在互聯世界裡,因為ics/scada(工業控制系統/監控和資料採集系統)系統與網際網路物理隔離就對網路攻擊免疫的老一套認知已經不再適用。雖然很多企業已經承認傳統物理隔離正在消失,有些企業依然堅信這是一種切實可行的安全措施。
理論上,物理隔離聽起來是種挺好的策略。但實際操作中,事情往往沒那麼簡單。即使在企業已經採取所有能用的方法隔離他們的ics網路,與外面的世界斷絕聯絡,我們依然可以看到網路威脅跨越了邊界侵入進來。同時,即便有可能完全物理隔離ics網路,內部人士依然會造成威脅。
無論企業是否實現了物理隔離,ics網路都存在風險。原因何在,且聽業界人士細細道來:
1. 檔案交換的需要
甚至在物理隔離的操作技術(ot)環境中,檔案也必須與外界進行交換。此類例子有軟體補丁和來自系統整合方、承包商等第三方的檔案等。對手可以利用這一點,誘騙雇員安裝虛假軟體更新和補丁,或者傳輸帶惡意軟體的檔案到工業網路中。
本月早些時候,勒索軟體作者就四處散布了名為「allenbradleyupdate.zip」的惡意檔案,偽裝成洛克韋爾自動化公司的合法更新檔案。該勒索軟體若成功安裝,便會鎖定受害計算機,直到機主支付贖金才能登入系統訪問計算機上的內容。控制系統擁有者和操作者被誘騙安裝上惡意軟體,損害到ics網路的威脅是十分現實的。
2. 受感染的個人裝置
很多雇員會將個人裝置接入ics網路,無論僅僅是為充個電,還是通過usb傳輸些檔案。受感染的個人裝置會將惡意軟體引入網路,給ics網路帶來網路威脅。
2023年的乙份研究中,美國國土安全部(dhs)員工有意在聯邦機構和承包商停車場掉落資料盤和u盤。研究報告顯示,60%的掉落裝置(很容易包含有惡意**)都被插入到了公司或機構的計算機上。
3. 漏洞和人為過失
與所有網路類似,ics環境也對軟/硬體漏洞、設計缺陷等敏感。由於在設計時就沒將安全考慮進去,ics網路甚至比it網路承受的風險更大。廠商和安全研究人員就經常性曝出操作技術中的新漏洞。然而,大多數ics網路的系統並沒有定期更新。
某些情況下,網路架構或配置上的缺陷,也會創造出可被黑客利用的漏洞。例如,為整合者建立的臨時遠端訪問連線,如果不小心忘了關閉,會造成嚴重的安全風險。另外,需要遠端接入ics網路,而又沒有安全接入機制可用的員工,有可能會訴諸「創造性的備選方案」來完成自己的工作。這些計畫外的連線,都可能成為滲漏點,將工業網路暴露在外。
4. 內部人士威脅
由於ics網路內缺乏身份驗證或授權,可信內部人士(雇員、整合者、承包商)便對關鍵資產享有不受限制的訪問許可權。無論他們是無意犯錯,還是心懷不滿而故意破壞,造成的結果都與外部敵人帶來的相當(甚至還更多更嚴重)。即使網路被完全物理隔離,對內部人士威脅都是不免疫的。對這種攻擊方法的唯一防護措施,就是通過不間斷的監控和更好的訪問控制。
5. 聯網技術和工業物聯網(iiot)
隨著我們邁入現代製造業的下乙個階段,聯網技術被越來越多地部署到了製造產業中。聯網技術有時也被稱作工業物聯網,為現代生活提供了很多便利。智慧型感測器被用於自動改善效能、安全性、可靠性和節能度。這些技術讓操作經理可以隨時檢查機器、流程、庫存等等的狀態,無論這些東西位於**。
這一點,對異地、轉包製造工廠或**商工廠而言特別有用。為利用這些聯網技術,設施操作員必須開放他們的網路,也就消除了物理隔離,將網路暴露在了外部威脅眼前。
無論ics網路物理隔離與否,它們都對安全威脅不設防。ics安全最大的攔路虎,就是對控制層上所發生的活動——也就是對工控裝置的訪問和改變,缺乏可見性和控制權。要想在破壞造成之前檢測並響應業務系統中的安全事件,專門為ics環境而不是it環境打造的新型監視工具是必須的。
支援中文又怎樣
今天本來應該令人幸福卻不那麼令人興奮的訊息就是flickr支援多種語言了,其中包括正體中文。選擇一種語言 正體中文 deutsch english espa ol fran ais italiano portugu s 擱以前,多美好的一件事兒啊。我可以名正言順得大力推薦flickr給周圍的朋友當相...
怎樣將物理記憶體轉換成視訊記憶體
原本視訊記憶體是32mb的,現在記憶體公升到768mb了,遊戲還是有點卡,想弄到64mb的 一般情況下進入bios後 advanced chipset setup onboard vga share mernory 應該就是調整視訊記憶體 但是各個主機板情況是不同的 agp aperture siz...
怎樣即選擇檔案又選擇資料夾路徑
選擇檔案和資料夾的對話方塊 charszdir max path browseinfobi itemidlist pidl cstringstrdlgtitle 請選擇需要上傳的資料 bi.hwndowner this m hwnd bi.pidlroot null bi.pszdisplaynam...