當(dāng)前，工業(yè)控制系統(tǒng)(ICS)面臨一系列數(shù)字威脅。其中兩個(gè)方面尤其突出。一方面，數(shù)字攻擊者在獲得工業(yè)公司的非授權(quán)訪問(wèn)方面越來(lái)越在行。有些攻擊者采用惡意軟件，另一些訴諸于漁叉式網(wǎng)絡(luò)釣魚(yú)(或釣鯨)和其他社會(huì)工程技術(shù)。盡管有這些戰(zhàn)法技術(shù)，2016年我們看到的大多數(shù)主要ICS安全事件，都很幸運(yùn)地只對(duì)受影響企業(yè)造成了中斷，而不是破壞。

另一方面，如趨勢(shì)科技的研究人員發(fā)現(xiàn)的，攻擊者可以利用被動(dòng)情報(bào)獲取技術(shù)，來(lái)竊聽(tīng)工業(yè)環(huán)境中呼機(jī)間的未加密呼叫，然后利用這些信息進(jìn)行社會(huì)工程攻擊，侵入工控公司，或者產(chǎn)生可能影響工業(yè)操作的虛假警報(bào)。

為免遭這些威脅侵害，公司企業(yè)采取恰當(dāng)?shù)拇胧┙⒂行ЧI(yè)安全項(xiàng)目，并對(duì)企業(yè)范圍內(nèi)的風(fēng)險(xiǎn)進(jìn)行優(yōu)先級(jí)排序，就十分重要了。美國(guó)最大的高速電子電纜生產(chǎn)商之一百通公司，發(fā)展出了工業(yè)網(wǎng)絡(luò)安全3步走方法，有序幫助降低復(fù)雜度，優(yōu)化風(fēng)險(xiǎn)優(yōu)先級(jí)，保護(hù)工業(yè)網(wǎng)絡(luò)、終端和控制系統(tǒng)的安全。

1. 保護(hù)網(wǎng)絡(luò)

工業(yè)企業(yè)想要保衛(wèi)自己的網(wǎng)絡(luò)，最好從確保擁有邊界安全的良好網(wǎng)絡(luò)設(shè)計(jì)開(kāi)始。一旦完成了這第一步，企業(yè)應(yīng)按 ISA IEC 62443 工業(yè)自動(dòng)化和控制系統(tǒng)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)對(duì)自身網(wǎng)絡(luò)進(jìn)行隔離，保護(hù)旗下所有的無(wú)線應(yīng)用，部署安全遠(yuǎn)程訪問(wèn)解決方案以輔助快速故障排除和問(wèn)題解決。

企業(yè)還應(yīng)監(jiān)視自身網(wǎng)絡(luò)，尤其是在運(yùn)營(yíng)技術(shù)(OT)環(huán)境：

監(jiān)視網(wǎng)絡(luò)安全狀態(tài)，是IT安全團(tuán)隊(duì)的常規(guī)動(dòng)作，但運(yùn)營(yíng)環(huán)境中卻不那么常見(jiàn)。監(jiān)視工業(yè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備，比如路由器、交換機(jī)、網(wǎng)關(guān)等等，也是有其價(jià)值的。這些系統(tǒng)連接著那些可能被黑的網(wǎng)段。它們需要被評(píng)估，建立基線，并有人負(fù)責(zé)進(jìn)行監(jiān)視。

2. 保護(hù)終端

OT員工可能會(huì)覺(jué)得自家終端有邊界防火墻、專(zhuān)有軟件、專(zhuān)用協(xié)議和物理隔離，數(shù)字攻擊拿它們沒(méi)辦法。但事實(shí)并非如此。當(dāng)員工、承包商或供應(yīng)鏈的家伙們帶著他們的筆記本或U盤(pán)走到終端前進(jìn)行維護(hù)時(shí)，這些防護(hù)措施就被繞過(guò)了。

因此，公司企業(yè)應(yīng)要保護(hù)自身工業(yè)終端應(yīng)該還要做到：

為緩解OT攻擊，OT環(huán)境中基于PC的終端需要被保護(hù)，且企業(yè)應(yīng)保衛(wèi)IT終端不受穿越OT環(huán)境的攻擊影響。OT和IT環(huán)境中都需要設(shè)立終端安全策略。

很多企業(yè)可以從以下幾個(gè)方面開(kāi)始：收集并維護(hù)好所有終端硬軟件的準(zhǔn)確清單；跟蹤OT資產(chǎn)中的漏洞；確保每個(gè)終端都有安全穩(wěn)固的配置；監(jiān)視并報(bào)警未授權(quán)修改。

3. 保護(hù)控制器

每個(gè)工業(yè)環(huán)境中都有物理系統(tǒng)——執(zhí)行器、校準(zhǔn)器、閥門(mén)之類(lèi)的機(jī)械設(shè)備和溫度、壓強(qiáng)之類(lèi)的傳感器等等與物理世界互動(dòng)的東西。很多案例中，攻擊者都獲得了這些機(jī)械設(shè)備的訪問(wèn)權(quán)，導(dǎo)致系統(tǒng)誤操作；但若沒(méi)獲取到控制級(jí)別的權(quán)限，他們也沒(méi)有直接的途徑來(lái)干這事兒。

為繞開(kāi)這一障礙，有些攻擊者瞄上了負(fù)責(zé)管理這些系統(tǒng)的工業(yè)控制器：

物理系統(tǒng)回連到實(shí)際控制其行為的專(zhuān)用計(jì)算機(jī)上。正是這些專(zhuān)用計(jì)算機(jī)，起到了橋接物理系統(tǒng)控制與網(wǎng)絡(luò)指令或編程命令接收的作用。這些計(jì)算機(jī)就是工業(yè)控制器，也是網(wǎng)絡(luò)攻擊中被瞄準(zhǔn)用于制造物理破壞或中斷工業(yè)過(guò)程的目標(biāo)。工業(yè)控制器種類(lèi)繁多，不過(guò)，常用的一般就是可編程邏輯控制器(PLC)和分布式控制系統(tǒng)(DCS)之類(lèi)的。

下圖就是我們?nèi)粘＝佑|到的一種控制器。

這是個(gè)普通的恒溫調(diào)節(jié)器，與供熱系統(tǒng)互動(dòng)以加熱房間或大樓。

通過(guò)加強(qiáng)檢測(cè)能力，增大對(duì)ICS修改與威脅的可見(jiàn)性，實(shí)現(xiàn)脆弱控制器的安全措施，監(jiān)視可疑訪問(wèn)與修改控制，及時(shí)檢測(cè)/限制威脅，公司企業(yè)便能有效防護(hù)工業(yè)控制器不被數(shù)字攻擊侵害。

結(jié)論

鑒于工業(yè)環(huán)境日趨復(fù)雜的態(tài)勢(shì)，公司企業(yè)努力實(shí)現(xiàn)針對(duì)數(shù)字威脅的防護(hù)顯得尤其重要。要做到這一點(diǎn)，需要針對(duì)網(wǎng)絡(luò)安全、終端安全和工業(yè)控制器安全部署多重防護(hù)，邁好這3步。