近日，全球知名科技咨詢公司Gartner公司發(fā)布報(bào)道稱，到2025年，網(wǎng)絡(luò)攻擊者將武器化運(yùn)營(yíng)技術(shù)（OT）環(huán)境，從而成功地傷害或殺死人類。除了這場(chǎng)人類悲劇，企業(yè)將花費(fèi)500億美元，用于修復(fù)IT系統(tǒng)、訴訟和賠償。該公司建議關(guān)鍵基礎(chǔ)設(shè)施組織可以通過實(shí)施安全控制框架來降低風(fēng)險(xiǎn)。

　　Gartner對(duì)OT安全的預(yù)測(cè)

　　過去的惡意軟件攻擊，比如Stuxnet，據(jù)信是美國(guó)國(guó)家安全局的工作，已經(jīng)證明惡意軟件可以造成真實(shí)世界的破壞，而不僅僅是擾亂數(shù)據(jù)。網(wǎng)絡(luò)攻擊長(zhǎng)期以來一直對(duì)現(xiàn)實(shí)世界產(chǎn)生影響，比如針對(duì)Colonial管道公司等組織和美國(guó)和歐洲的醫(yī)院的勒索軟件攻擊。2017年“魔窟”（WannaCry）勒索軟件攻擊后，英國(guó)國(guó)民保健服務(wù)（NHS）苦苦掙扎了數(shù)天，該攻擊被認(rèn)為是由朝鮮政府支持的黑客發(fā)起的。

　　對(duì)OT（監(jiān)控或控制設(shè)備、資產(chǎn)和流程的硬件和軟件）的攻擊已變得越來越普遍。它們也從立即中斷過程（如關(guān)閉工廠）發(fā)展到損害工業(yè)環(huán)境的完整性以造成物理傷害。最近發(fā)生的眾多網(wǎng)絡(luò)安全事件，如Colonial管道勒索軟件攻擊，突顯了IT網(wǎng)絡(luò)和OT網(wǎng)絡(luò)適當(dāng)劃分隔離的必要性。

　　Gartner高級(jí)研究主管Wam Voster表示：“在運(yùn)營(yíng)環(huán)境中，安全和風(fēng)險(xiǎn)管理領(lǐng)導(dǎo)者應(yīng)該更關(guān)注現(xiàn)實(shí)世界對(duì)人類和環(huán)境的危害，而不是信息盜竊?！薄皩?duì)Gartner客戶的調(diào)查顯示，在制造業(yè)、資源和公用事業(yè)等資產(chǎn)密集型行業(yè)，組織很難定義合適的控制框架?！?/p>

　　Gartner認(rèn)為，OT和其他信息物理系統(tǒng)（CPS）的安全事件有三個(gè)主要?jiǎng)訖C(jī)：實(shí)際傷害、商業(yè)破壞（減少產(chǎn)量）和名譽(yù)破失（使制造商不受信任或不可靠）。

　　Gartner預(yù)測(cè)，到2023年，CPS攻擊導(dǎo)致的致命傷亡造成的經(jīng)濟(jì)影響將超過500億美元。即使不考慮人的生命價(jià)值，組織在賠償、訴訟、保險(xiǎn)、監(jiān)管罰款和聲譽(yù)損失方面的成本也將是巨大的。然而，值得注意的是，這一數(shù)字與全球IT支出相比很小，Gartner預(yù)計(jì)2021年全球IT支出將達(dá)到4.2萬(wàn)億美元。Gartner還預(yù)測(cè)，大多數(shù)首席執(zhí)行官還將對(duì)此類事件承擔(dān)個(gè)人責(zé)任。

　　OT網(wǎng)絡(luò)安全的天然特性

　　從歷史上看，ICS環(huán)境對(duì)于網(wǎng)絡(luò)攻擊是相對(duì)安全的，因?yàn)镮CS設(shè)備安裝在隔離的或“空氣隔離”的網(wǎng)絡(luò)中，而且許多設(shè)備是模糊的、專用的，因此不為大多數(shù)攻擊者所知，也不是攻擊的目標(biāo)。

　　網(wǎng)絡(luò)時(shí)代，這一切都在改變?？刂葡到y(tǒng)架構(gòu)正在連接到傳統(tǒng)的企業(yè)IT網(wǎng)絡(luò)（以太網(wǎng)、Wi-Fi等），設(shè)備制造商正在通用操作系統(tǒng)（如Windows、Linux、Android和VxWorks）之上構(gòu)建ICS設(shè)備。這些變化增加了ICS可能被用于破壞企業(yè)IT網(wǎng)絡(luò)設(shè)備的類似攻擊的風(fēng)險(xiǎn)。

　　OT環(huán)境網(wǎng)絡(luò)安全的挑戰(zhàn)性主要源于以下原因。

　　1、漏洞修復(fù)困難

　　ICS設(shè)備范圍從復(fù)雜的大型機(jī)器人到構(gòu)建在單個(gè)電路板上的小型傳感器。這些設(shè)備中有許多從未被設(shè)計(jì)為可更新的，或者即使有這種功能，也需要完全手動(dòng)的過程才能完成。這意味著任何在部署運(yùn)行后暴露的漏洞要么會(huì)持續(xù)存在于設(shè)備的生命周期中，要么很難手動(dòng)修補(bǔ)。

　　2、代理技術(shù)不可行

　　大多數(shù)ICS設(shè)備不允許管理員獲得訪問底層操作系統(tǒng)的根權(quán)限，因此消除了在設(shè)備上安裝代理的可能性。通常，ICS設(shè)備包括一個(gè)定制的操作系統(tǒng)，它不能承載為可管理計(jì)算機(jī)的大眾市場(chǎng)設(shè)計(jì)的代理。其結(jié)果是，通常在IT環(huán)境中使用的傳統(tǒng)端點(diǎn)保護(hù)代理無法與ICS設(shè)備一起工作。

　　3、業(yè)務(wù)連續(xù)性要求高

　　IT網(wǎng)絡(luò)上設(shè)備發(fā)現(xiàn)和漏洞評(píng)估的標(biāo)準(zhǔn)方法是使用類似NMAP的軟件工具執(zhí)行網(wǎng)絡(luò)掃描。然而，眾所周知，網(wǎng)絡(luò)掃描和探測(cè)會(huì)破壞ICS設(shè)備的功能。過去，ICS設(shè)備的設(shè)計(jì)并不能容忍IT網(wǎng)絡(luò)上常用的相同類型的掃描和探測(cè)。因此，在絕大多數(shù)ICS環(huán)境中，禁止對(duì)ICS設(shè)備進(jìn)行主動(dòng)掃描，因?yàn)檫@樣做有可能會(huì)破壞關(guān)鍵業(yè)務(wù)操作。

　　4、內(nèi)置防護(hù)缺失

　　目前使用的大多數(shù)ICS設(shè)備在設(shè)計(jì)時(shí)都假設(shè)它們要么安裝為獨(dú)立設(shè)備，要么放置在一個(gè)隔離的網(wǎng)絡(luò)上。因此，它們被設(shè)計(jì)成高度可訪問的，并且它們包含很少（或沒有）內(nèi)置保護(hù)。一旦它們被放置到網(wǎng)絡(luò)上，它們就無法抵御網(wǎng)絡(luò)攻擊。

　　5、協(xié)議專用

　　一些ICS設(shè)備使用專有協(xié)議操作，這可能是由于設(shè)備本身的特殊性質(zhì)，也可能是為了減少與其他協(xié)議相關(guān)的計(jì)算負(fù)擔(dān)。使用這些協(xié)議的結(jié)果是，開發(fā)、質(zhì)量保證、同行評(píng)審和安全流程沒有像廣泛使用的協(xié)議那樣成熟。這導(dǎo)致了固有的漏洞，如果不進(jìn)行廣泛的開發(fā)更改或替換協(xié)議本身，就無法解決這些漏洞。同樣值得注意的是，安全研究團(tuán)體在向軟件供應(yīng)商和硬件制造商尋找和報(bào)告漏洞時(shí)，傳統(tǒng)上關(guān)注的是廣泛使用的通用協(xié)議。反過來，盡管許多ICS設(shè)備容易受到各種網(wǎng)絡(luò)攻擊，但這些暴露并沒有在標(biāo)準(zhǔn)漏洞數(shù)據(jù)庫(kù)（如CVD）中記錄下來。

　　6、應(yīng)用高速擴(kuò)散

　　物聯(lián)網(wǎng)（IoT）的迅速發(fā)展已經(jīng)產(chǎn)生了超越消費(fèi)者市場(chǎng)的影響，并以指數(shù)級(jí)擴(kuò)展了可用ICS設(shè)備的數(shù)量。這改變了這些設(shè)備的競(jìng)爭(zhēng)市場(chǎng)，增加了上市時(shí)間和成本節(jié)約的重要性。對(duì)于所有制造商來說，這些優(yōu)先級(jí)減少了可用于開發(fā)、實(shí)施和測(cè)試產(chǎn)品的時(shí)間和資源。

　　上述因素的組合構(gòu)成了與ICS設(shè)備相關(guān)的獨(dú)特安全挑戰(zhàn)。要理解對(duì)ICS設(shè)備的攻擊是如何發(fā)生的，誰(shuí)針對(duì)這些設(shè)備，以及在防御該領(lǐng)域中可以有效地采取何種緩解措施，必然面臨眾多技術(shù)、過程、人員、文化方面的挑戰(zhàn)。

　　OT的安全控制

　　Gartner建議各組織采用10個(gè)安全控制框架，以改善其設(shè)施的安全態(tài)勢(shì)，并防止數(shù)字世界中的事件對(duì)物理世界產(chǎn)生不利影響。

　　1. 定義角色和職責(zé)

　　為每個(gè)工廠指定一名OT安全經(jīng)理，負(fù)責(zé)分配和記錄與所有工人、高級(jí)經(jīng)理和任何第三方安全相關(guān)的角色和責(zé)任。

　　2. 進(jìn)行適當(dāng)?shù)呐嘤?xùn)和意識(shí)

　　所有OT員工都必須具備工作所需的技能。每個(gè)設(shè)施的員工都必須接受培訓(xùn)，以識(shí)別安全風(fēng)險(xiǎn)、最常見的攻擊向量以及在發(fā)生安全事件時(shí)的緊急響應(yīng)措施。

　　3.實(shí)施和測(cè)試事件響應(yīng)

　　確保每個(gè)工廠實(shí)施和維護(hù)一個(gè)OT特定的安全事件管理流程，包括四個(gè)階段：準(zhǔn)備；檢測(cè)和分析；遏制、根除和恢復(fù)；事后的活動(dòng)。

　　4. 確保備份、恢復(fù)和災(zāi)難恢復(fù)

　　確保有適當(dāng)?shù)膫浞?、恢?fù)和災(zāi)難恢復(fù)程序。為減少火災(zāi)等物理事件的影響，建議不要將備份介質(zhì)存儲(chǔ)在與被備份系統(tǒng)相同的位置。還必須保護(hù)備份介質(zhì)，防止未經(jīng)授權(quán)的泄露或誤用。要處理高嚴(yán)重性事件，必須能夠在新系統(tǒng)或虛擬機(jī)上恢復(fù)備份。

　　5. 管控便攜介質(zhì)

　　創(chuàng)建一個(gè)策略，以確保所有便攜式數(shù)據(jù)存儲(chǔ)介質(zhì)（如USB棒和便攜式計(jì)算機(jī)）都被檢測(cè)，無論設(shè)備是屬于內(nèi)部員工還是屬于外部方（如分包商或設(shè)備制造商代表）。只有沒有惡意代碼或軟件的介質(zhì)才能連接到OT。

　　6. 保持最新的資產(chǎn)清單

　　安全經(jīng)理必須不斷更新所有OT設(shè)備和軟件的清單。

　　7. 建立正確的網(wǎng)絡(luò)隔離

　　OT網(wǎng)絡(luò)必須在物理上或/和邏輯上與內(nèi)部和外部的任何其他網(wǎng)絡(luò)分離。OT和網(wǎng)絡(luò)的任何其他部分之間的所有網(wǎng)絡(luò)流量都必須通過一個(gè)安全網(wǎng)關(guān)解決方案，如非軍事區(qū)（DMZ）。到OT的交互會(huì)話必須使用多因素身份驗(yàn)證在網(wǎng)關(guān)進(jìn)行身份驗(yàn)證。

　　8. 收集日志，實(shí)現(xiàn)實(shí)時(shí)檢測(cè)

　　必須有適當(dāng)?shù)牟呗曰蜻^程來實(shí)現(xiàn)自動(dòng)日志記錄和檢查潛在的和實(shí)際的安全事件。這些應(yīng)該包括安全日志的清晰保留時(shí)間，以及防止篡改或不需要的修改。

　　9. 實(shí)現(xiàn)安全配置過程

　　必須為所有適用的系統(tǒng)（如端點(diǎn)、服務(wù)器、網(wǎng)絡(luò)設(shè)備和現(xiàn)場(chǎng)設(shè)備）開發(fā)、標(biāo)準(zhǔn)化和部署安全配置。終端安全軟件（如anti-malware）必須在OT環(huán)境中支持它的所有組件上安裝并啟用。

　　10. 規(guī)范的漏洞修補(bǔ)過程

　　實(shí)施一個(gè)流程，使安全補(bǔ)丁在部署前得到設(shè)備制造商的認(rèn)可。一旦合格，補(bǔ)丁只能以預(yù)先指定的頻率部署在適當(dāng)?shù)南到y(tǒng)上。