2018年工業控制系統的安全形勢展望

在2018年，在工業領域將延續之前已經開始的互聯互通和數字化轉型，各種相關的舉措會有所增加和加速。

工業4.0或智能工廠將引入新的網絡安全挑戰和安全格局的變化。

我們將考察工業IT和OT安全專業人員明年和未來面臨的威脅。

同時我們也將探討近期和中期未來的工業控制系統（ICS）安全形勢和創新。

趨勢1：勒索軟體將出現在工業組織，並將引起軒然大波

2017年，像WannaCry，NotPetya和最近的壞兔子這樣的全球勒索軟體爆發，造成包括製造和運輸服務在內的所有行業組織的廣泛中斷。

預計這一趨勢將在2018年繼續。

2017年的勒索軟體變體並不是專為工業網絡設計的。

但是，由於這些環境包括許多傳統的基於Windows的系統，沒有正確打補丁或保護，所以很容易被攻破。

因此，重要的是應用適當的補丁和加強安全控制來保護這些系統。

勒索軟體去年對工業組織造成的破壞並沒有直接影響到自動化控制器。

不過，預計一種新的，更具破壞性的勒索軟體將專門針對控制器。

2017年，喬治亞理工學院的研究人員設計了一種稱為LogicLocker的跨廠商勒索軟體蠕蟲，能夠針對在線暴露的PLC。

從概念上證明了專門針對控制器的勒索軟體的可行性。

根據報告：「LogicLocker使用Schneider Modicon M241上的原生套接字API來掃描網絡中的已知易受攻擊目標，即Allen Bradley MicroLogix 1400 PLC和Schneider Modicon M221 PLC，並通過繞過弱身份驗證機制來感染他們，鎖定合法用戶使其無法輕易恢復PLC，並用一個邏輯炸彈代替程序，這個邏輯炸彈開始危險地操作物理輸出，如果運營商沒有及時支付贖金，將遭受到設施永久性的損壞和人員傷害的威脅。

考慮到各個工業組織控制網絡的重要性和價值，我們有理由相信工業控制系統對勒索軟體攻擊者具有相當大的吸引力。

關於勒索軟體攻擊最重要的兩個啟示就是：

1. 對已知漏洞的防範及時對系統相關設備修補十分重要，會大大降低勒索軟體的攻擊範圍；

2. 工業控制系統再也不是勒索軟體的化外之地。

趨勢2：「紅色按鈕」網絡武器是一個真實存在的可能

2018年，需要轉變網絡安全思路，我們可能會發現，最近的許多網絡入侵實際上是國家民族背景，而不單單是個人罪犯或黑客組織。

網絡安全思維將從貪婪或犯罪動機的推測轉變為資源充足，更具持久力，更險惡的動機。

所謂的「紅色按鈕」能力，即對手已經在工業網絡和關鍵基礎設施中立足，並且能夠按下按鈕就關閉電網，供水等重要基礎設施。

儘管全世界的大部分注意力都聚焦在核武器和遠程彈道飛彈上，但是各個國家隱藏在暗處網絡軍隊正悄悄對釋放可能針對具有全球影響的關鍵基礎設施的攻擊。

我們或許可以從烏克蘭電網事件、席捲全球的WannaCry襲擊事件中看到一些端倪。

也許，2018年我們能看到一次「紅色按鈕」事件。

趨勢3：工業物聯網(IIoT)技術的引入沒有充分考慮安全隱患

無論我們是否已經準備好了，在2018年工業物聯網的大規模部署實施已經是勢不可擋，這種趨勢可能使已經脆弱的ICS網絡暴露於以前從未遇到的網絡威脅。

IIoT技術由各種工業供應商設計，對預測性維護-改善供應鏈等方面有提升。

但是，大多數情況下不能提供設備不被被黑客利用所需要的保護。

因此，這些設備可能會使ICS面臨各種各樣的網絡威脅和攻擊企圖。

由於OT環境缺乏可視性和安全控制，因此很難實時檢測這些威脅，甚至發生攻擊。

因此，仔細考慮這些威脅並研究安全控制措施非常重要，這些安全控制措施將有助於防止和檢測這些威脅，從而降低運營流程和關鍵服務的威脅。

趨勢4：標準化的黑客技術使其歸屬的分析更加困難

2018年，更多的攻擊者將採用普通工具，目的是消除他們攻擊的任何跡象顯示。

例如，我們將會看到使用後門功能更少，並且變得更加模塊化，從而產生更少的系統腳印，並且使得辨別其歸屬更加困難。

而且，隨著準確的歸因變得越來越具有挑戰性，這個大門將被打開，以進行更加雄心勃勃的網絡攻擊，並影響來自國家和網絡犯罪分子的活動。

趨勢5：網絡安全保險公司的隱憂

預計我們正處於一場重大的網絡保險失敗的邊緣。

只有一個重大的網絡事件發生，會影響一個或多個公司產生出一個足以讓大型保險公司面臨失敗風險的網絡保險責任。

儘管網絡保險的增長速度很快（2016年增長35％，預計未來五年每年增長20％以上），但公司在評估潛在支出成本方面幾乎沒有經驗，其中一些公司過度投資於這類的政策，因此他們的帳面中風險太大，以至於沒有適當的對沖。

警告已經發出，估計2018年將會發生一件大事，將使這些保險公司面臨破產風險。

接下來我們在看看在2018年有哪些工業控制系統網絡安全積極方面的預測：

趨勢1. OT面臨安全缺口已經被廣泛了解

2017年，很多工業組織實施了ICS安全解決方案，將其與安全信息和身份管理系統（SIEM）以及事件管理系統等現有工具進行了整合。

在2018年，考慮到ICS網絡正在產生越來越多的安全警報，這一趨勢將持續下去，這給IT和行政管理人員提供了亟待解決安全問題的數據基礎。

趨勢2 . 基於ML/AI技術的開始正走向舞台中央

使用科學和大數據分析的綜合評估，基於ML/AI技術的攻擊防護手段可以消除了幫助中心數以萬計的告警派單；在沒有雲連接和每天耗時更新的提下；進行威脅執行前的預測和預防；精簡的方法，刪除多層技術和多餘的事件響應工具；特別是在未知的零日漏洞的異常違規和監測方面，ML/AI技術具有獨到的優勢，進一步地，ML/AL還可以根據現實出險的問題進行自動響應以維持工業控制系統的可用性，其應用前景無可限量。

目前基於ML/AI技術的攻擊防護手段的最大益處是使用最少的系統資源獲得以優異的速度（毫秒）防止攻擊；可以替換無效的傳統防病毒工具（或加強現有的安全性）；最終實現前所未有的高效率。

在2018年以後，當出現問題時，我們很可能會開始看到提供可以自我修復的安全服務。

目前，自我修復是指向用戶提供有關如何修復問題的逐步說明。

未來，如果發現問題，ML/AI軟體將自動完成糾正安全問題的步驟，而不涉及任何人員。

一些技術前沿的安全公司已經投入了大量的技術力量開發基於ML/AI技術的產品，隨著GOOGLE的Cloud AutoML的發布，給沒有機器學習和AI背景的研究人員帶來福音，在不久的將來，也許通過上傳自己的標籤數據，就能得到一個訓練好的機器學習模型。

趨勢3. 安全加密的工業協議的引入

在2018年，可能會看到工業產品供應商推出支持加密和其他嵌入式安全控制的設備。

雖然這是一個積極的趨勢，而且是使ICS和關鍵基礎設施更加安全的關鍵一步，但是在所有遺留技術被取代之前還需要幾十年的時間。

即便如此，沒有一種產品，技術或方法可以完全保護ICS環境。

最好的方法仍然是部署深度防禦戰略，這從關鍵設備（如工業控制器）的整合OT網絡活動監視和完整性驗證開始，以解決所有關鍵設備的內部和外部安全威脅，我們將看到網絡安全方面的進展成為一個電路板級問題，特別是在工業領域。

另外，在企業和消費者領域，加密可能會變得越來越普遍，但量子計算的進步可能開始削弱在國家一級傳統加密方法的有效性。

趨勢4. 安全設計將提升ICS安全水平

大型公司將增加他們的安全要求納入新的自動化設備採購。

例如，要求RTU具有加密的軟體。

網絡安全認證也將迅速增長，主要的自動化供應商將對他們的產品都進行ISA Secure認證測試。

工業控制系統的安全框架在過去的幾年越來越多地被採用，預計2018年這種趨勢作為工業組織尋求最佳方案獲得工業網絡活動的最佳方案將得到延續。

目前全球最重要的ICS網絡安全框架是NIST的網絡安全框架和NERC的重要基礎設施保護（CIP）標準。

結束語

我們生活在一個道高一尺魔高一丈的時代，ICS的網絡安全領域中攻防雙方的優勢此消彼長，隨著技術的發展雙方都會不斷突破，所以安全從業人員任重道遠，在不斷的交手中才能尋找到更有前途的防禦利器。