过去,网络攻击者在很大程度上忽略了操作技术(OT)系统,例如工业控制系统和SCADA系统,因为专有信息难以获取,或者OT系统未连接到外部网络和数据不容易泄露。但情况已不再如此。如今,许多工业系统都连接到公司网络,可以访问互联网,并使用连接的传感器和大数据分析等一切来改善运营。OT和IT的这种融合和集成导致网络风险增加,包括跨IT和OT的活跃和有影响的网络事件。OT世界中的网络安全威胁与IT不同,因为其影响超出了数据丢失、声誉受损或客户信任丧失的范围。OT网络安全事件可能导致生产损失、设备损坏和环境破坏。保护OT免受网络攻击需要一套不同于保护IT的工具和策略。让我们看看网络安全威胁通常如何进入OT的受保护环境。进入OT的主要途径恶意软件可以通过两个主要途径进入OT环境中的安全生产设施:通过网络或通过可移动媒体和设备。攻击者可以利用网络资产通过防火墙跨可路由网络访问OT系统。适当的OT网络最佳实践,例如网络分段、强身份验证和多个防火墙区域,可以大大有助于预防网络事件。BlackEnergy恶意软件被用于首次记录在案的针对电网的网络攻击,通过向网络IT端的用户发送鱼叉式网络钓鱼电子邮件来危害电力公司。从那里,威胁行为者能够转向关键的OT网络并使用SCADA系统打开变电站的断路器。据报道,这次袭击导致超过200,000人在冬季断电6小时。虽然“sneakernet”这个词可能很新或听起来很别扭,但它指的是这样一个事实,即可以使用USB存储设备和软盘等设备将信息和威胁上传到关键的OT网络和气隙系统中,所需的一切是为了网络攻击者将它们物理地带入设施并将它们连接到适用的系统。USB设备继续带来挑战,特别是随着组织越来越依赖这些便携式存储设备来传输补丁、收集日志等。USB通常是键盘和鼠标唯一支持的接口,因此不能禁用它来启用备用USB端口。因此,存在在我们试图保护的机器上插入外部设备的风险。众所周知,黑客会在目标设施内和周围植入受感染的USB驱动器。员工有时会发现这些损坏的驱动器并将它们插入系统,因为这是确定其中一个驱动器上的内容的唯一方法——即使没有任何标签,如“财务业绩”或“员工人数变动”。Stuxnet可能是通过USB带入隔离设施的恶意软件最臭名昭著的例子。这种极其专业和复杂的计算机蠕虫被上传到气隙核设施中,以改变可编程逻辑控制器(PLC)的编程。最终的结果是离心机转得太快太久,最终导致设备物理损坏。现在,生产环境比以往任何时候都面临来自流氓USB设备的网络安全威胁,这些设备能够从内部中断操作,绕过气隙和其他保护措施。《2021 年霍尼韦尔工业网络安全 USB 威胁报告》发现从USB设备检测到的威胁中有79%有可能导致OT中断,包括视力丧失和失控。同一份报告发现USB使用率增加了30%,其中许多USB威胁(51%)试图远程访问受保护的密闭设施。霍尼韦尔审查了来自其全球分析研究与防御(GARD)引擎的2020年匿名数据,该引擎分析基于文件的内容,验证每个文件,并检测通过USB软件威胁传输到实际OT系统或从实际OT系统传输的恶意数据。TRITON是第一个被记录用于攻击生产设施安全系统的恶意软件。安全仪表系统(SIS)是工业设施自动化安全的最后一道防线,旨在防止设备故障和灾难性事件,例如爆炸或火灾。攻击者首先渗透IT网络,然后通过两种环境均可访问的系统转移到OT网络。进入OT网络后,黑客使用TRITON恶意软件感染SIS的工程工作站。TRITON的最终结果是SIS可能会关闭并使生产设施中的人员处于危险之中。物理设备也可能导致网络事件我们需要注意的不仅仅是基于内容的威胁。鼠标、电缆或其他设备也可以成为对抗OT的武器。2019年,恶意行为者瞄准了可访问受控网络的受信任个人。该授权用户在不知不觉中将真正的鼠标换成了武器化的鼠标。一旦连接到关键网络,其他人就可以从远程位置控制计算机并启动勒索软件。电厂支付了赎金;然而,他们没有取回文件,不得不重建,影响了该设施三个月。在使用设备之前,您必须知道它的来源。防御网络威胁的三个步骤网络威胁在不断演变。首先,定期审查您的网络安全战略、政策和工具,以掌握这些威胁。其次,USB使用威胁正在上升,因此评估您的OT操作的风险以及您当前对USB设备、端口及其控件的保护的有效性非常重要。最后但同样重要的是,强烈建议采用深度防御策略。该策略应该对OT网络安全工具和策略进行分层,以便为您的组织提供最好的机会来保护它免受不断发展的网络威胁。
