运营技术(OT)人员需要积极主动地应对安全问题。去年10月是法定的国家网络安全意识月,今年,该计划的一个关键信息是共同努力保护关键基础设施免受网络威胁。显然,运营技术(OT)网络中的安全漏洞正在成为一个主流问题。例如,根据卡巴斯基最近的一项研究,工业环境中77%的安全专业人员认为他们的组织很可能成为网络安全事件的目标;同时,48%的受访者表示他们没有具体的OT/ICS事件响应计划,而31%的受访者表示他们的组织在2017年经历了一次或多次安全事件。事实上,任何系统面临的安全问题是由归根到底是系统的价值。工业控制系统数量众多,分布在国家基础工业中,涵盖电力、石油、交通、水利等诸多方面,在国计民生中占有重要地位,价值数据和持续运行的价值是不可估量的。任何安全问题的影响都不可低估。国内外各行业的工控系统越来越受到安全关注,也越来越成为攻击者的目标。那么,现在是讨论工业环境中的7大安全漏洞的最佳时机,不是吗?接下来,我将总结工业环境中最重要的7大安全漏洞及其最佳实践:1。从IT到OT的恶意软件WannaCry和Petya是过去几年中最大的两个恶意软件威胁,虽然它们并不专门针对工业网络,但它们确实对工业网络安全产生了严重影响。这些威胁表明IT和OT网络内部/之间的安全防御相对薄弱,这也使得OT网络不可避免地受到攻击。WannaCry具有如此破坏性的主要原因是它主要针对运行过时版本Windows的组织,这些Windows版本与WindowsXP一样旧——不再接收任何安全更新和补丁。因此,这些组织变得容易受到WannaCry的攻击。最佳实践:致力于保护IT和OT网络。这主要包括使所有操作系统和应用程序保持最新状态;安装强大的防病毒软件;监控IT和OT环境中的所有威胁等。2、“物理隔离”安全神话一直存在物理隔离是指一个主机或网络不得直接或间接连接到另一个网络。具体场景包括内外网之间的隔离,也可以用于内网之间的分段、分区、层次隔离。时至今日,在工控领域的生产环境中,物理隔离措施作为基本的安全防护方案仍被广泛采用。从理论上讲,物理隔离是一种很好的安全措施,因为它将工业网络与业务网络隔离开来,从而达到了保护工业网络的目的,而且其成本也比较低,对付普通的实时攻击行为效果很好。然而,物理隔离的网络真的安全吗?事实上,物理隔离往往无法达到真正的隔离。在许多声称物理隔离的系统中,可能存在与外部网络的连接点。这是因为网络的建设和规划是一项复杂而长期的工作,有时很难避免和发现未经授权访问设备或网络拓扑发生变化的情况。例如,2017年5月中旬,WannaCry勒索病毒爆发。内网多台号称物理隔离的主机也中毒,数据被毁。其次,物理隔离难度大大增加。随着物联网技术的不断进步,各种新型智能设备逐渐普及,移动和可联网的终端设备更加高效智能,IT和OT世界日益融合。传统物理隔离的网络面临更大的挑战。过去被认为安全的网络环境正逐渐变得不再安全。最佳实践:实施侧重于“基于互联网的威胁”的安全措施,主要是那些来自跨越IT和OT世界的工业物联网(IIoT)设备的威胁。3.对流行OT工具的攻击呈上升趋势今年5月,网络安全公司TenableResearch披露,两款施耐德电气软件存在远程代码执行漏洞,黑客可利用该漏洞扰乱或破坏发电厂、供水系统和太阳能系统设施和其他基础设施。更令人担忧的是,这两个应用程序(InduSoftWebStudio和InTouchMachineEdition)正在美国石油和天然气等行业的工业流程中得到广泛部署。这些漏洞凸显了网络安全供应商和内部安全团队的弱点,它们都将大量资源投入到IT环境中,而忽视了工业环境。此外,对于关键基础设施行业而言,漏洞修复通常是繁琐且困难的,因为工厂和发电厂无法花时间关闭系统来应用安全补丁。最佳实践:必须为OT操作系统及其上安装的所有软件打补丁。当无法修补关键设备时,部署可以检测行为变化的监控工具至关重要。4.不安全的控制器无处不在当今许多拥有OT网络的组织都面临着在保持运营效率的同时提高网络安全性的挑战。挑战的原因主要源于这样一个事实,即组织混合使用易受攻击的传统控制器和较新的基于Internet的控制器。传统控制器很容易受到攻击,因为它们缺乏新技术中常见的关键安全功能。但由于更新或修补遗留系统需要工厂花费大量时间关闭系统,因此组织通常选择不更新或修补遗留系统,而不是提高网络安全以维持或提高其运营效率。最佳实践:组织需要实时了解网络的各个方面以及每台设备上的每项操作——能够查看受信任的内部人员和未知来源执行的所有活动,并能够确定所有这些活动是否经过授权行动。5.来自内部的威胁当OT网络的变化是由于意外或疏忽等因素引起时,可能会产生与外部攻击相同的破坏性后果。改变行为的来源(无论是内部员工还是第三方承包商)无关紧要,重要的是影响。最佳实践:在详细的警报系统的支持下,保持对网络活动和设备完整性的实时可见性——及时检测变化的行为。此外,组织必须拥有全面/全面的意外保险。6.心怀不满的员工心怀不满的员工,无论是窃取代码、破坏生产线还是投放毒药,都可能对组织造成灾难性的影响。最佳实践:对网络的实时可见性不会阻止心怀不满的个人执行恶意活动,但它会快速识别威胁。理想情况下,可见性应包括分析网络流量的入侵检测系统和活动设备的完整性检查,以及时识别威胁。7.等待采取行动的理由如今,CISO的主要担忧之一是业务风险。为了最大限度地降低这种风险,组织通常采用自上而下的方法来尽可能有效地保护所有技术。然而,在OT世界中,组织很少采用如此稳健的方法,因为许多组织认为他们不需要担心工业网络安全,直到发生意外并促使他们采取行动保护行业。网络。最佳实践:OT人员需要改变他们的想法并积极主动地保护工业网络。他们应该采取自上而下的方法,尽可能有效地消除工业网络中所有设备和应用程序的风险,就像他们处理业务风险一样。卡巴斯基最近发表的一项研究:https://ics.kaspersky.com/media/2018-Kaspersky-ICS-Whitepaper.pdf(微信公众号id:gooann-sectv)获得授权】点此阅读更多作者的好文章这位作者
