威脅參與者如何進入 OT 系統

過去，網路攻擊者在很大程度上忽略了操作技術（OT）系統，例如工業控制系統和 SCADA 系統，因為很難獲得專有資訊，或者 OT 系統未連線到外部網路且資料不易滲透。

但現在已經不是這樣了。今天，許多工業系統都連線到公司網路，可以訪問網際網路，並使用從連線的感測器和大資料分析的一切來改進運營。OT 和 IT 的這種融合和整合導致了越來越多的網路風險，包括跨 IT 和 OT 的有效和有影響的網路事件。

OT 世界中的網路安全威脅與 IT 不同，因為其影響不僅僅是資料丟失、聲譽受損或客戶信任度下降。OT 網路安全事件可能導致生產損失、裝置損壞和環境洩漏。保護 OT 免受網路攻擊需要一套不同於保護 IT 的工具和策略。讓我們看看網路安全威脅通常如何進入 OT 的受保護環境。

進入 OT 的 主要媒介

惡意軟體可以通過兩種主要媒介進入 OT 環境中的安全生產設施：通過網路或通過可移動媒體和裝置。

攻擊者可以通過跨可路由網路的防火牆利用網路資產進入 OT 系統。適當的 OT 網路最佳實踐，如網路分段、強身份驗證和多個防火牆區域，可以大大有助於防止網路事件。

BlackEnergy 惡意軟體在首次記錄的針對電網的有針對性的網路攻擊中使用，它通過向網路 IT 端使用者傳送魚叉式網路釣魚電子郵件危害了一家電力公司。從那裡，威脅行為者能夠轉向關鍵的 OT 網路，並使用 SCADA 系統開啟變電站中的斷路器。據報導，這次襲擊導致超過 200,000 人在冬季 斷電六個小時 。

雖然“sneakernet”這個詞可能是新的或聽起來很尷尬，但它指的是這樣一個事實，即 USB 儲存裝置和軟盤等裝置可用於將資訊和威脅上傳到關鍵的 OT 網路和氣隙系統中，只需網路攻擊者親自攜帶它們進入設施並將它們連線到適用的系統。

USB 裝置繼續帶來挑戰，尤其是當組織越來越依賴這些行動式儲存裝置來傳輸補丁、收集日誌等時。USB 通常是鍵盤和滑鼠支援的唯一介面，因此無法禁用它，從而啟用備用 USB 埠。因此，存在在我們試圖保護的機器上插入外來裝置的風險。眾所周知，黑客會在他們所針對的設施內和周圍植入受感染的 USB 驅動器。員工有時會發現這些受損的驅動器並將它們插入系統，因為這是確定其中一個驅動器上的內容的唯一方法——即使沒有任何標籤，如“財務業績”或“員工人數變化”。

Stuxnet 可能是最臭名昭著的惡意軟體被 USB 帶入隔離設施的例子。這種極其專業和複雜的計算機蠕蟲被上傳到一個氣隙核設施中，以改變可程式設計邏輯控制器 (PLC) 的程式設計。最終結果是離心機旋轉太快太久，最終導致裝置物理損壞。

現在，生產環境比以往任何時候都面臨來自惡意 USB 裝置的網路安全威脅，這些裝置能夠繞過氣隙和其他保護措施從內部中斷操作。《 2021 年霍尼韋爾工業網路安全 USB 威脅報告 》發現，從 USB 裝置檢測到的威脅中有 79% 有可能導致 OT 中斷，包括失去視野和失去控制。

同一份報告發現 USB 的使用增加了 30%，而其中許多 USB 威脅 (51%) 試圖遠端訪問受保護的氣密設施。霍尼韋爾審查了 2020 年來自其全球分析研究與防禦 (GARD) 引擎的匿名資料，該引擎分析基於檔案的內容，驗證每個檔案，並檢測通過 USB 傳入或傳出實際 OT 系統的惡意軟體威脅。

TRITON 是第一個被記錄使用的惡意軟體，旨在攻擊生產設施中的安全系統。安全儀表系統 (SIS) 是工業設施自動化安全防禦的最後一道防線，旨在防止裝置故障和爆炸或火災等災難性事故。攻擊者首先滲透到 IT 網路，然後再通過兩種環境均可訪問的系統轉移到 OT 網路。一旦進入 OT 網路，黑客就會使用 TRITON 惡意軟體感染 SIS 的工程工作站。TRITON 的最終結果是 SIS 可能會被關閉，並使生產設施內的人員處於危險之中。 

物理裝置也可能導致網路事件
我們需要注意的不僅僅是基於內容的威脅。滑鼠、電纜或其他裝置也可以成為對抗 OT 的武器。

2019 年，惡意行為者將目標鎖定在有權訪問控制網路的受信任人。該授權使用者在不知不覺中將真正的滑鼠換成了武器化滑鼠。一旦連線到關鍵網路，其他人就會從遠端位置控制計算機並啟動勒索軟體。

發電廠支付了贖金；然而，他們沒有取回他們的檔案，不得不重建，影響了三個月的設施。在使用裝置之前，您必須瞭解裝置的來源。

抵禦網路威脅的 3 個步驟
網路威脅不斷演變。首先，定期檢查您的網路安全策略、政策和工具，以掌握這些威脅。其次，USB 使用威脅正在上升，因此評估您的 OT 操作風險以及您當前對 USB 裝置、埠及其控制的保護措施的有效性非常重要。

最後但並非最不重要的一點是，強烈建議採用縱深防禦策略。該策略應分層 OT 網路安全工具和策略，為您的組織提供最佳機會，使其免受不斷變化的網路威脅的侵害。