保護工控系統網路安全的關鍵三步

當前，工業控制系統(ICS)面臨一系列數字威脅。其中兩個方面尤其突出。一方面，數字攻擊者在獲得工業公司的非授權訪問方面越來越在行。有些攻擊者採用惡意軟體，另一些訴諸於漁叉式網路釣魚(或釣鯨)和其他社會工程技術。儘管有這些戰法技術，2016年我們看到的大多數主要ICS安全事件，都很幸運地只對受影響企業造成了中斷，而不是破壞。

另一方面，如趨勢科技的研究人員發現的，攻擊者可以利用被動情報獲取技術，來竊聽工業環境中呼機間的未加密呼叫，然後利用這些資訊進行社會工程攻擊，侵入工控公司，或者產生可能影響工業操作的虛假警報。

為免遭這些威脅侵害，公司企業採取恰當的措施建立有效工業安全專案，並對企業範圍內的風險進行優先順序排序，就十分重要了。美國最大的高速電子電纜生產商之一百通公司，發展出了工業網路安全3步走方法，有序幫助降低複雜度，優化風險優先順序，保護工業網路、終端和控制系統的安全。

1. 保護網路

工業企業想要保衛自己的網路，最好從確保擁有邊界安全的良好網路設計開始。一旦完成了這第一步，企業應按 ISA IEC 62443 工業自動化和控制系統網路安全標準對自身網路進行隔離，保護旗下所有的無線應用，部署安全遠端訪問解決方案以輔助快速故障排除和問題解決。

企業還應監視自身網路，尤其是在運營技術(OT)環境：

監視網路安全狀態，是IT安全團隊的常規動作，但運營環境中卻不那麼常見。監視工業網路基礎設施裝置，比如路由器、交換機、閘道器等等，也是有其價值的。這些系統連線著那些可能被黑的網段。它們需要被評估，建立基線，並有人負責進行監視。

1. 保護終端

OT員工可能會覺得自家終端有邊界防火牆、專有軟體、專用協議和物理隔離，數字攻擊拿它們沒辦法。但事實並非如此。當員工、承包商或供應鏈的傢伙們帶著他們的筆記本或U盤走到終端前進行維護時，這些防護措施就被繞過了。

因此，公司企業應要保護自身工業終端應該還要做到：

為緩解OT攻擊，OT環境中基於PC的終端需要被保護，且企業應保衛IT終端不受穿越OT環境的攻擊影響。OT和IT環境中都需要設立終端安全策略。

很多企業可以從以下幾個方面開始：收集並維護好所有終端硬軟體的準確清單；跟蹤OT資產中的漏洞；確保每個終端都有安全穩固的配置；監視並報警未授權修改。

1. 保護控制器

每個工業環境中都有物理系統——執行器、校準器、閥門之類的機械裝置和溫度、壓強之類的感測器等等與物理世界互動的東西。很多案例中，攻擊者都獲得了這些機械裝置的訪問權，導致系統誤操作；但若沒獲取到控制級別的許可權，他們也沒有直接的途徑來幹這事兒。

為繞開這一障礙，有些攻擊者瞄上了負責管理這些系統的工業控制器：

物理系統回連到實際控制其行為的專用計算機上。正是這些專用計算機，起到了橋接物理系統控制與網路指令或程式設計命令接收的作用。這些計算機就是工業控制器，也是網路攻擊中被瞄準用於製造物理破壞或中斷工業過程的目標。工業控制器種類繁多，不過，常用的一般就是可程式設計邏輯控制器(PLC)和分散式控制系統(DCS)之類的。

下圖就是我們日常接觸到的一種控制器。

這是個普通的恆溫調節器，與供熱系統互動以加熱房間或大樓。

通過加強檢測能力，增大對ICS修改與威脅的可見性，實現脆弱控制器的安全措施，監視可疑訪問與修改控制，及時檢測/限制威脅，公司企業便能有效防護工業控制器不被數字攻擊侵害。

結論

鑑於工業環境日趨複雜的態勢，公司企業努力實現針對數字威脅的防護顯得尤其重要。要做到這一點，需要針對網路安全、終端安全和工業控制器安全部署多重防護，邁好這3步。

本文轉自d1net（轉載）