當前,工業控制系統(ics)面臨一系列數字威脅。其中兩個方面尤其突出。一方面,數字攻擊者在獲得工業公司的非授權訪問方面越來越在行。有些攻擊者採用惡意軟體,另一些訴諸於漁叉式網路釣魚(或釣鯨)和其他社會工程技術。儘管有這些戰法技術,2023年我們看到的大多數主要ics安全事件,都很幸運地只對受影響企業造成了中斷,而不是破壞。
另一方面,如趨勢科技的研究人員發現的,攻擊者可以利用被動情報獲取技術,來竊聽工業環境中呼機間的未加密呼叫,然後利用這些資訊進行社會工程攻擊,侵入工控公司,或者產生可能影響工業操作的虛假警報。
為免遭這些威脅侵害,公司企業採取恰當的措施建立有效工業安全專案,並對企業範圍內的風險進行優先順序排序,就十分重要了。美國最大的高速電子電纜生產商之一百通公司,發展出了工業網路安全3步走方法,有序幫助降低複雜度,優化風險優先順序,保護工業網路、終端和控制系統的安全。
保護網路
工業企業想要保衛自己的網路,最好從確保擁有邊界安全的良好網路設計開始。一旦完成了這第一步,企業應按 isa iec 62443 工業自動化和控制系統網路安全標準對自身網路進行隔離,保護旗下所有的無線應用,部署安全遠端訪問解決方案以輔助快速故障排除和問題解決。
企業還應監視自身網路,尤其是在運營技術(ot)環境:
監視網路安全狀態,是it安全團隊的常規動作,但運營環境中卻不那麼常見。監視工業網路基礎設施裝置,比如路由器、交換機、閘道器等等,也是有其價值的。這些系統連線著那些可能被黑的網段。它們需要被評估,建立基線,並有人負責進行監視。
保護終端
ot員工可能會覺得自家終端有邊界防火牆、專有軟體、專用協議和物理隔離,數字攻擊拿它們沒辦法。但事實並非如此。當員工、承包商或**鏈的傢伙們帶著他們的筆記本或u盤走到終端前進行維護時,這些防護措施就被繞過了。
因此,公司企業應要保護自身工業終端應該還要做到:
為緩解ot攻擊,ot環境中基於pc的終端需要被保護,且企業應保衛it終端不受穿越ot環境的攻擊影響。ot和it環境中都需要設立終端安全策略。
很多企業可以從以下幾個方面開始:收集並維護好所有終端硬軟體的準確清單;跟蹤ot資產中的漏洞;確保每個終端都有安全穩固的配置;監視並報警未授權修改。
保護控制器
每個工業環境中都有物理系統——執行器、校準器、閥門之類的機械裝置和溫度、壓強之類的感測器等等與物理世界互動的東西。很多案例中,攻擊者都獲得了這些機械裝置的訪問權,導致系統誤操作;但若沒獲取到控制級別的許可權,他們也沒有直接的途徑來幹這事兒。
為繞開這一障礙,有些攻擊者瞄上了負責管理這些系統的工業控制器:
物理系統回連到實際控制其行為的專用計算機上。正是這些專用計算機,起到了橋接物理系統控制與網路指令或程式設計命令接收的作用。這些計算機就是工業控制器,也是網路攻擊中被瞄準用於製造物理破壞或中斷工業過程的目標。工業控制器種類繁多,不過,常用的一般就是可程式設計邏輯控制器(plc)和分布式控制系統(dcs)之類的。
下圖就是我們日常接觸到的一種控制器。
這是個普通的恆溫調節器,與供熱系統互動以加熱房間或大樓。
通過加強檢測能力,增大對ics修改與威脅的可見性,實現脆弱控制器的安全措施,監視可疑訪問與修改控制,及時檢測/限制威脅,公司企業便能有效防護工業控制器不被數字攻擊侵害。
結論鑑於工業環境日趨複雜的態勢,公司企業努力實現針對數字威脅的防護顯得尤其重要。要做到這一點,需要針對網路安全、終端安全和工業控制器安全部署多重防護,邁好這3步。
從勒索軟體到工控系統網路安全
黑客攻擊從其目的性可以分為炫技 破壞 金錢利益 軍事目的 組織或國家行為等類別,對於以個人利益為主的大多數黑帽子而言,竊取關鍵資料 以及通過黑客行為獲取經濟利益是其網路攻擊的主要目的。因工控網路的封閉性,傳統的木馬 後門程式無法完成敏感資料的回傳,同時工業資料除關鍵的工藝流程外對資料的保密性無嚴格要...
國家網路資訊保安戰略三步曲
我國網路安全防禦能力薄弱,需盡快明晰國家網路資訊保安戰略,在系統規劃基礎上,完善網路資訊保安風險評估和檢查制度,緩解我國網路資訊核心技術和裝置對外依賴症,提高對網路安全事件發現預警能力,強化我國網路空間自主能力 加大網路資訊產業對外有效滲透,實現 對等威懾 的網路空間動態安全保障 積極參與國際網路安...
埃森哲 七成企業無法保護關鍵資產網路安全
埃森哲發布最新的安全指數稱,當前網路威脅正變得越發嚴重,全球73 的企業無法充分保護其 值資產及程式。報告發現,針對核心業務可能遭遇的種種威脅,全球只有34 的企業有能力進行監控。埃森哲安全指數的推出是為了衡量當前企業安全措施的有效性以及現有網路安全領域投資的充分性。該指數調查了2000家年度收入在...