǎng)絡(luò)系統(tǒng)的備份，并在災(zāi)難恢復(fù)模擬期間測試備份。制定ICS特定事件響應(yīng)計劃，并演練如何處理不同的事件。

　　 被動識別和監(jiān)視ICS網(wǎng)絡(luò)資產(chǎn)，以識別網(wǎng)絡(luò)中的關(guān)鍵資產(chǎn)、阻塞點和外部通信。

　　 尋找針對制造的對手所使用的威脅行為和已知的戰(zhàn)術(shù)、技術(shù)和程序（TTPs），比如那些映射到ICS的ATT&CK。

　　 監(jiān)控來自ICS網(wǎng)絡(luò)的出站通信，以檢測惡意威脅行為、指標(biāo)和異常情況。了解惡意活動組織表現(xiàn)出的惡意行為，對于防范至關(guān)重要。

　　 監(jiān)測和標(biāo)記關(guān)鍵資產(chǎn)。Dragos資產(chǎn)識別允許通過檢測針對資產(chǎn)類型的惡意行為來進(jìn)行特定分析。

　　 利用特定于行業(yè)的威脅檢測機(jī)制來識別OT中的惡意軟件，并在網(wǎng)絡(luò)級別加強(qiáng)縱深防御策略，從而使防御者和分析員具有更強(qiáng)大的調(diào)查能力。

　　 確保公司網(wǎng)絡(luò)已修補(bǔ)，以防止惡意軟件感染進(jìn)入環(huán)境并防止后續(xù)傳播。

　　 確保關(guān)鍵的網(wǎng)絡(luò)服務(wù)，如Active Directory（AD）和托管它的服務(wù)器都受到很好的保護(hù)，并盡可能最大程度地限制對托管設(shè)備的管理訪問。

　　 盡可能評估和限制IT和ICS網(wǎng)絡(luò)之間的共享。在共享AD環(huán)境中為OT系統(tǒng)創(chuàng)建專用安全組，并將部署組策略對象（GPO）或其他更改的權(quán)限限制為僅對管理員，以減少攻擊面。

　　 確保最大程度地將網(wǎng)絡(luò)隔離。如果無法進(jìn)行隔離，請確保應(yīng)急響應(yīng)計劃有良好的文檔記錄，以詳細(xì)說明緊急情況下，如惡意軟件感染時的隔離工作。例如，實施防火墻規(guī)則，將關(guān)鍵的ICS組件從網(wǎng)絡(luò)中分離出來，這些組件可以根據(jù)環(huán)境的信息安全和功能安全以及任何潛在的惡意活動進(jìn)行激活和停用。

　　不需要進(jìn)行實時通信或直接訪問操作的服務(wù)和設(shè)備應(yīng)進(jìn)行虛擬化。這可以改進(jìn)漏洞管理，并為相互依賴提供更好的安全性。例如，工程工作站（EWS）和人機(jī)界面（HMI）操作可以虛擬化。

　　 隔離用于建筑物出入控制（BAC）和供暖、通風(fēng)和空調(diào)（HVAC）的設(shè)備和服務(wù)。這些服務(wù)可被視為二級或支持系統(tǒng)，對維持安全、可靠的制造運營至關(guān)重要，并且可以作為試圖破壞制造生產(chǎn)的對手的潛在目標(biāo)。

　　七、結(jié)論

　　針對制造企業(yè)、導(dǎo)致運營中斷的勒索軟件呈現(xiàn)上升趨勢?；ヂ?lián)網(wǎng)暴露的資產(chǎn)、供應(yīng)鏈和第三方危害風(fēng)險，以及互聯(lián)企業(yè)和運營網(wǎng)絡(luò)的日益融合，導(dǎo)致了威脅態(tài)勢的不斷惡化。Dragos繼續(xù)監(jiān)測重點的攻擊組織和針對制造業(yè)務(wù)的威脅，包括涉及能夠破壞運營的ICS勒索軟件。此外，如Dragos所述，攻擊者無需專門針對工業(yè)過程，就可實現(xiàn)跨工廠、車隊或自動化過程的廣泛危害破壞?？梢钥隙ǖ氖牵髂曛圃鞓I(yè)面臨的威脅還將繼續(xù)增加。