保護(hù)工業(yè)網(wǎng)絡(luò)安全不是件輕松的事���。主要是因為大多數(shù)工業(yè)網(wǎng)絡(luò)都是在網(wǎng)絡(luò)威脅出現(xiàn)前就搭建的����,并沒有內(nèi)置的外部安全控制措施���。理解這些網(wǎng)絡(luò)如今面對的首要威脅���,是改善它們安全態(tài)勢的第一步。 威脅工業(yè)網(wǎng)絡(luò)安全的三大問題主要有: 一����、工業(yè)網(wǎng)絡(luò)外部威脅——APT�����、針對性攻擊及其他 針對ICS網(wǎng)絡(luò)的外部網(wǎng)絡(luò)攻擊���,可能是由政治利益方(民族國家��、恐怖組織或激進(jìn)黑客)支持的�,但也可能部分出于工業(yè)間諜活動���;趯κ值膭訖C��,此類攻擊的目的多種多樣�����。比如說����,若出于政治動機�����,攻擊的目標(biāo)更有可能是造成運行中斷和物理破壞,而工業(yè)間諜攻擊的目標(biāo)���,更多考慮的是竊取知識產(chǎn)權(quán)�����。今天���,大多數(shù)產(chǎn)業(yè),尤其是涉及關(guān)鍵基礎(chǔ)設(shè)施的那些�,更容易被出于政治動機的攻擊盯上,它們的目的��,就是引起運行中斷和物理破壞���。 即使那些因為不身處關(guān)鍵基礎(chǔ)設(shè)施行業(yè)�����,而不擔(dān)心APT或針對性攻擊的企業(yè)�,也容易受到連帶傷害�。這是因為���,意圖引起運營系統(tǒng)中斷的政治動機ICS網(wǎng)絡(luò)攻擊,所使用的漏洞利用工具�,針對的是所有工業(yè)行業(yè)都會用到的技術(shù)。此類攻擊無可避免地會影響到非目標(biāo)企業(yè)及其ICS網(wǎng)絡(luò)�。 就拿針對伊朗的震網(wǎng)蠕蟲來說吧。西門子聲稱����,震網(wǎng)感染了至少14家工廠,受感染企業(yè)包括美國能源公司雪佛龍和俄羅斯民用核能發(fā)電廠�����。 二����、內(nèi)部威脅——別有用心的雇員和承包商 關(guān)于IT網(wǎng)絡(luò)的內(nèi)部威脅��,已有很多評述�����,但工業(yè)網(wǎng)絡(luò)在風(fēng)險上與IT網(wǎng)絡(luò)是相當(dāng)?shù)�。手握ICS網(wǎng)絡(luò)合法訪問權(quán)的����,有雇員��、承包商和第三方集成商���。由于大多數(shù)ICS網(wǎng)絡(luò)沒有任何身份驗證或加密措施來限制用戶活動�����,任何內(nèi)部人士都能在網(wǎng)絡(luò)中任意設(shè)備上自由來去��。包括監(jiān)視與數(shù)據(jù)采集系統(tǒng)(SCADA)和負(fù)責(zé)整個工業(yè)過程生命周期的關(guān)鍵控制器���。 這方面一個著名案例,就是澳大利亞馬盧奇污水處理廠員工反水案�。該員工曾就職于為昆士蘭州馬盧奇郡安裝了SCADA系統(tǒng)的公司。后來他申請該郡市政服務(wù)機構(gòu)的職位未果����,便心懷怨恨,用(可能是偷來的)設(shè)備發(fā)布未授權(quán)指令�����,導(dǎo)致80萬升未經(jīng)處理的污水溢出到當(dāng)?shù)毓珗@、河流���,乃至一家凱悅酒店地板上�。所造成的環(huán)境破壞相當(dāng)廣泛��。 三�����、人為失誤——或許是ICS最大的威脅 人為失誤無可避免���,但卻能導(dǎo)致高昂的代價��。對很多企業(yè)而言,與人為失誤相關(guān)聯(lián)的風(fēng)險��,或許比內(nèi)部威脅更嚴(yán)重���。某些情況下��,人為失誤被認(rèn)為是對ICS系統(tǒng)最大的威脅����。 人為失誤包括不正確的設(shè)置、配置和可編程邏輯控制器(PLC)編程錯誤��,能導(dǎo)致工作流中的危險改變������?杀煌獠繉κ掷玫穆┒矗矔扇藶槭д`導(dǎo)致���。常見人為失誤的例子�,可參考為集成商而設(shè)的臨時連接在項目結(jié)束后還門戶大開的情況�。 有些人為失誤,是員工用“創(chuàng)新性方法”搞定工作時發(fā)生的�。比如員工需要遠(yuǎn)程連接ICS網(wǎng)絡(luò),卻沒有安全信道可用的情況下�,他們會建立一個自己的未授權(quán)遠(yuǎn)程連接。這種未經(jīng)批準(zhǔn)的連接�,可能成為滲漏點,并將工業(yè)網(wǎng)絡(luò)暴露給外部攻擊����。
..
|
