可以說(shuō)，網(wǎng)絡(luò)安全是所有行業(yè)的共同問(wèn)題。但是，工業(yè)控制系統(tǒng)(ICS)網(wǎng)絡(luò)安全狀況如何？我們?yōu)槭裁磻?yīng)該對(duì)其多加關(guān)注呢？

　　ICS監(jiān)視和控制著制造、運(yùn)輸、能源、油氣和化工行業(yè)最為關(guān)鍵的工業(yè)和物理基礎(chǔ)設(shè)施過(guò)程。如果這些工控設(shè)備被黑，常規(guī)服務(wù)可能會(huì)中斷，專有數(shù)據(jù)可能會(huì)遺失，重大損害可能會(huì)發(fā)生。

　　底線是：我們所有人，消費(fèi)者、公司、政府、組織機(jī)構(gòu)，都應(yīng)該關(guān)心ICS安全態(tài)勢(shì)。

　　基于ICS的企業(yè)，安全態(tài)勢(shì)如何？

　　很多原因讓我們難以準(zhǔn)確把握關(guān)鍵ICS基礎(chǔ)設(shè)施的安全態(tài)勢(shì)。公開(kāi)披露并不是硬性要求。事實(shí)上，美國(guó)基于ICS的企業(yè)并不需要遵守《2015美國(guó)數(shù)據(jù)泄露披露法案》，不用知會(huì)消費(fèi)者個(gè)人信息泄露情況。

　　用以驅(qū)動(dòng)更好安全的強(qiáng)制性合規(guī)也只是最小限度的。不過(guò)，例外也是確實(shí)存在的，比如北美能源產(chǎn)業(yè)的北美電力可靠性委員會(huì)(NERC)。

　　以下是ICS環(huán)境的新興標(biāo)準(zhǔn)，可以提供一些安全指南：

　　·ANSI/ISA-62443-3-2——ICS環(huán)境專用安全標(biāo)準(zhǔn)，聚焦網(wǎng)絡(luò)分段和環(huán)境隔離；

　　·NIST SP800-82r2，ICS安全指南——用于ICS/SCADA系統(tǒng)，2015年2月發(fā)布。

　　多份研究揭示了ICS安全情況的糟糕程度。美國(guó)國(guó)土安全部工業(yè)控制系統(tǒng)網(wǎng)絡(luò)應(yīng)急響應(yīng)小組(ICS-CERT)提供周期性的事件報(bào)告更新，我們就從這里開(kāi)始。ICS-CERT的《2015事件響應(yīng)統(tǒng)計(jì)》顯示，美國(guó)2015年共報(bào)告了295起涉及關(guān)鍵基礎(chǔ)設(shè)施的事件，而2014年ICS-CERT調(diào)查的事件數(shù)量?jī)H有245起。大多數(shù)安全事件影響到了制造業(yè)和能源業(yè)。

　　毫不令人意外地，魚叉式網(wǎng)絡(luò)釣魚戰(zhàn)術(shù)是被提到最多的常見(jiàn)攻擊手法。某廠商的調(diào)查研究也得出了相同的結(jié)論。網(wǎng)絡(luò)釣魚是人本身的問(wèn)題，所以，每個(gè)人都需要懂點(diǎn)兒網(wǎng)絡(luò)安全。

　　這份研究有助于對(duì)ICS安全狀況有所了解，但烏克蘭遭網(wǎng)絡(luò)攻擊致大面積斷電事件才是對(duì)ICS環(huán)境的一記警鐘。

　　運(yùn)營(yíng)技術(shù)？信息技術(shù)？綜合起來(lái)才是好技術(shù)

　　很多公司中，ICS環(huán)境的日常功能是由運(yùn)營(yíng)技術(shù)部(OT)管理的，但網(wǎng)絡(luò)安全卻是由信息技術(shù)(IT)負(fù)責(zé)。為應(yīng)對(duì)未來(lái)的威脅，我們需要將這兩種不同類型的技術(shù)融合起來(lái)。

　　由于越來(lái)越多的ICS設(shè)備使用網(wǎng)絡(luò)連接以提高自動(dòng)化程度和運(yùn)行效率，IT與OT的融合便顯得十分關(guān)鍵。為解決聯(lián)網(wǎng)帶來(lái)的威脅，一些公司采用物理隔離ICS系統(tǒng)的方式，但即便如此，大多數(shù)ICS設(shè)備也不是完全斷開(kāi)或從網(wǎng)絡(luò)中分離的。比如說(shuō)，測(cè)試連接，或接入互聯(lián)網(wǎng)的WiFi是有可能存在的。

　　另一個(gè)考慮是，很多ICS設(shè)備運(yùn)行的是遺留操作系統(tǒng)，沒(méi)有升級(jí)，也就更容易留有漏洞。總的來(lái)說(shuō)，OT通常不會(huì)升級(jí)，因?yàn)樯��?jí)可能會(huì)中斷服務(wù)，影響正常運(yùn)行時(shí)間，而IT部門的很大一部分工作，卻是升級(jí)系統(tǒng)以改善功能、性能和最小化風(fēng)險(xiǎn)。這一根本性差異需要彌合。

　　很多人都在談?wù)摫Ｗo(hù)我們關(guān)鍵的基礎(chǔ)設(shè)施。在這里，我們可以引用國(guó)際數(shù)據(jù)咨詢公司(IDC)信息安全研究經(jīng)理羅伯特·韋斯特維爾特的話：

　　一系列因素在極大地重塑OT安全。越來(lái)越多的聯(lián)網(wǎng)工業(yè)自動(dòng)化設(shè)備，OT和IT基礎(chǔ)設(shè)施的聚合，以及安全技術(shù)人才的短缺，意味著安全風(fēng)險(xiǎn)的準(zhǔn)確評(píng)估和緩解正變得越來(lái)越具有挑戰(zhàn)性。

　　有分析師預(yù)測(cè)，到2020年，IT安全將是ICS環(huán)境中25%的物理安全事件發(fā)生的原因。有些人或許會(huì)問(wèn)為什么。答案很簡(jiǎn)單：很多ICS設(shè)備連入互聯(lián)網(wǎng)和IT網(wǎng)絡(luò)，但大多數(shù)公司并沒(méi)有能保護(hù)ICS設(shè)備的安全專業(yè)人士。這讓IT安全成為了事件的焦點(diǎn)。

　　該做什么？

　　以上討論真夠前景黯淡的。那么，我們?cè)撟鲂┦裁茨兀?/p>

　　基本的安全工作應(yīng)該包括監(jiān)視關(guān)鍵ICS資產(chǎn)，方法是：

　　·在可能的地方部署反惡意軟件和事件檢測(cè)

　　·部署應(yīng)用白名單，防止非授權(quán)應(yīng)用運(yùn)行

　　·部署安全配置，防止非授權(quán)修改

　　·在可能的地方部署漏洞管理，最少化已知漏洞

　　·在所有ICS設(shè)備上屏蔽USB，避免物理攻擊

　　·用防火墻/IPS將業(yè)務(wù)網(wǎng)和ICS網(wǎng)絡(luò)分段

　　還有些業(yè)界資源也是可以利用的。比如說(shuō)，美國(guó)國(guó)土安全部、國(guó)家網(wǎng)絡(luò)安全和通信集成中心(NCCIC)、國(guó)家安全局(NSA)，就聯(lián)合發(fā)布了題為《七步有效保護(hù)工業(yè)控制系統(tǒng)》的文章，旨在提供可操作的步驟供企業(yè)用以防護(hù)他們的關(guān)鍵基礎(chǔ)設(shè)施。

　　ICS-CERT提供一系列的支持，比如培訓(xùn)、現(xiàn)場(chǎng)評(píng)估,定期發(fā)布的指南和評(píng)估工具等。尤其是它的網(wǎng)絡(luò)安全評(píng)估工具(CSET)，是一款能指導(dǎo)資產(chǎn)所有者和運(yùn)營(yíng)者，根據(jù)公認(rèn)的政府和行業(yè)標(biāo)準(zhǔn)與建議，逐步分析自身ICS和IT網(wǎng)絡(luò)安全的獨(dú)立軟件工具。CSET提供一種有體系的、遵守規(guī)則的、可重復(fù)的方法來(lái)評(píng)估一個(gè)組織的安全態(tài)勢(shì)。

　　此外，工業(yè)自動(dòng)化配置合規(guī)管理器(CCM)這種工具也對(duì)ICS環(huán)境安全的保護(hù)提供支持，它能讓用戶簡(jiǎn)單地添加有效安全監(jiān)視與評(píng)估。CCM的運(yùn)行不需要接觸ICS或SCADA設(shè)備，沒(méi)有運(yùn)營(yíng)可用性風(fēng)險(xiǎn)，也無(wú)需復(fù)雜的部署。

　　戰(zhàn)爭(zhēng)總是意味著人類安全風(fēng)險(xiǎn)，而工控安全是一場(chǎng)我們決不能輸?shù)木W(wǎng)絡(luò)戰(zhàn)。