余梁

過去，網(wǎng)絡(luò)攻擊者在很大程度上忽略了操作技術(shù)（OT）系統(tǒng)，例如工業(yè)控制系統(tǒng)和SCADA系統(tǒng)，因為很難獲得專有信息，或者OT系統(tǒng)未連接到外部網(wǎng)絡(luò)且數(shù)據(jù)不易滲透。

今天，許多工業(yè)系統(tǒng)都連接到公司網(wǎng)絡(luò)，可以訪問互聯(lián)網(wǎng)，并使用從傳感器獲得的數(shù)據(jù)和大數(shù)據(jù)分析來改進運營。但是，OT和IT的這種融合和集成導(dǎo)致了越來越多的網(wǎng)絡(luò)風(fēng)險。

OT世界中的網(wǎng)絡(luò)安全威脅與IT不同，因為其影響不僅僅是數(shù)據(jù)丟失、聲譽受損或客戶信任度下降，OT網(wǎng)絡(luò)安全事件可能導(dǎo)致生產(chǎn)損失、設(shè)備損壞和環(huán)境污染。保護OT免受網(wǎng)絡(luò)攻擊需要一套不同于保護IT的工具和策略，讓我們看看網(wǎng)絡(luò)安全威脅通常是如何進入OT的。

進入OT的主要媒介

惡意軟件可以通過網(wǎng)絡(luò)或可移動的媒體和設(shè)備這2種主要媒介進入OT環(huán)境中。

攻擊者可以通過路由跨過網(wǎng)絡(luò)的防火墻進入OT系統(tǒng)。適當(dāng)?shù)腛T網(wǎng)絡(luò)最佳實踐，如網(wǎng)絡(luò)分段、強身份驗證和多個防火墻區(qū)域，可以大大防止網(wǎng)絡(luò)事件。

BlackEnergy惡意軟件首次在有針對性的網(wǎng)絡(luò)攻擊中使用，通過向網(wǎng)絡(luò)IT端用戶發(fā)送魚叉式網(wǎng)絡(luò)釣魚電子郵件危害了一家電力公司。從那里，威脅行為者能夠轉(zhuǎn)向關(guān)鍵的OT網(wǎng)絡(luò)，并使用SCADA系統(tǒng)打開變電站中的斷路器。據(jù)報道，這次襲擊導(dǎo)致超過200 000人在冬季斷電6小時。

雖然“sneakernet”可能是新的或聽起來很尷尬，但它是指USB存儲設(shè)備和軟盤等設(shè)備可用于將信息和威脅上傳到關(guān)鍵的OT網(wǎng)絡(luò)和系統(tǒng)中，只需網(wǎng)絡(luò)攻擊者帶它們進入設(shè)施，并將它們連接到適用的系統(tǒng)。

USB設(shè)備繼續(xù)帶來挑戰(zhàn)，尤其是當(dāng)組織越來越依賴這些便攜式存儲設(shè)備來傳輸補丁、收集日志時。USB通常是鍵盤和鼠標(biāo)支持的唯一接口，因此無法禁用。黑客會在他們所針對的設(shè)施內(nèi)和周圍植入受感染的USB驅(qū)動器，員工有時會發(fā)現(xiàn)這些受驅(qū)動器并將它們插入系統(tǒng)，因為這是確定驅(qū)動器上的內(nèi)容的唯一方法，即使沒有任何標(biāo)簽（如：財務(wù)業(yè)績或員工人數(shù)變化）。

Stuxnet可能是最臭名昭著的惡意軟件被USB帶入隔離設(shè)施的例子。這種極其專業(yè)和復(fù)雜的計算機蠕蟲被上傳到一個設(shè)施中，以改變可編程邏輯控制器（PLC）的編程。最終結(jié)果是離心機旋轉(zhuǎn)太快太久，最終導(dǎo)致設(shè)備物理損壞。

現(xiàn)在，生產(chǎn)環(huán)境比以往任何時候都容易面臨來自惡意USB設(shè)備的網(wǎng)絡(luò)安全威脅，這些設(shè)備能夠繞過保護措施從內(nèi)部中斷操作?！?021年霍尼韋爾工業(yè)網(wǎng)絡(luò)安全USB威脅報告》發(fā)現(xiàn)，從USB設(shè)備檢測到的威脅中有79 %有可能導(dǎo)致OT中斷，包括失去監(jiān)視和控制。

同一份報告發(fā)現(xiàn)USB的使用增加了30 %，而其中51 %的USB威脅試圖遠程訪問受保護的設(shè)施?；裟犴f爾審查了2020年來自其全球分析研究與防御（GARD）引擎的匿名數(shù)據(jù)，該引擎分析基于文件的內(nèi)容，驗證每個文件，并檢測通過USB傳入或傳出實際OT系統(tǒng)的惡意軟件威脅。

TRITON是第一個被記錄的惡意軟件，旨在攻擊生產(chǎn)設(shè)施中的安全系統(tǒng)。安全儀表系統(tǒng)（SIS）是工業(yè)設(shè)施自動化安全防御的最后一道防線，旨在防止設(shè)備故障、爆炸或火災(zāi)等災(zāi)難性事故。攻擊者首先滲透到IT網(wǎng)絡(luò)，再通過2種環(huán)境均可訪問的系統(tǒng)轉(zhuǎn)移到OT網(wǎng)絡(luò)。一旦進入OT網(wǎng)絡(luò)，黑客就會使用TRITON惡意軟件感染SIS的工程工作站。最終結(jié)果是SIS可能會被關(guān)閉，并使生產(chǎn)設(shè)施內(nèi)的人員處于危險之中。

物理設(shè)備也可能導(dǎo)致網(wǎng)絡(luò)事件

我們需要注意的不僅僅是基于內(nèi)容的威脅，鼠標(biāo)、電纜或其他設(shè)備也可以成為對抗OT的武器。

2019年，惡意行為者將目標(biāo)鎖定在有權(quán)訪問控制網(wǎng)絡(luò)的受信任人，該授權(quán)用戶在不知不覺中將真正的鼠標(biāo)換成了武器化鼠標(biāo)，一旦連接到關(guān)鍵網(wǎng)絡(luò)，其他人就會從遠程位置控制計算機并啟動勒索軟件。

發(fā)電廠支付了贖金，然而，他們沒有取回他們的文件，不得不重建，影響了3個月的運行。在使用設(shè)備之前，必須了解設(shè)備的來源。

抵御網(wǎng)絡(luò)威脅的步驟

首先，定期檢查網(wǎng)絡(luò)安全策略、政策和工具，以掌握這些威脅；其次，USB的使用威脅正在上升，因此評估您的OT操作風(fēng)險以及當(dāng)前USB設(shè)備、端口及其控制保護措施的有效性非常重要。

最后一點是，強烈建議采用縱深防御策略。該策略應(yīng)分為OT網(wǎng)絡(luò)安全工具和策略，為組織提供最佳機會，使其免受到不斷變化的網(wǎng)絡(luò)威脅的侵害。