對工業(yè)企業(yè)而言，ICS攻擊意味著宕機和業(yè)務(wù)損失。對個人而言，這意味著潛在的安全問題和服務(wù)損失。對社會而言，則意味著重大安全問題和生產(chǎn)力損失。

工業(yè)控制系統(tǒng)計算機應(yīng)急響應(yīng)小組(ICS-CERT)、系統(tǒng)管理網(wǎng)絡(luò)和安全學(xué)會(SANS)、火眼及其他安全機構(gòu)，均對ICS環(huán)境的不健康網(wǎng)絡(luò)安全態(tài)勢投以了關(guān)注，其中包括了很多終端防護(hù)上的擔(dān)憂。比如說，計算機資產(chǎn)(終端)就被認(rèn)為是ICS公司里的最高風(fēng)險，對終端漏洞的掃描只有50%( SANS 2016 )。

終端：運營技術(shù)(OT) & 信息技術(shù)(IT)

工業(yè)公司基礎(chǔ)設(shè)施有兩大主體：運營技術(shù)(OT) 和信息技術(shù)(IT)。我們可以考慮他們是怎么看待終端的。

IT關(guān)注公司層面——通常是普渡模型的第4和第5層。這些是通常由首席信息官(CIO)管理的業(yè)務(wù)信息和交易系統(tǒng)。IT終端是基于IP的臺式機、筆記本電腦、移動設(shè)備、數(shù)據(jù)庫、應(yīng)用服務(wù)器、Web服務(wù)器，以及供應(yīng)鏈、訂單錄入和會計交互。IT終端是高度動態(tài)的，經(jīng)常有更新，經(jīng)常在互聯(lián)網(wǎng)和內(nèi)聯(lián)網(wǎng)上有新的接入。

鑒于這種動態(tài)環(huán)境，IT人員通常都對他們IT資產(chǎn)的安全十分關(guān)注。考慮到攻擊方法的多種多樣，終端本身以及對這些終端的訪問，都是他們的警惕對象。

ICS運營系統(tǒng)(OT)也涉及到終端——大多都屬相似的類別。有應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器、制造系統(tǒng)、資產(chǎn)管理、人機交互系統(tǒng)(HMI)、工程工作站，當(dāng)然，還有2級控制系統(tǒng)。這些系統(tǒng)中每一個都有操作系統(tǒng)、配置文件、帶口令的訪問，以及其他因素。OT人員一般不會特別關(guān)注安全，因為他們有特殊的環(huán)境、協(xié)議、信道和專有硬件。

IT靈光乍現(xiàn)時刻

OT和產(chǎn)品系統(tǒng)方面的事務(wù)，IT安全經(jīng)理也十分關(guān)注。因為，最終，他們要為這些系統(tǒng)的安全負(fù)責(zé)。

OT的關(guān)注重點在工廠環(huán)境的控制、監(jiān)視過程和設(shè)備上。工程和運營管理通常負(fù)責(zé)處理這些。安全是最優(yōu)先的，緊跟其后的是工控環(huán)境的可用性。IT安全則將機密性列為IT企業(yè)環(huán)境的重中之重。

OT包括了一系列控制系統(tǒng)：

可編程邏輯控制器(PLC)遠(yuǎn)程終端單元(RTU)智能電子設(shè)備(IED)分布式控制系統(tǒng)(DCS)監(jiān)控與數(shù)據(jù)采集(SCADA)人機交互界面(HMI)數(shù)模轉(zhuǎn)換器(DAC)

總體來說，OT系統(tǒng)沒有處在與IT類似的高度動態(tài)環(huán)境。OT終端多為帶專用通信協(xié)議的萬年不變遺留系統(tǒng)，而且很可能與外界物理隔離。然而，現(xiàn)實是，OT環(huán)境中的終端正越來越多地連接到外部世界。

事實上，很多HMI終端都是基于聯(lián)網(wǎng)PC的，引入了極佳攻擊通道。另一個攻擊方法，就像在 ICS SANS 2016調(diào)查報告中提到的，是IT到OT的連接，這才是關(guān)注重點。可以想象一下如果IT終端惡意軟件找到侵入OT環(huán)境的方法，會是怎樣一幅慘狀。

IT和OT世界正因著對更高效率的追求而逐漸連接融合在一起。很不幸，這同時也將更大的風(fēng)險引入了OT環(huán)境。

底線：為緩解OT攻擊，OT環(huán)境中基于PC的終端需要被保護(hù)起來，企業(yè)應(yīng)確保IT終端防護(hù)良好，以避免攻擊越線侵入到OT環(huán)境。OT和IT環(huán)境中都應(yīng)樹立起總體終端安全策略。

OT & IT：考慮終端安全錯誤認(rèn)知

不放思考一下會導(dǎo)致慘痛教訓(xùn)的大量終端安全錯誤認(rèn)知。

反病毒(AV)就夠了。

確實，AV能提供一定程度的終端防護(hù)，但它需要經(jīng)常的病毒庫更新和定期掃描。基于特征碼的防護(hù)攔不住所有攻擊者，不適用于所有終端。

不是所有終端都需要防護(hù)。

這是對防護(hù)的錯覺。終端正越來越多地接入或插入(像U盤一樣)網(wǎng)絡(luò)，構(gòu)成了攻擊界面。

終端防護(hù)可自行運行。

面對高級攻擊，無論終端還是網(wǎng)絡(luò)，都需要安全洞見。理解下游攻擊的來源，弄清是從網(wǎng)絡(luò)還是電子郵件鏈接侵入的，對修復(fù)而言特別重要。

用戶會按安全方式操作大多數(shù)終端。

人是最大的攻擊突破口，而OT環(huán)境時常不將牽涉到人的操作失誤、社交網(wǎng)絡(luò)和策略缺失當(dāng)做風(fēng)險。終端防護(hù)必須包含進(jìn)用戶網(wǎng)絡(luò)安全培訓(xùn)。人為失誤，無論是惡意還是無意造成，都是攻擊途徑的重要組成部分。

我終端的互聯(lián)網(wǎng)連接是安全的。

并非所有情況都這樣，很多過時的連接防護(hù)協(xié)議都有漏洞。

終端安全毀了我的用戶體驗。

大多數(shù)終端安全已經(jīng)進(jìn)化到最小化性能影響了。另一方面，萬一你的終端被感染了呢？被感染的話，更有可能見證某些性能問題吧。

終端防護(hù)是萬靈丹。

網(wǎng)絡(luò)和終端都考慮到的全面而集成的方法，將有效解決大多數(shù)攻擊。

對工業(yè)企業(yè)而言，基本的終端安全衛(wèi)生是網(wǎng)絡(luò)安全的基石。這包括：

了解你的終端。為你的資產(chǎn)列個清單，硬件、軟件、固件，虛擬和物理資產(chǎn)；對它們的配置、OS、協(xié)議、通信、訪問者、訪問時間和訪問目的，也要保持可見性。這基本上定義了攻擊發(fā)生時常涉及到的幾個關(guān)鍵領(lǐng)域。理解每一個資產(chǎn)的歷史和現(xiàn)有漏洞，以及這些漏洞與你特定環(huán)境相關(guān)聯(lián)的風(fēng)險。(很不幸的情況是，許多攻擊都來自于已知漏洞。)取得并維持每一個終端的安全狀態(tài)和授權(quán)配置。只要終端配置不經(jīng)合理緣由或授權(quán)被改動，即便不覺得有侵入跡象或重大影響，也有理由至少調(diào)查一下。盡可能實時地偵測到任何未經(jīng)授權(quán)的改動。最起碼，這有助于盡早定位故障過程和策略；而最壞情況下，就是盡早找到潛在的惡意行為了。