【編者按】工業(yè)部門對一個國家的發(fā)展具有重大的戰(zhàn)略意義。隨著物聯(lián)網(wǎng)的出現(xiàn)，現(xiàn)代工業(yè)已經(jīng)發(fā)生了革命性的變化，通過連接數(shù)十億個傳感器和設(shè)備而進入了一個新的篇章。信息技術(shù)（IT）和操作技術(shù)（OT）系統(tǒng)將自動化和互聯(lián)性結(jié)合到了現(xiàn)有設(shè)施中。其中，關(guān)鍵基礎(chǔ)設(shè)施實現(xiàn)了產(chǎn)品或服務(wù)的自動化生產(chǎn)，任何對關(guān)鍵基礎(chǔ)設(shè)施的攻擊都能影響到幾乎每個人。近年來，工業(yè)4.0在世界范圍內(nèi)的普及提高了設(shè)施的效率，然而，不管這些基礎(chǔ)設(shè)施有多先進，但在應(yīng)對新型網(wǎng)絡(luò)攻擊方面明顯準備不足。

　　在2020年期間，CISA共計發(fā)布了38個網(wǎng)絡(luò)警報，從伊朗和朝鮮等民族國家行為者到專門針對管道運營的已知勒索軟件，特別是2020年12月17日發(fā)布的最后一個警報，即針對SolarWinds供應(yīng)鏈攻擊的政府機構(gòu)、關(guān)鍵基礎(chǔ)設(shè)施和私營部門組織的高級持續(xù)威脅。2020年的網(wǎng)絡(luò)警報比2019年增加了660%，2019年CISA全年發(fā)布了5次網(wǎng)絡(luò)警報。

　　各組織也發(fā)現(xiàn)越來越多的針對工業(yè)控制系統(tǒng)（ICS）和操作技術(shù)（OT）網(wǎng)絡(luò)的攻擊，這一趨勢一直持續(xù)到今年的黑客試圖毒害佛羅里達鎮(zhèn)的供水事件。

　　隨著所有者和運營商采用新技術(shù)來提高運營效率，關(guān)鍵基礎(chǔ)設(shè)施的攻擊面繼續(xù)擴大，針對ICS系統(tǒng)和OT網(wǎng)絡(luò)的漏洞和目標預(yù)計將會增加。

　　一、OT網(wǎng)絡(luò)成為惡意軟件攻擊目標

　　在IT領(lǐng)域，惡意軟件是一個大產(chǎn)業(yè)。例如，勒索軟件在2020年造成的全球損失成本約為200億美元，幾乎是2019年的兩倍，是2018年的三倍。

　　勒索軟件活動的快速支付性質(zhì)和投資回報是有明確先例的。去年，Garmin成為WastedLocker的受害者，據(jù)報道支付了1000萬美元的贖金。2020年其他勒索軟件受害者包括電子產(chǎn)品制造商富士康（Foxconn）、一家美國管道公司、以及Toll Group，該組織在一年中遭受了兩次攻擊。

　　在過去幾年中，惡意軟件的編程水平和靈活性也有所提高。而且這種新的惡意軟件越來越多地被部署在攻擊中，對IT和OT系統(tǒng)都產(chǎn)生了影響。

　　二、IT惡意軟件中出現(xiàn)ICS專用攻擊模塊

　　顧名思義，模塊化惡意軟件包含不同的模塊。這些模塊可以動態(tài)加載到特定環(huán)境中的目標系統(tǒng)上。例如，如果受害者有一臺Windows 7 PC，則可以加載一個帶有Windows 7漏洞攻擊的模塊來攻擊該特定資產(chǎn)。

　　但許多敵對組織也一直在制造針對ICS和SCADA的惡意軟件。TRITON公司被麻省理工學院技術(shù)評論評為“世界上最兇殘的惡意軟件”，專門攻擊安全儀表系統(tǒng)（SIS）。安全儀表系統(tǒng)采取“自動操作以保持設(shè)備處于安全狀態(tài)，或在出現(xiàn)異常情況時將其置于安全狀態(tài)”。SIS是工業(yè)過程中的最后一道防線，通?？煞乐篂?zāi)難性事故。

　　Triton對安全系統(tǒng)的攻擊是一個號角，它超越了對生產(chǎn)操作的早期攻擊，進入了物理破壞和潛在威脅生命與安全災(zāi)難的領(lǐng)域。

　　接下來的邏輯進程是包括更多基于物聯(lián)網(wǎng)（IoT）和工業(yè)物聯(lián)網(wǎng)（IIoT）的模塊。由于在執(zhí)行網(wǎng)絡(luò)風險評估和滲透測試方面經(jīng)驗豐富，因此經(jīng)常會有基于IT的在線系統(tǒng)無意或有意地將聯(lián)網(wǎng)系統(tǒng)與OT網(wǎng)絡(luò)連接起來。這將會允許攻擊者從成功攻擊支持互聯(lián)網(wǎng)的主機轉(zhuǎn)移到攻擊OT網(wǎng)絡(luò)，而OT網(wǎng)絡(luò)本不應(yīng)該與互聯(lián)網(wǎng)有直接連接。

　　一旦在與OT連接的主機上建立了立足點，那么在OT系統(tǒng)中，對手往往隱藏幾個月都不會被檢測到。

　　除了可見性和檢測，幾乎沒有保護措施來保護關(guān)鍵的OT資產(chǎn)，比如SIS。例如，如果可編程控制器（PLC）和SIS讀數(shù)被操縱，操作員會知道嗎？一般來說，答案是否定的。因為SIS只是檢查PLC，而沒有驗證SIS。

　　在惡意軟件中添加各種模塊的能力允許對手根據(jù)每個獨特的環(huán)境定制他們的攻擊。HMI是否連接到一個沒有足夠隔離的VoIP電話端口？一個攻擊那部手機的模塊就可以輕松用來作為進入工業(yè)控制系統(tǒng)網(wǎng)絡(luò)的支點。

　　三、自動化系統(tǒng)面臨新的網(wǎng)絡(luò)威脅

　　COVID-19加劇網(wǎng)絡(luò)威脅

　　由于疫情隔離和社交隔離政策，員工已經(jīng)從工廠轉(zhuǎn)移到遠程辦公，因此導致維護關(guān)鍵基礎(chǔ)設(shè)施的人力資源減少，并增加了通過公司安全屏障的潛在泄漏。想象一下，在從一個端點到工廠的遠程連接過程中，如果工人的設(shè)備受到威脅，后果可能是黑客訪問了OT和ICS系統(tǒng)，讀取數(shù)據(jù)或控制操作過程。更可怕的情況可能是人為關(guān)閉電網(wǎng)或城市的交通控制系統(tǒng)。

　　5G風險可能蔓延至工業(yè)環(huán)境

　　2019年的5G崛起既帶來了新的機遇，也帶來了漏洞。5G之所以具有前所未有的吸引力，是因為它在部署方面具有很高的業(yè)務(wù)潛力，而這一點對于那些安全性較差、設(shè)備陳舊的傳統(tǒng)行業(yè)尤其需要。

　　各種類型的網(wǎng)絡(luò)攻擊已經(jīng)出現(xiàn)

　　利用IIoT和5G連接，網(wǎng)絡(luò)犯罪分子將不遺余力地加強對IIoT設(shè)備和關(guān)鍵基礎(chǔ)設(shè)施的攻擊。從連接到ICS的水泵、溫度監(jiān)視器、IP攝像機或連接到ICS的無人機，每一個設(shè)備都會受到威脅。大多數(shù)企業(yè)都經(jīng)歷過各種各樣的攻擊方式，如魚叉式網(wǎng)絡(luò)釣魚、證書泄露、惡意軟件或勒索軟件。在未來，還可以預(yù)見更多定制的、多樣化的、同步的攻擊，甚至是與數(shù)字網(wǎng)絡(luò)攻擊技術(shù)相結(jié)合的物理入侵。

　　四、關(guān)鍵OT資產(chǎn)成攻擊者關(guān)注的重點

　　每年都有越來越多的漏洞被發(fā)現(xiàn)在OT設(shè)備上。惡意的參與者將針對這些ICS漏洞的攻擊合并到他們的套件中，這些攻擊將被利用。值得警醒的是，該如何準備行動來注意、應(yīng)對和防御這些攻擊，企業(yè)的運營能否經(jīng)受住這些攻擊。

　　VoIP電話攻擊就是一個典型的例子。在一次工業(yè)網(wǎng)絡(luò)風險評估中，該組織的會議室中有一個易受密鑰重新安裝攻擊（KRACK）的WIFI路由器。一旦OT-pen測試人員利用該漏洞進入WIFI網(wǎng)絡(luò)，幾分鐘內(nèi)，就可以通過會議室中的WIFI路由器，對該電話執(zhí)行成功的攻擊，繞過防火墻，并在OT網(wǎng)絡(luò)上站穩(wěn)腳跟。

　　模塊化惡意軟件允許攻擊者將特定于環(huán)境的攻擊鏈接在一起，并自動利用特定的漏洞進行攻擊。還可以更輕松地簡化對抗性工具集，或者將偵察和開發(fā)階段分解為由不同團隊完成的更清晰的步驟。

　　2020年針對Garmin的攻擊是加速IT/OT混合攻擊的一個例子，因為成功的勒索軟件攻擊不僅停止了IT運營，還停止了服務(wù)和制造業(yè)。為了預(yù)防災(zāi)難，運營部門必須采取積極有效的措施來保護他們的運營、員工和更大的利益相關(guān)者。

　　五、防御建議

　　部署正確的安全方法有助于降低關(guān)鍵基礎(chǔ)設(shè)施的風險，并增強工業(yè)級的網(wǎng)絡(luò)安全。

　　增強IT和OT團隊的融合

　　為了從本質(zhì)上抵御新的威脅，企業(yè)應(yīng)該利用IT安全和OT專家的專業(yè)知識來確定網(wǎng)絡(luò)安全風險的優(yōu)先級，并共同設(shè)計一個集成的安全策略。

　　為PLC和RTU制定安全策略

　　PLC（可編程邏輯控制器）和RTU（遠程終端單元）對于企業(yè)OT環(huán)境的運行都是必不可少的。利用可用的檢測方法提前識別威脅、應(yīng)用安全修復(fù)、升級以及保持系統(tǒng)的最新良好狀態(tài)配置，是降低網(wǎng)絡(luò)風險的基礎(chǔ)。

　　確保全面了解IT/OT環(huán)境

　　要全面了解系統(tǒng)中的活動，監(jiān)視或限制網(wǎng)絡(luò)內(nèi)部使用的端口上的網(wǎng)絡(luò)流量和訪問是至關(guān)重要的。除了全面了解IT足跡之外，全面的資產(chǎn)清點也同樣重要。