如何理解工控系統中的安全風險

　　我之所以在文章的開頭提到WannaCry，是因為我打算在這篇文章中跟大家討論ICS網絡目前所面臨的安全風險。值得一提的是，攻擊者如果想要破壞ICS設備的正常運轉，他們根本不需要設計出復雜的攻擊技術來利用工控系統中的0day漏洞，而WannaCry的殺傷力也足以能夠證明這一點了。

　　雖然這個漏洞幾乎所有的Windows操作系統都存在，這一點的確沒錯，但這款惡意軟件也絕對是一流的

　　工控系統的安全風險

　　ICS網絡所面臨的安全風險是一種系統性風險，而這種風險并不是單獨由安全漏洞所決定的。沒錯，漏洞的確是其中的一個主要問題，因為它們代表的是攻擊者可能利用的攻擊途徑。但我們也需要知道，入侵ICS網絡相對來說還是比較容易的，而且近十年來所發生的各種針對ICS設備的黑客攻擊事件也是最好的證明。一旦攻擊者成功入侵了ICS／OT網絡，那對于ICS網絡來說絕對會是一場浩劫。

　　訪問ICS／OT網絡

　　“空氣隔離ICS／OT環境”這種概念早就已經死了，因為出于多種原因，這種網絡與外界的互聯互通越來越多了，而這一事實也就給攻擊者提供了兩條主要的開放攻擊途徑，不過這兩種攻擊方法都需要非常高端和新穎的漏洞利用技術予以配合：

　　1. 通過“某種工具”利用IT網絡的互聯互通性訪問ICS／OT網絡，這里所謂的“某種工具”指的是例如網絡釣魚攻擊和水坑攻擊等技術。

　　2. 直接從外部訪問ICS/OT網絡（通過被入侵的VPN或未監控的遠程訪問）。

　　根據Mandiant提供的調查信息，在北美地區，一般在攻擊者成功入侵了IT網絡之后的第99天（平均值）才有可能被檢測到，而且目標網絡系統中還部署了大量的安全檢測工具。而在ICS／OT網絡中，安全監控系統是一種稀缺資源，當攻擊者入侵了ICS/OT網絡之后，目前幾乎沒有方法能夠檢測到他們的存在。

　　當然了，除了從外部訪問ICS網絡之外，我們也不能夠完全忽略那些來自內部的安全威脅。比如說，有的網絡缺乏對訪問憑證的限制，有的則沒有撤銷舊員工的訪問憑證，而這些都是我們在未來可能會遇到的麻煩。

　　破壞ICS/OT網絡遠比你想象的還要簡單

　　由于ICS/OT網絡在安全監控方面存在明顯的不足之處，那么一旦攻擊者成功入侵了網絡，那么他們就可以有大量時間來了解網絡組件的拓撲結構，并監控和分析網絡中所有的進程。除此之外，ICS網絡中的很多設備都缺乏最基本的安全管理機制。比如說設備A，由于設備A在設計之初的主要功能就是為了優化實時通信的，所以設備A才缺乏適當的身份驗證機制和加密功能，但大家都知道這樣的一臺設備絕對是不安全的。實際上，工控系統中絕大多數的控制器都不具備對信息數據進行加密的能力，而這些設備之所以沒有具備這樣的能力，其實是有各種各樣的原因的，至少我們在15年內都不用去期待這一方面能夠有什么重大轉變了。

　　很多工控系統都會使用PLC（可編程邏輯控制器）來作為工業環境的通信解決方案，但我們要知道的事，攻擊者可以使用合法的命令來與PLC直接進行通信，而這種行為將有可能給ICS帶來不可估量的嚴重后果。對于攻擊者來說，一旦成功進入了目標ICS網絡，那么開啟或關閉一個進程就像是使用一款標準工程工具一樣簡單，而攻擊者所使用的合法命令更加不會被ICS／OT網絡標記為可疑行為。不僅如此，攻擊者還可以輕而易舉地修改PLC上加載的程序，甚至運行一個新的程序都是有可能的。PLC可不會要求操作人員進行身份驗證，而且就算是控制器具有身份驗證能力，但這些功能也有可能已經被禁用了。

　　所以，無論PLC是否存在漏洞，攻擊者都可以利用PLC黑進ICS網絡之中。因此，我們在檢查ICS組件的安全性時一定要保持耐心，并且盡可能利用現存的資源和系統功能來改變ICS網絡目前所處的安全困境。

　　現在的情況意味著什么？

　　ICS/OT網絡是一種高風險資產，因此我們必須要找到一種方法來更好地監控與ICS網絡有關的各種活動。就目前的情況來看，?擊者不僅可以給ICS設備帶來嚴重的安全問題，而且還可以竊取公司寶貴的知識產權。除此之外，有的攻擊者甚至還會以ICS網絡為籌碼進行勒索活動，或者將ICS作為切入點來入侵企業的IT網絡環境。我們不可能一夜之間就解決這些網絡所面臨的系統性風險，而且在可預見的未來我們很可能也無法很好地解決這些問題。因此，我們現在就要馬上行動，我們沒有時間像以前一樣按部就班地進行研究和審查了，我們必須以全新的角度和思想來制定并執行嚴格的安全策略，并將ICS／OT網絡的安全等級提升到一個新的層次。