如何理解工控系统中的安全威胁

ICS网络所面临的安全风险是一种系统性风险，而这种风险并不是单独由安全漏洞所决定的。没错，漏洞的确是其中的一个主要问题，因为它们代表的是攻击者可能利用的攻击途径。但我们也需要知道，入侵ICS网络相对来说还是比较容易的，而且近十年来所发生的各种针对ICS设备的黑客攻击事件也是最好的证明。一旦攻击者成功入侵了ICS／OT网络，那对于ICS网络来说绝对会是一场浩劫。

由于ICS/OT网络在安全监控方面存在明显的不足之处，那么一旦攻击者成功入侵了网络，那么他们就可以有大量时间来了解网络组件的拓扑结构，并监控和分析网络中所有的进程。除此之外，ICS网络中的很多设备都缺乏最基本的安全管理机制。

比如说设备A，由于设备A在设计之初的主要功能就是为了优化实时通信的，所以设备A才缺乏适当的身份验证机制和加密功能，但大家都知道这样的一台设备绝对是不安全的。实际上，工控系统中绝大多数的控制器都不具备对信息数据进行加密的能力，而这些设备之所以没有具备这样的能力，其实是有各种各样的原因的，至少我们在15年内都不用去期待这一方面能够有什么重大转变了。

“空气隔离ICS／OT环境”这种概念早就已经死了，因为出于多种原因，这种网络与外界的互联互通越来越多了，而这一事实也就给攻击者提供了两条主要的开放攻击途径，不过这两种攻击方法都需要非常高端和新颖的漏洞利用技术予以配合：

1. 通过“某种工具”利用IT网络的互联互通性访问ICS／OT网络，这里所谓的“某种工具”指的是例如网络钓鱼攻击和水坑攻击等技术。

2. 直接从外部访问ICS/OT网络（通过被入侵的VPN或未监控的远程访问）。

根据Mandiant提供的调查信息，在北美地区，一般在攻击者成功入侵了IT网络之后的第99天（平均值）才有可能被检测到，而且目标网络系统中还部署了大量的安全检测工具。而在ICS／OT网络中，安全监控系统是一种稀缺资源，当攻击者入侵了ICS/OT网络之后，目前几乎没有方法能够检测到他们的存在。

当然了，除了从外部访问ICS网络之外，我们也不能够完全忽略那些来自内部的安全威胁。比如说，有的网络缺乏对访问凭证的限制，有的则没有撤销旧员工的访问凭证，而这些都是我们在未来可能会遇到的麻烦。

很多工控系统都会使用PLC（可编程逻辑控制器）来作为工业环境的通信解决方案，但我们要知道的事，攻击者可以使用合法的命令来与PLC直接进行通信，而这种行为将有可能给ICS带来不可估量的严重后果。对于攻击者来说，一旦成功进入了目标ICS网络，那么开启或关闭一个进程就像是使用一款标准工程工具一样简单，而攻击者所使用的合法命令更加不会被ICS／OT网络标记为可疑行为。

不仅如此，攻击者还可以轻而易举地修改PLC上加载的程序，甚至运行一个新的程序都是有可能的。PLC可不会要求操作人员进行身份验证，而且就算是控制器具有身份验证能力，但这些功能也有可能已经被禁用了。

所以，无论PLC是否存在漏洞，攻击者都可以利用PLC黑进ICS网络之中。因此，我们在检查ICS组件的安全性时一定要保持耐心，并且尽可能利用现存的资源和系统功能来改变ICS网络目前所处的安全困境。

ICS/OT网络是一种高风险资产，因此我们必须要找到一种方法来更好地监控与ICS网络有关的各种活动。就目前的情况来看，攻击者不仅可以给ICS设备带来严重的安全问题，而且还可以窃取公司宝贵的知识产权。除此之外，有的攻击者甚至还会以ICS网络为筹码进行勒索活动，或者将ICS作为切入点来入侵企业的IT网络环境。我们不可能一夜之间就解决这些网络所面临的系统性风险，而且在可预见的未来我们很可能也无法很好地解决这些问题。因此，我们现在就要马上行动，我们没有时间像以前一样按部就班地进行研究和审查了，我们必须以全新的角度和思想来制定并执行严格的安全策略，并将ICS／OT网络的安全等级提升到一个新的层次。