近年来,制造和基础设施受到的攻击越来越多——电力、天然气、自来水,甚至核能电力设备遭到黑客以各种方式攻击。不同于IT系统安全问题,最大的威胁可能是业务停滞和信息泄露;OT环境一旦受到攻击,很可能给环境和人类生命带来直接危害。随着攻击者逐渐将攻击目标转向OT,安全也必须跟上,以确保OT的安全。此外,我们还需要注意,OT和IT是密不可分的;因此,制造业和基础设施的安全需求就是IT和OT融合的安全需求。OT是OperationalTechnology的意思,主要用于生产环境,为工厂和基础设施的自动化控制系统提供支持,监控生产环境,保证正常生产的软硬件技术。OT/IT面临的安全风险OT/IT环境面临的风险多种多样,攻击者的攻击目标也涵盖多个方面,主要有以下几个方向:IT是存在的,OT环境往往伴随着IT系统和设备。因此,对于整个环境来说,更多的设备互联,更多的攻击点容易暴露。OT和IT的安全要求并不完全相同:对于IT系统,安全侧重于机密性、完整性和可用性;对于OT环境,安全性更重要的是外部世界的安全性和可靠性,以及过程可用性、可预测性、生产数据的可靠性和非破坏性。因此,对于制造和基础设施的安全,需要考虑的是IT和OT的结合,而不是单方面的解决方案。OT系统本身的缺陷:很多关键的基础设施系统是不断建立的,所以这些系统将很难打补丁和升级,这些基础设施的安全性会越来越弱。但从以往的事件中可以发现,工控系统正逐渐成为攻击的重点,越来越容易受到攻击。工控系统数据安全:工控系统产生的数据是很多攻击者的目标——就像IT系统中的很多个人信息一样,这些都是敏感数据。敏感数据也需要在OT环境中得到保护。然而,对于安全厂商来说,一个主要的挑战是收集和分析这些数据以保护它们。而这对于很多传统的互联网安全公司来说可能并不那么容易。针对OT人员的攻击:与IT环境一样,OT环境中的人员也会成为各种社会工程学和网络钓鱼攻击的目标。攻击者的预期目标可能是公司的财务,也可能是厂商的商业机密、内部信息等等。OT安全的几个RootCause根据以上几点,我们继续研究制造和基础设施安全隐患。我们可以发现,OT/IT环境问题的根本原因来自以下几点:工控系统漏洞中约有50%是次生漏洞(针对传感器攻击,改变其读数或相关值设置)。即便如此,这些漏洞仍被标记为“高风险”。此外,攻击者会通过攻击工控系统逐步攻击整个核心系统,造成更大的影响。在针对OT系统的攻击中,74%的攻击使用了“注入非预期项目”的攻击方式。类似于IT相关攻击,这种攻击类似于SQL注入:试图通过在命令中恶意输入额外数据来破坏和控制系统。安全厂商和企业显然需要防范这种攻击,并对命令的输入进行监控和过滤。攻击者主要来自外部——90%以上的攻击来自外部。这些局外人包括资金雄厚的黑客、有组织的犯罪集团和民族国家攻击者等。同时我们必须注意到,在剩下的9%的攻击者中,5%是疏忽的内部人员,4%是恶意的。OT安全的解决方案概念在我们意识到制造和基础设施中这些安全问题的核心之后,我们就可以着手解决这些和消息。OT环境与IT环境虽然存在一定差异,但相互融合使得具体实施方案更加复杂。但是,安全本身的概念是一样的,区别只是具体的实现方案和采用的技术:集中补丁修复,注意数据输入“卫生”:现在我们知道最常见的攻击类型是注入攻击,那么企业应该进行相应的防御。对于此类攻击,最直接的防御方式就是打补丁升级系统,修复漏洞。但是,如上所述,工控系统存在的一个问题是设备较多,设计相对封闭独立,不易统一升级。因此,在选择相关安全厂商时,需要寻找具有相关能力的安全厂商。终端和事件响应:工控数据的复杂性使得注入攻击难以识别,而终端需要快速识别和检测注入以应对这种最主流的攻击方式。另一方面,这些OT系统的性质决定了它们不能随意封锁或停止服务来阻止攻击的蔓延。因此,企业需要专业的响应团队来处理事件。威胁情报防范攻击:考虑到很多工控攻击都是来自有组织的外部攻击者,如果企业有威胁情报辅助,就能在攻击发生前就意识到自己面临的风险,从而进行相应的防护。敏感信息保护:制造业除了维护日常生产的安全外,还需要对自身的商业秘密进行额外的保护。因此,企业需要一套数据资产的保护措施,从数据的产生、存储、使用、共享、归档到销毁,建立完善的数据保护体系,按照相应的要求对数据进行技术保护。总结在如今的环境下,攻击者的目标已经逐渐从IT环境转移到OT环境。对于制造和关键基础设施——尤其是关键基础设施公司,保护他们的OT环境变得尤为重要。OT环境不仅影响企业自身的生产和安全,许多关键基础设施都与社会和国家安全密切相关。OT环境很难脱离IT环境,使得安全解决方案更加困难。但是,无论是从合规的角度,还是从自身生产利益的角度,还是最重要的社会角度,都必须将OT环境的安全放在非常高的位置。OT环境的保护不应是孤立的保护。它需要各个环节的联动和协调,必须通过“系统”来应对“环境”,而不是在各个防御点上单打独斗。因此,相关企业在进行安全防护时,也需要综合厂商的协同能力进行选择。【本文为专栏作家“李少鹏”原创文章,转载请通过暗牛(微信♂id:gooann-sectv)获得授权】点此查看作者更多好文
