前言

遭受網(wǎng)絡(luò)攻擊的制造型企業(yè)往往涉及巨額贖金，以及隨之而來(lái)的產(chǎn)線停產(chǎn)和監(jiān)管審查，以下是近幾年發(fā)生的制造業(yè)網(wǎng)絡(luò)攻擊事件，每家企業(yè)都被勒索上百萬(wàn)美元：

● 2020年，Campari Group，被要求支付1500萬(wàn)美元贖金

● 2021年，JBS食品公司，被要求支付1100萬(wàn)美元贖金

● 2020年，Harvest Food Distributors，被要求支付750萬(wàn)美元贖金

● 2021年，NEW Cooperative 公司，被要求支付590萬(wàn)美元贖金

● 2021年，Schreiber Foods，被要求支付250萬(wàn)美元贖金

而上述的例子僅僅是公開(kāi)披露的冰山一角，根據(jù)第三方統(tǒng)計(jì)數(shù)據(jù)，從2018年到2023年的5年時(shí)間內(nèi)，僅食品/飲料行業(yè)一共有157家公司遭受勒索軟件攻擊，造成了13.6億美元的經(jīng)濟(jì)損失。

另一個(gè)更為嚴(yán)重的問(wèn)題是：勒索軟件雖臭名昭著，但它只影響安裝Windows/Linux系統(tǒng)的IT類(lèi)主機(jī)，且防范方法日漸成熟。而針對(duì)產(chǎn)線工業(yè)控制系統(tǒng)的攻擊與勒索軟件相比，不僅少為人知，且其危害性有過(guò)之而無(wú)不及。

此外，從IT系統(tǒng)發(fā)起的勒索軟件攻擊會(huì)打開(kāi)訪問(wèn)工業(yè)控制設(shè)備的大門(mén)，更槽糕的是，老舊的、未受保護(hù)的PLC、SCADA和工業(yè)PC很容易成為攻擊目標(biāo)，導(dǎo)致產(chǎn)線設(shè)備完全癱瘓，進(jìn)而影響企業(yè)效益。

工業(yè)控制系統(tǒng)是最佳的攻擊目標(biāo)

CISA(美國(guó)信息安全和基礎(chǔ)設(shè)施安全局)在近期檢測(cè)到伊朗針對(duì)美國(guó)供水和污水處理設(shè)施的攻擊，主要目標(biāo)為Unitronics PLC，就此問(wèn)題，2023年11月28日CISA發(fā)布了一系列加固指南，其中包括：

● 更改Unitronics PLC的默認(rèn)密碼(默認(rèn)是1111)

● 在遠(yuǎn)程訪問(wèn)產(chǎn)線網(wǎng)絡(luò)時(shí)使用多因素驗(yàn)證技術(shù)

● 斷開(kāi)PLC和互聯(lián)網(wǎng)的直接或間接連接

Tenable負(fù)責(zé)OT安全的首席技術(shù)顧問(wèn)Marty Edwards說(shuō)：“攻擊PLC和類(lèi)似的工控系統(tǒng)的事件會(huì)越來(lái)越常見(jiàn)，其危害性將遠(yuǎn)大于勒索病毒”。以水處理設(shè)施為例，可編程邏輯控制器(PLC)是執(zhí)行所有任務(wù)的大腦，黑客如果獲得了PLC的控制權(quán)限，他們就可以打開(kāi)或關(guān)閉電機(jī)和水泵，操縱化學(xué)品的投放，寫(xiě)入軟件程序邏輯炸彈，從而造成供水中斷。

PLC或其他工控系統(tǒng)面臨的問(wèn)題

德國(guó)著名工業(yè)控制系統(tǒng)廠商Festo的信息安全專(zhuān)家Thomas Ruschival指出了PLC的幾項(xiàng)安全隱患：

● PLC在部署時(shí)僅考慮了物理安全(鎖在電柜內(nèi))，但從未考慮網(wǎng)絡(luò)層面的安全

● 很多PLC都有默認(rèn)密碼，而車(chē)間工程師通常共享一個(gè)用戶(hù)賬戶(hù)(admin賬戶(hù))

● 在PLC較長(zhǎng)的壽命中，固件更新往往不做更新，暴露很多安全漏洞

● 缺少對(duì)PLC邏輯控制代碼變更的審核

這些安全隱患的存在是因?yàn)镻LC在設(shè)計(jì)之初從未將信息安全作為考慮的范圍，具備PLC編程知識(shí)和程序軟件的任何人都可以對(duì)其執(zhí)行程序的上傳、下載、刪除、修改等操作。雖然產(chǎn)線網(wǎng)絡(luò)環(huán)境通常采取物理隔離網(wǎng)絡(luò)，但隨著工業(yè)4.0時(shí)代的到來(lái)，工業(yè)設(shè)備的互聯(lián)互通越來(lái)越多，幾乎沒(méi)有一個(gè)網(wǎng)絡(luò)是真正的物理隔離了，PLC更是無(wú)法獨(dú)善其身，它的各種信息安全問(wèn)題也被逐漸暴露出來(lái)。

修復(fù)關(guān)鍵的產(chǎn)線信息安全問(wèn)題

對(duì)于如何解決PLC的一系列安全問(wèn)題，IEC 62443也許可以作為不錯(cuò)的參考，該標(biāo)準(zhǔn)為工控產(chǎn)品制造商、設(shè)計(jì)人員和最終用戶(hù)提供了明確的信息安全指導(dǎo)和標(biāo)準(zhǔn)實(shí)踐，用戶(hù)應(yīng)該購(gòu)買(mǎi)經(jīng)過(guò)IEC 62443認(rèn)證的工控產(chǎn)品，也可以對(duì)當(dāng)前的生產(chǎn)設(shè)施進(jìn)行認(rèn)證。

什么是IEC 62443?

ISA/IEC 62443系列 標(biāo)準(zhǔn)規(guī)定了實(shí)施和維護(hù)工業(yè)自動(dòng)化和控制系統(tǒng)信息安全的要求和流程。為工業(yè)信息安全設(shè)定了最佳實(shí)踐，并提供了評(píng)估安全性能水平的方法，它是應(yīng)對(duì)工業(yè)網(wǎng)絡(luò)安全挑戰(zhàn)的整體方法，彌合了OT和IT之間信息安全建設(shè)的差距。同時(shí)，它為所有行業(yè)都設(shè)定了安全基線，包括智能樓宇、發(fā)電行業(yè)、醫(yī)療設(shè)備、運(yùn)輸、石油化工等。

參考IEC 62443，用戶(hù)在選擇PLC廠商時(shí)，可以從以下幾個(gè)方面考量產(chǎn)品的安全性：

● 是否將安全性作為PLC的標(biāo)準(zhǔn)設(shè)計(jì)，例如安全啟動(dòng)程序、加密、網(wǎng)絡(luò)訪問(wèn)規(guī)則

● 是否提供官方安全公告和漏洞補(bǔ)丁，是否提供定期的補(bǔ)丁更新

● 是否采用先進(jìn)的身份驗(yàn)證方式(如多因子驗(yàn)證和RBAC)

● 是否有網(wǎng)絡(luò)通訊安全措施

是否提供PLC安全操作的教育和培訓(xùn)除此之外，對(duì)于已經(jīng)部署的PLC設(shè)備，用戶(hù)可以選擇安全可視化監(jiān)控和審計(jì)方案對(duì)PLC進(jìn)行持續(xù)的風(fēng)險(xiǎn)感知。

信息安全不是一蹴而就的工作，需要實(shí)施必要的解決方案并配合最佳的安全實(shí)踐，正如Tenable負(fù)責(zé)OT安全的首席技術(shù)顧問(wèn)Marty Edwards所說(shuō)：“關(guān)鍵基礎(chǔ)設(shè)施和制造業(yè)必須建立分層防御，遵循基本的安全實(shí)踐，比如資產(chǎn)清單、漏洞評(píng)估，定期更改OT/IoT設(shè)備上的默認(rèn)密碼，還需要關(guān)注暴露在互聯(lián)網(wǎng)的工業(yè)控制系統(tǒng)，因?yàn)槿藗優(yōu)榱吮阌谶h(yuǎn)程操作或遠(yuǎn)程維護(hù)，會(huì)無(wú)意將設(shè)備暴露到了互聯(lián)網(wǎng)，但往往沒(méi)有充分評(píng)估這種行為的風(fēng)險(xiǎn)，企業(yè)應(yīng)該采用外部攻擊面管理(EASM)工具來(lái)識(shí)別此類(lèi)資產(chǎn)。”

IDC制造業(yè)市場(chǎng)調(diào)研報(bào)告

全球知名市場(chǎng)調(diào)研公司IDC聯(lián)合tenable中國(guó)團(tuán)隊(duì)近期發(fā)布了有關(guān)OT安全的Snapshot，詳細(xì)闡述了"如何應(yīng)對(duì)制造業(yè) OT 安全風(fēng)險(xiǎn)，構(gòu)筑可視化 IT/OT 融合安全環(huán)境"。

隨著數(shù)字技術(shù)的發(fā)展，運(yùn)營(yíng)技術(shù)(OT)與信息技術(shù)(IT)加速融合，制造企業(yè)邁向工業(yè)互聯(lián)化。在此大勢(shì)下，工業(yè)控制技術(shù)發(fā)展進(jìn)入“強(qiáng)化發(fā)展期”，工業(yè)互聯(lián)網(wǎng)觸點(diǎn)逐步下沉，助力企業(yè)全面互聯(lián)提速。

“工業(yè)互聯(lián)網(wǎng)”已逐步成為汽車(chē)制造、制藥、電力、醫(yī)藥及食品、石油化工等重制造行業(yè)的生產(chǎn)運(yùn)營(yíng)中樞。平臺(tái)與諸多工業(yè)控制設(shè)備相連接，導(dǎo)致企業(yè)安全的邊界也隨之?dāng)U大。脆弱的工業(yè)控制安全環(huán)境成為制約企業(yè)整體安全的最大挑戰(zhàn)，“使企業(yè)在安全可視的環(huán)境下生產(chǎn)”已成為企業(yè)的數(shù)字化要?jiǎng)?wù)。

IDC 預(yù)測(cè)，到 2026 年，全球工業(yè)安全市場(chǎng)規(guī)模將達(dá)到 67.6 億美元，五年復(fù)合增長(zhǎng)率高達(dá) 28.4%。

IDC 認(rèn)為，當(dāng)前影響制造企業(yè)OT 安全的三大挑戰(zhàn)分別是：

● 外部攻擊：外部攻擊的持續(xù)發(fā)生對(duì)企業(yè)機(jī)密數(shù)據(jù)保護(hù)構(gòu)成挑戰(zhàn)制造企業(yè)的生產(chǎn)與辦公網(wǎng)絡(luò)往往是分離的，然而生產(chǎn)卻難逃影響;甚至多數(shù)企業(yè)反映，優(yōu)先受到攻擊的是OT 端，而非 IT 端;隨著攻擊手段的增強(qiáng)，網(wǎng)絡(luò)威脅態(tài)勢(shì)不容樂(lè)觀，面對(duì)勒索軟件攻擊，企業(yè)迫切需要加強(qiáng)網(wǎng)絡(luò)與 OT 安全舉措。

● 內(nèi)部病毒：內(nèi)部病毒的橫向傳播和維護(hù)的缺乏對(duì)工業(yè)控制系統(tǒng)構(gòu)成挑戰(zhàn)企業(yè)的舊系統(tǒng)更易受到“已知 - 未知”漏洞影響;弱密碼與訪問(wèn)控制不足將加大未授權(quán)訪問(wèn)對(duì)關(guān)鍵 OT 系統(tǒng)的影響;日志記錄和監(jiān)視功能不足，使得及時(shí)檢測(cè)和異常響應(yīng)變得困難;IT 和 OT 網(wǎng)絡(luò)間的安全分段不足，會(huì)增加攻擊者橫向遷移的風(fēng)險(xiǎn);第三方供應(yīng)商系統(tǒng)不夠安全，將導(dǎo)致正常的商業(yè)互訪變成安全事件。

● 人為操作：在多樣化的工控環(huán)境下，人為操作風(fēng)險(xiǎn)放大 OT 安全挑戰(zhàn)心懷不滿的員工可能成為風(fēng)險(xiǎn)的主要來(lái)源，并造成有意或無(wú)意的損害;人為操作錯(cuò)誤(如配置錯(cuò)誤、密碼設(shè)定不當(dāng)、沒(méi)有更新補(bǔ)丁、沒(méi)有報(bào)告高風(fēng)險(xiǎn)事件)的發(fā)生將會(huì)導(dǎo)致計(jì)劃外停機(jī)、系統(tǒng)中斷和其他不良后果;員工權(quán)限變化將導(dǎo)致未經(jīng)授權(quán)的訪問(wèn)，或?yàn)閻阂饣顒?dòng)“留后門(mén)”;OT 和 IT 團(tuán)隊(duì)之間的溝通不暢可能滋生誤解，進(jìn)而導(dǎo)致安全措施難落實(shí)。

制造業(yè) OT 安全亟需解決的問(wèn)題：看不見(jiàn)的 OT 風(fēng)險(xiǎn)許多領(lǐng)先制造企業(yè)已經(jīng)關(guān)注到 OT 安全的重要性，并采取了一定措施降低自身 OT 安全風(fēng)險(xiǎn)。但，根據(jù)IDC 一項(xiàng)調(diào)研結(jié)果顯示，“缺乏資產(chǎn)可視化”是頭部制造企業(yè)最擔(dān)心的 OT 安全問(wèn)題。這意味著，企業(yè)的OT 安全策略仍有較大的優(yōu)化空間。

IDC有關(guān)制造業(yè)OT安全最佳實(shí)踐

IDC建議，實(shí)施 OT 安全可視化，打造涵蓋事前暴露管理、事中防御、事后響應(yīng)處理的安全閉環(huán)，要形成以“主動(dòng)風(fēng)險(xiǎn)管理”為核心的風(fēng)險(xiǎn)控制理念，應(yīng)在以下五個(gè)方面重點(diǎn)投入：

原文來(lái)源：Tenable安全