安點科技工控信息安全三部曲 防護/監控/審計

「敵人正變得的越來越聰明，更有效率，因此更成功的穿透了我們的工業網絡"，最近BoozAllen調查報告印證了這一事實。

該公司調查了314個散布在全球各地的工業控制系統，其中34%在本年度遭受了兩次以上攻擊，有過部門接報達到歷史峰值。

工業企業如今面臨的威脅環境比以往更加惡劣，網絡攻擊的數量，類型和嚴重程度都在急劇增加。

這很可能給工業企業造成混亂，在某些情況下還會對設備造成永久損害。

做好工業控制網絡安全防護並非一個簡單的任務，很多工業控制設備是在網絡威脅出現之前生產的，並未設置有效的內置安全防護。

我們希望大家可以通過本文了解工控安全事件的大致成因，再依據企業的實際情況，有針對性的加強工業控制系統信息安全。

外部威脅——APTS及其他有針對性的攻擊

外部攻擊工業控制網絡可以分為多種類型。

攻擊可能來源於某個別有用心的敵人（如某個國家，恐怖組織或者黑客團體），也可能是工業間諜活動中的一部分。

這些攻擊的目的也由於攻擊者的動機不同而有所差異。

攻擊的目的可能是中斷生產，造成設備損壞，而工業間諜更關心的是竊取智慧財產權。

如今，尤其是那些涉及關鍵基礎設施的工業企業越來越容易遭受外部攻擊，這類攻擊破壞力極強也具有很高的事件影響力，

某些工業企業可能不涉及關鍵基礎設施，但絕不可對APTS攻擊和其他針對性攻擊掉以輕心，因為攻擊往往會帶來連帶傷害。

舉個例子，用於打擊伊朗核工業的著名病毒Stuxnet已經在美國的Chevron核電站和俄羅斯的Civilian核電站中被發現。

內部威脅-雇員承包商的惡意行為

很多人早已談論IT信息網絡中的內部威脅，實際上，工業控制網絡面臨著同樣的危險。

內部人員包括雇員、承包商、第三方供應商等等，由於很多工業控制網絡缺乏足夠的身份認證機制，這導致這些內部人員可以不受約束的訪問工業控制系統中的設備，包括SCADA系統程序和負責整個工藝流程的關鍵控制器。

舉個例子——Maroochy水廠前雇員事件，該雇員曾經為該公司安裝SCADA系統，因對理事會不滿致使800000升污水未經處理流入大自然，造成了嚴重的自然和社會危害。

人為錯誤

人為錯誤-可能是集成電路面臨的最大威脅，人為錯誤是難以避免的，同時這可能導致企業付出昂貴的代價。

在許多企業中，人為錯誤形成的風險比內部威脅更為嚴重。

甚至在某些情況下，人為錯誤可以被視作工控系統最大的威脅。

人為錯誤包括錯誤的設置配置工控設備以及PLC編程錯誤等等，這些錯誤可能造成生產過程出現危險性的變化。

同時人為錯誤也可能被外部敵人所利用，最典型的例子是在某個項目（如遠程維護）結束後保留開放的臨時性連接。

一些人為錯誤發生在員工自以為是的「創造性措施」之下，例如員工遠程連接工控設備而不採取安全訪問，自己進行不合規訪問，這些不合規操作使得整個工控系統暴露在外部攻擊之下。

安全挑戰

無論對於外部威脅或內部威脅，做好工業控制網絡的防護都是一個重大的挑戰。

對於許多企業說缺乏身份認證和授權機制，同時也缺乏專業的安全防護設備應對威脅。

此外，審計和審計日誌的不健全也給日後的追責調查創造了難度。

所以當攻擊事件發生系統癱瘓之時，很難斷定事故的成因是來源於外部攻擊或是內部（內部威脅/人為錯誤/或是單純的機器故障），這將大大阻礙運營人員的事件響應能力，阻礙了生產恢復並造成極大成本浪費。

保護工控網絡

在做好防護措施隔離的情況下（如內外網分離/內部區域隔離），實時可見是進一步提升工控網絡安全性的關鍵，為了防止上述威脅的發生，工業企業必須監視所有的員工活動和設備運行情況，並對不合規的行為及時制止。

好消息是，隨著科技的發展，監控設備已經可以做到從設備（主機）點到全局資產連結的全面監控，及時發現設備資產的可疑行為和不合規連接的發生，而更全面的審計技術也將給事後追責提供可靠的依據。

關於安點科技

北京安點科技有限責任公司是一家專業從事工業控制網絡安全威脅識別技術研究的高科技企業。

目前，公司研究技術包括工業網絡微隔離技術、工業網絡威脅可視化技術、可信識別與控制技術、柔性網絡安全框架技術，提供網絡威脅感知與審計系統、微隔離系統、主機免疫系統、工業數據採集與分析系統等產品及解決方案。