【編者按】工業(yè)部門對一個國家的發(fā)展具有重大的戰(zhàn)略意義。隨著物聯(lián)網的出現(xiàn)，現(xiàn)代工業(yè)已經發(fā)生了革命性的變化，通過連接數(shù)十億個傳感器和設備而進入了一個新的篇章。信息技術（IT）和操作技術（OT）系統(tǒng)將自動化和互聯(lián)性結合到了現(xiàn)有設施中。其中，關鍵基礎設施實現(xiàn)了產品或服務的自動化生產，任何對關鍵基礎設施的攻擊都能影響到幾乎每個人。近年來，工業(yè)4.0在世界范圍內的普及提高了設施的效率，然而，不管這些基礎設施有多先進，但在應對新型網絡攻擊方面明顯準備不足。

　　在2020年期間，CISA共計發(fā)布了38個網絡警報，從伊朗和朝鮮等民族國家行為者到專門針對管道運營的已知勒索軟件，特別是2020年12月17日發(fā)布的最后一個警報，即針對SolarWinds供應鏈攻擊的政府機構、關鍵基礎設施和私營部門組織的高級持續(xù)威脅。2020年的網絡警報比2019年增加了660%，2019年CISA全年發(fā)布了5次網絡警報。

　　各組織也發(fā)現(xiàn)越來越多的針對工業(yè)控制系統(tǒng)（ICS）和操作技術（OT）網絡的攻擊，這一趨勢一直持續(xù)到今年的黑客試圖毒害佛羅里達鎮(zhèn)的供水事件。

　　隨著所有者和運營商采用新技術來提高運營效率，關鍵基礎設施的攻擊面繼續(xù)擴大，針對ICS系統(tǒng)和OT網絡的漏洞和目標預計將會增加。

　　一、OT網絡成為惡意軟件攻擊目標

　　在IT領域，惡意軟件是一個大產業(yè)。例如，勒索軟件在2020年造成的全球損失成本約為200億美元，幾乎是2019年的兩倍，是2018年的三倍。

　　勒索軟件活動的快速支付性質和投資回報是有明確先例的。去年，Garmin成為WastedLocker的受害者，據(jù)報道支付了1000萬美元的贖金。2020年其他勒索軟件受害者包括電子產品制造商富士康（Foxconn）、一家美國管道公司、以及Toll Group，該組織在一年中遭受了兩次攻擊。

　　在過去幾年中，惡意軟件的編程水平和靈活性也有所提高。而且這種新的惡意軟件越來越多地被部署在攻擊中，對IT和OT系統(tǒng)都產生了影響。

　　二、IT惡意軟件中出現(xiàn)ICS專用攻擊模塊

　　顧名思義，模塊化惡意軟件包含不同的模塊。這些模塊可以動態(tài)加載到特定環(huán)境中的目標系統(tǒng)上。例如，如果受害者有一臺Windows 7 PC，則可以加載一個帶有Windows 7漏洞攻擊的模塊來攻擊該特定資產。

　　但許多敵對組織也一直在制造針對ICS和SCADA的惡意軟件。TRITON公司被麻省理工學院技術評論評為“世界上最兇殘的惡意軟件”，專門攻擊安全儀表系統(tǒng)（SIS）。安全儀表系統(tǒng)采取“自動操作以保持設備處于安全狀態(tài)，或在出現(xiàn)異常情況時將其置于安全狀態(tài)”。SIS是工業(yè)過程中的最后一道防線，通常可防止災難性事故。

　　Triton對安全系統(tǒng)的攻擊是一個號角，它超越了對生產操作的早期攻擊，進入了物理破壞和潛在威脅生命與安全災難的領域。

　　接下來的邏輯進程是包括更多基于物聯(lián)網（IoT）和工業(yè)物聯(lián)網（IIoT）的模塊。由于在執(zhí)行網絡風險評估和滲透測試方面經驗豐富，因此經常會有基于IT的在線系統(tǒng)無意或有意地將聯(lián)網系統(tǒng)與OT網絡連接起來。這將會允許攻擊者從成功攻擊支持互聯(lián)網的主機轉移到攻擊OT網絡，而OT網絡本不應該與互聯(lián)網有直接連接。

　　一旦在與OT連接的主機上建立了立足點，那么在OT系統(tǒng)中，對手往往隱藏幾個月都不會被檢測到。

　　除了可見性和檢測，幾乎沒有保護措施來保護關鍵的OT資產，比如SIS。例如，如果可編程控制器（PLC）和SIS讀數(shù)被操縱，操作員會知道嗎？一般來說，答案是否定的。因為SIS只是檢查PLC，而沒有驗證SIS。

　　在惡意軟件中添加各種模塊的能力允許對手根據(jù)每個獨特的環(huán)境定制他們的攻擊。HMI是否連接到一個沒有足夠隔離的VoIP電話端口？一個攻擊那部手機的模塊就可以輕松用來作為進入工業(yè)控制系統(tǒng)網絡的支點。

　　三、自動化系統(tǒng)面臨新的網絡威脅

　　COVID-19加劇網絡威脅

　　由于疫情隔離和社交隔離政策，員工已經從工廠轉移到遠程辦公，因此導致維護關鍵基礎設施的人力資源減少，并增加了通過公司安全屏障的潛在泄漏。想象一下，在從一個端點到工廠的遠程連接過程中，如果工人的設備受到威脅，后果可能是黑客訪問了OT和ICS系統(tǒng)，讀取數(shù)據(jù)或控制操作過程。更可怕的情況可能是人為關閉電網或城市的交通控制系統(tǒng)。

　　5G風險可能蔓延至工業(yè)環(huán)境

　　2019年的5G崛起既帶來了新的機遇，也帶來了漏洞。5G之所以具有前所未有的吸引力，是因為它在部署方面具有很高的業(yè)務潛力，而這一點對于那些安全性較差、設備陳舊的傳統(tǒng)行業(yè)尤其需要。

　　各種類型的網絡攻擊已經出現(xiàn)

　　利用IIoT和5G連接，網絡犯罪分子將不遺余力地加強對IIoT設備和關鍵基礎設施的攻擊。從連接到ICS的水泵、溫度監(jiān)視器、IP攝像機或連接到ICS的無人機，每一個設備都會受到威脅。大多數(shù)企業(yè)都經歷過各種各樣的攻擊方式，如魚叉式網絡釣魚、證書泄露、惡意軟件或勒索軟件。在未來，還可以預見更多定制的、多樣化的、同步的攻擊，甚至是與數(shù)字網絡攻擊技術相結合的物理入侵。

　　四、關鍵OT資產成攻擊者關注的重點

　　每年都有越來越多的漏洞被發(fā)現(xiàn)在OT設備上。惡意的參與者將針對這些ICS漏洞的攻擊合并到他們的套件中，這些攻擊將被利用。值得警醒的是，該如何準備行動來注意、應對和防御這些攻擊，企業(yè)的運營能否經受住這些攻擊。

　　VoIP電話攻擊就是一個典型的例子。在一次工業(yè)網絡風險評估中，該組織的會議室中有一個易受密鑰重新安裝攻擊（KRACK）的WIFI路由器。一旦OT-pen測試人員利用該漏洞進入WIFI網絡，幾分鐘內，就可以通過會議室中的WIFI路由器，對該電話執(zhí)行成功的攻擊，繞過防火墻，并在OT網絡上站穩(wěn)腳跟。

　　模塊化惡意軟件允許攻擊者將特定于環(huán)境的攻擊鏈接在一起，并自動利用特定的漏洞進行攻擊。還可以更輕松地簡化對抗性工具集，或者將偵察和開發(fā)階段分解為由不同團隊完成的更清晰的步驟。

　　2020年針對Garmin的攻擊是加速IT/OT混合攻擊的一個例子，因為成功的勒索軟件攻擊不僅停止了IT運營，還停止了服務和制造業(yè)。為了預防災難，運營部門必須采取積極有效的措施來保護他們的運營、員工和更大的利益相關者。

　　五、防御建議

　　部署正確的安全方法有助于降低關鍵基礎設施的風險，并增強工業(yè)級的網絡安全。

　　增強IT和OT團隊的融合

　　為了從本質上抵御新的威脅，企業(yè)應該利用IT安全和OT專家的專業(yè)知識來確定網絡安全風險的優(yōu)先級，并共同設計一個集成的安全策略。

　　為PLC和RTU制定安全策略

　　PLC（可編程邏輯控制器）和RTU（遠程終端單元）對于企業(yè)OT環(huán)境的運行都是必不可少的。利用可用的檢測方法提前識別威脅、應用安全修復、升級以及保持系統(tǒng)的最新良好狀態(tài)配置，是降低網絡風險的基礎。

　　確保全面了解IT/OT環(huán)境

　　要全面了解系統(tǒng)中的活動，監(jiān)視或限制網絡內部使用的端口上的網絡流量和訪問是至關重要的。除了全面了解IT足跡之外，全面的資產清點也同樣重要。