工控系统身陷的五大危机

当前针对工业自动化控制系统（简称工控系统）的攻击正逐步增加，有数据显示在2018年上半年里41.2%的系统至少遭受过一次攻击，高于2017年上半年的36.6%。在笔者看来，目前全球工控系统均身受五大危机的漩涡影响，急需提高警惕。

以工控系统为代表的关键基础设施，是确保工业体系正常运转的神经中枢，也是工业领域各生产线稳定运行的根本。可以说，工控安全事关国计民生，一旦遭受恶意攻击、破坏导致功能丧失或数据泄漏，就会严重威胁工业生产有序开展，甚至威胁到公共利益与国家安全。

事实上，各国工控系统普遍面临着严峻挑战。比如2010年7月攻击伊朗核能设施的震网（Stuxnet）病毒，让数千台离心机超载，造成物理性破坏。2015年12月乌克兰三家电力配送公司遭受网络攻击，225000户民宅在寒冷冬季无电可用，所幸停电只持续了几个小时。2018年4月2日，美国能源公司的天然气管道用户交易系统遭受网络攻击，导致这个系统短暂关闭了几个小时，所幸天然气流量供应是正常的。而更多的攻击仍在全球各地不断上演着。

伴随高危安全漏洞不断涌现，网络攻击难度逐渐降低，资产价值高和信息化程度高的工控领域成为恶意软件、网络犯罪、网络间接攻击的主要目标。那么当前的工控系统又面临了哪些危机呢？

危机一，工控攻击通常并不复杂却有效。

与人们想象的高难度攻击不同，一些针对工控系统发起的攻击实际上并不复杂。攻击者仅仅使用PDF文档进行鱼叉式网络钓鱼，或使用木马安装程序进行恶意软件的安装，甚至会提前在一些特定网站设置水坑攻击。但攻击危害性却是影响广泛的。例如2018年上半年被发现的“能量熊”攻击，虽然其瞄准的是美国和欧洲，但该攻击却影响到各类网站、设备制造商、基础设施公司以及政府机构。

为此，工业企业需要提升员工对网络威胁的认识，从网络边界访问和流量控制开始，跟上现代网络安全防护措施，通过删除和阻止不必要的操作来强化工控系统的终端安全。

危机二，与互联网连接的工控系统危机最大。

据调查，引发工控系统安全威胁的主要攻击渠道为互联网、可移动存储介质和邮件客户端，而恶意软件入侵则是最主要的攻击类型。统计显示，2018年上半年，超过27%的攻击来自互联网资源，而2017年同期的攻击中有20.6%来自互联网。

上述结果显然与工控网络被隔离的传统观点相反，在过去几年中，互联网已经成为感染各个工业网络上计算机的主要来源。安全厂商发现，虽然经常遇到通过可移动设备和网络钓鱼电子邮件的攻击，但大多数攻击都从互联网扫描开始，找寻易受攻击的网络，进而建立滩头阵地。

危机三，工控攻击者乐于攻击某些特定地区。

从以往攻击态势来看，工控攻击者更具有目的性，甚至常常和政治经济等背景因素纠缠在一起，所以往往会表现专注于攻击某些特定地区的情况。比如，与北美、西欧和澳大利亚公司相比，亚洲、非洲和拉丁美洲国家的企业遭受攻击的比例要更高。

其中，可移动存储介质仍是重要的安全威胁。与俄罗斯、欧洲和北美相比，亚洲国家、拉丁美洲和中东地区都显示出可移动存储介质感染率更高的迹象。与此同时，虽然通过电子邮件攻击经常是有效的，但并不常见，可能针对此种攻击的防护逐步增强有关。

危机四，工控攻击也乐于从人下手。

对于工控系统来说，人依旧是最大的安全隐患。系统管理员、系统供应商和第三方运维服务人员使用的设备，在开启远程访问或远程运维服务过程中极易被暴露，从而变为遭受网络攻击的跳板。因此，工控攻击者也更乐于从拥有外部远程访问权限的管理员下手，网络钓鱼攻击也通常瞄准那些特权用户。当然这样的攻击更难以计划和执行，但一旦成功其后果、影响也会是惊人的。

危机五，一些管理者盲目认为工控系统更安全。

据安全厂商调查发现，一些企业高管在对工控系统的安全认知上存在盲目性。在2018年SANS工业物联网安全调查报告中指出，近四分之三的公司对其维护自家的工业物联网安全能力充满了信心。然而，与公司运维部门相比，公司领导层和部门经理对其安全性更持乐观态度。

显然，对此现象工控企业需要提高内部安全问题的透明度，培训员工展开安全运营，并更好地划分网络，从而阻止攻击者在建立滩头阵地后再横向移动的能力。

自从“中国制造2025”发展大计被提出后，我国就开始由“制造大国”向实现“制造强国”一步步前进。为了向全球工业4.0看齐，为了工业发展不受制于人，从传统IT系统延伸出的工控系统，在安全防护上的重要性也日益凸显。然而面对我国在核心芯片、计算软件、关键器件与系统，网络空间安全发展方面上仍有诸多不足，对于解决工控系统所面临的信息安全自然刻不容缓，而究竟如何摆脱上述五大危机，强化工业关键基础设施的保护工作，显然已成为一项重大课题，需被多多关注了。