鑒于工業(yè)控制系統(ICS)的重要性，我們必須了解ICS領(lǐng)域的主要趨勢，從業(yè)務(wù)和威脅的角度理解這些趨勢。

業(yè)務(wù)角度

2018年6月，卡巴斯基實(shí)驗室發(fā)布了第二份年度報告《2018工業(yè)網(wǎng)絡(luò )安全狀態(tài)》，一份基于對全球320位ICS網(wǎng)絡(luò )安全決策者的調查訪(fǎng)問(wèn)分析了工業(yè)網(wǎng)絡(luò )安全現狀的調查。

該報告揭示了ICS網(wǎng)絡(luò )安全的一些有趣事實(shí)，反映出ICS公司是如何看待這一關(guān)鍵領(lǐng)域的。

ICS網(wǎng)絡(luò )安全很重要，但…

主要發(fā)現之一：盡管3/4的受訪(fǎng)公司都聲稱(chēng)ICS網(wǎng)絡(luò )安全非常重要，但他們往往并未執行相關(guān)的安全措施。

比如說(shuō)，超過(guò)3/4的受訪(fǎng)公司企業(yè)認為自己很有可能或至少有可能成為ICS網(wǎng)絡(luò )攻擊的目標，但僅有23%的公司符合行業(yè)或政府關(guān)于ICS網(wǎng)絡(luò )安全的最低監管要求。

盡管超過(guò)半數(51%)的公司稱(chēng)自己在過(guò)去一年中未遭受過(guò)任何數據泄露或安全事件，問(wèn)題的關(guān)鍵在于他們是否意識到遭遇了攻擊。很多公司根本不檢測或跟蹤攻擊。10%的受訪(fǎng)者至今沒(méi)有計量自身遭受過(guò)的事件和數據泄露的數量。

而且，因為受訪(fǎng)公司才剛剛開(kāi)始數字轉型過(guò)程，他們的攻擊界面必然會(huì )隨其數字化程度的加深而擴大。

問(wèn)題與挑戰

公司企業(yè)對潛在網(wǎng)絡(luò )攻擊最大的顧慮是產(chǎn)品及服務(wù)受損和人員傷亡。大多數公司不同程度地將網(wǎng)絡(luò )破壞與商業(yè)成功聯(lián)系在了一起。網(wǎng)絡(luò )安全事件造成的產(chǎn)品質(zhì)量受損(54%)直接與客戶(hù)信任流失(40%)相關(guān)，敏感商業(yè)信息泄露則與合約或商業(yè)機會(huì )損失(22%)相關(guān)。

公司企業(yè)幾乎所有部門(mén)都面臨嚴峻的網(wǎng)絡(luò )安全挑戰。對58%的受訪(fǎng)公司而言，主要挑戰是雇到具備合適技能的ICS網(wǎng)絡(luò )安全人員，網(wǎng)絡(luò )安全人才緊缺問(wèn)題是個(gè)全球性的問(wèn)題。第二大挑戰就是ICS與IT系統和IoT系統的集成(54%)。該集成意味著(zhù)這些系統對外部世界的開(kāi)放程度增加，又進(jìn)一步加劇了安全人才短缺問(wèn)題。

認知與現實(shí)的差異

認知上存在差異，現狀與所擔憂(yōu)的問(wèn)題之間也有不同。大多數公司認為APT(66%)和數據泄露及間諜事件(59%)是最令人擔憂(yōu)的事，因為這些問(wèn)題的潛在影響很是令人恐懼。

然而，針對性攻擊和APT的占比并不高(僅占網(wǎng)絡(luò )安全事件的16%)，倒是傳統惡意軟件和病毒爆發(fā)越來(lái)越成問(wèn)題。2018年發(fā)生的網(wǎng)絡(luò )安全事件中64%是由傳統惡意軟件和病毒爆發(fā)引起的。

最近的《2018 SANS 工業(yè)IoT安全調查：IIoT安全問(wèn)題》報告也反映出了相同的認知斷層。該調查發(fā)現，3/4的公司確信或一定程度上確信自己能夠維護好自身工業(yè)物聯(lián)網(wǎng)(IIoT)的安全。然而，相比運營(yíng)技術(shù)部門(mén)，公司領(lǐng)導層和部門(mén)經(jīng)理對安全的認知太過(guò)樂(lè )觀(guān)了。

威脅態(tài)勢

2018年9月，卡巴斯基實(shí)驗室發(fā)布報告《2018年第一季度工業(yè)自動(dòng)化系統威脅態(tài)勢》，基于卡巴斯基安全網(wǎng)絡(luò )收集的數據，指出了與ICS網(wǎng)絡(luò )安全威脅態(tài)勢有關(guān)的幾個(gè)有趣趨勢?？ò退够踩W(wǎng)絡(luò )( Kaspersky Security Network )是保護ICS計算機的一個(gè)分布式反病毒網(wǎng)絡(luò )，受保護的ICS計算機執行一種或幾種ICS功能，比如數據采集與監控系統(SCADA)、數據存儲、數據網(wǎng)關(guān)和作為工程師及操作員的工作站。

網(wǎng)絡(luò )安全事件增多

2018年第一季度里至少遭遇過(guò)一次攻擊的ICS計算機達到了41.2%，比2017年上半年的36.6%有所上升，主要原因是惡意行為的整體增長(cháng)。

地理分布、金錢(qián)動(dòng)機與安全事件

網(wǎng)絡(luò )攻擊的地理分布呈現出非洲、亞洲和拉丁美洲的ICS計算機遭攻擊比例遠高于歐洲、北美和澳洲的趨勢。歐洲內部也不均衡，東歐的數字遠超西歐，南歐被攻擊的ICS計算機比例比北歐和西歐高。

這種地理分布上的巨大差異來(lái)源于不同國家間的整體發(fā)展水平和網(wǎng)絡(luò )安全水平，以及惡意行為在不同國家的發(fā)生率。

國際數據公司(IDC)的調查研究表明，2017年最大的信息安全產(chǎn)品市場(chǎng)在美國和西歐。國際貨幣基金組織(IMF)將所有ICS計算機遭攻擊比例最少的國家都歸類(lèi)為發(fā)達經(jīng)濟體。

另外，ICS計算機攻擊率最少的10個(gè)國家中有6個(gè)——美國、英國、荷蘭、瑞典、瑞士和以色列，位列國際電信聯(lián)盟(ITU)《2017全球網(wǎng)絡(luò )安全指標》前20。

最后，發(fā)展中國家ICS計算機遭攻擊比例高是因為這些國家建立工業(yè)的時(shí)間相對較短。

設計和調試工業(yè)設施時(shí)，主要關(guān)注點(diǎn)通常放在了運營(yíng)的經(jīng)濟層面和工業(yè)過(guò)程的物理安全方面，信息安全并不受重視?？ò退够?018工業(yè)網(wǎng)絡(luò )安全狀態(tài)》報告也反映出了這一點(diǎn)。

主要威脅源

公司企業(yè)工業(yè)網(wǎng)絡(luò )基礎設施計算機的主要感染源是互聯(lián)網(wǎng)、可移動(dòng)載體和電子郵件。

2017年第一季度，互聯(lián)網(wǎng)是20.6%的ICS計算機威脅源；2018年第一季度該數字上升到了27.3%。該趨勢從邏輯上是說(shuō)得通的，因為現代工業(yè)網(wǎng)絡(luò )很難再被認為是與外部系統隔離的。

今天，無(wú)論是出于控制工業(yè)過(guò)程的目的，還是為了提供工業(yè)網(wǎng)絡(luò )及系統的管理功能，工業(yè)網(wǎng)絡(luò )和企業(yè)網(wǎng)絡(luò )之間都需要留有交互接口。

工業(yè)網(wǎng)絡(luò )感染第二大來(lái)源是可移動(dòng)載體。USB對ICS的威脅就是霍尼韋爾《工業(yè)USB威脅》報告的主題。通過(guò)可移動(dòng)載體遭到攻擊的ICS計算機在低GDP國家較為常見(jiàn)，西歐和北美因為整體安全措施較好和可移動(dòng)載體使用較少而免受此害。

另一方面，對電子郵件威脅的分析表明，信息安全水平與穿透網(wǎng)絡(luò )邊界到達ICS計算機的網(wǎng)絡(luò )釣魚(yú)郵件和惡意郵件附件的數量無(wú)關(guān)。

對此，一個(gè)可能的解釋是，防護電子郵件攻擊的有效工具要么沒(méi)在網(wǎng)絡(luò )邊界上應用，要么沒(méi)被正確配置。

攻擊并不復雜

對工業(yè)系統的攻擊整體上并不復雜，通常采用帶PDF附件的魚(yú)叉式網(wǎng)絡(luò )釣魚(yú)、帶木馬安裝程序的軟件安裝包和已遭入侵網(wǎng)站的水坑攻擊實(shí)施。一旦某臺機器被成功利用，該攻擊框架便會(huì )安裝額外的模塊以擴張攻擊者的立足點(diǎn)。

前路漫漫

想要有效應對ICS網(wǎng)絡(luò )安全挑戰，公司企業(yè)需拿出措施得當的方法策略。當然，充足的資金支持也是必要的。