工業(yè)控制系統(tǒng)安全防護面臨的幾大挑戰(zhàn)均涉及將老舊運營技術(shù)與現(xiàn)代IT系統(tǒng)相集成。

受運營技術(shù)(OT)與物聯(lián)網(wǎng)安全提供商Nozomi Networks贊助，網(wǎng)絡(luò)安全機構(gòu)SANS研究所進行的一項研究揭示，今年全球受訪公司遭遇的所有OT與工業(yè)控制系統(tǒng)(ICS)安全事件中，有35%是以工程工作站入侵作為初始攻擊途徑的。

盡管在過去12個月里經(jīng)歷過OT/ICS安全事件的受訪者人數(shù)占比下降到了10.5%(2021年為15%)，但有三分之一的受訪者表示自己不清楚公司的系統(tǒng)有沒有遭遇入侵。

2022年SANS ICS/OT調(diào)研收到了332份回復，受訪公司所屬領(lǐng)域橫跨能源、化工、關(guān)鍵制造、核、用水管理等行業(yè)。

控制系統(tǒng)安全面臨的挑戰(zhàn)

調(diào)查發(fā)現(xiàn)，保護ICS/OT技術(shù)與過程所面臨的一些重大挑戰(zhàn)包括：將老舊OT與現(xiàn)代IT系統(tǒng)相集成;傳統(tǒng)IT安全技術(shù)不適用于控制系統(tǒng)且會造成OT中斷;IT員工不了解OT運營需求;沒有足夠的人手來實施現(xiàn)有的安全計劃。

受訪者認為，商務(wù)服務(wù)、醫(yī)療與公共健康，以及商業(yè)設(shè)施這三個行業(yè)，今年最有可能被攻擊者成功入侵ICS，影響運營安全與可靠性。

被問及哪些ICS組件若遭入侵會造成最大影響時，大多數(shù)受訪者(51%)提到了工程工作站、儀器筆記本和矯正及測試設(shè)備。多數(shù)受訪者(51%)還表示，工程工作站、筆記本和測試設(shè)備是遭入侵風險最大的幾類系統(tǒng)組件。

研究指出，工程工作站包括用于設(shè)施中設(shè)備維護的移動筆記本電腦，其上裝有控制系統(tǒng)軟件，可以編程或修改邏輯控制器和其他現(xiàn)場設(shè)備設(shè)置或配置。不同于傳統(tǒng)IT，ICS/OT系統(tǒng)監(jiān)測并管理的數(shù)據(jù)能夠通過物理輸入和受控物理操作引發(fā)現(xiàn)實世界的實時變化。

IT系統(tǒng)是OT/ICS主要攻擊途徑

盡管過去一年中工程工作站攻擊數(shù)量翻了一倍，但此類攻擊僅在OT/ICS初始攻擊途徑排行榜上列第三位。OT/ICS的主要攻擊途徑涉及IT，41%的受訪公司稱IT安全事件是其OT/ICS系統(tǒng)最終遭入侵的罪魁禍首。

第二大攻擊途徑是可移動媒體，比如USB和移動硬盤。為防御此類威脅，83%的受訪公司設(shè)置了正式策略來管理臨時設(shè)備，76%的受訪公司采用威脅檢測技術(shù)管理這些設(shè)備。此外，70%的受訪公司使用商業(yè)威脅檢測工具，49%使用自己開發(fā)的解決方案，23%部署專用威脅檢測來管理這一風險。

報告中寫道：“盡管工程系統(tǒng)未配備傳統(tǒng)反惡意軟件代理，但可通過基于網(wǎng)絡(luò)的ICS感知檢測系統(tǒng)和基于工業(yè)的網(wǎng)絡(luò)架構(gòu)實踐對其加以保護。此外，作為現(xiàn)場設(shè)備持續(xù)工程維護的一部分，日志捕獲或日志轉(zhuǎn)發(fā)，以及定期的控制器配置驗證，都是開始保護此類資產(chǎn)的可行方法?！?/span>

報告揭示，ICS安全正邁向成熟?！耙荒陙?，ICS威脅情報市場取得了長足進步。越來越多的設(shè)施開始使用供應商提供的威脅情報，從而采取更即時、更可行的防御措施。不同于2021年的大多數(shù)受訪公司，2022年的受訪公司不再僅僅依賴公開可用的威脅情報?！盌ean Parsons在報告中寫道，“這標志著ICS供應商特定威脅情報愈趨成熟，其價值越來越為人所知，也標志著將會分配預算改善該領(lǐng)域的主動防御?！?/span>

工業(yè)系統(tǒng)有了自己的安全預算

報告稱，越來越多的公司會分配ICS特定的安全預算，2022年僅有8%的設(shè)施缺乏此類預算。27%的公司這方面預算在100000美元到499999美元之間，25%的公司預算分配范圍在500000美元到999999美元之間。

未來18個月，公司會將這些預算分配給各個計劃;增加對網(wǎng)絡(luò)資產(chǎn)及其配置的可見性(42%)，實現(xiàn)基于網(wǎng)絡(luò)的異常與入侵檢測工具(34%)。此外，還有一個重點是控制系統(tǒng)網(wǎng)絡(luò)上基于網(wǎng)絡(luò)的入侵預防工具(26%)。

近80%的受訪公司表示目前設(shè)置有重在ICS運營的職位，而2021年設(shè)置有此類特定職位的公司僅約50%。然而，受訪公司表示，盡管各個領(lǐng)域在安全事件中有不同的任務(wù)、所需技能和影響，其職責卻仍然趨同。

近60%的受訪公司使用被動監(jiān)測，主要采用網(wǎng)絡(luò)嗅探器來檢測硬件和軟件漏洞。第二常用的方法是持續(xù)主動漏洞掃描。

第三常用的方法則是對照已知良好邏輯版本比較配置和控制邏輯程序。

來源：數(shù)世咨詢