工控安全三個基本點

工業世界聯網程度的提升有一個關鍵問題：如果發生網絡攻擊且攻擊成功，后果不堪設想，比如，網絡罪犯入侵計算機系統并切斷城市供電或供水。而且，不僅網絡犯罪團伙會盯上ICS，民族國家黑客也常將ICS列為攻擊敵對國關鍵基礎設施的入口點。

正如2017年6月NotPetya數據清除惡意軟件爆發所展現的，ICS已經成為網絡犯罪的主要目標。然而，很多工控設備都面臨安全措施老化過時的風險，需要進行替換或升級。如何應對ICS面臨網絡攻擊風險的事實？公共事業機構該從哪里開始防御這種之前從未考慮過的威脅？

為確保ICS能抵御今天的在線安全威脅，公司企業需采取足夠的措施以創建有效工業安全項目并合理排定企業風險優先級。這聽起來似乎是令人生畏的浩大工程，但健壯的多層安全方法可以分解為基本的3步：1）保護網絡；2）保護終端；3）保護控制器。

一、保護網絡

工業公司應確保自身網絡設計良好，有著防護周全的邊界。企業應按 ISA IEC 62443 標準劃分自身網絡，保護所有無線應用，部署能快速排除故障的安全遠程訪問解決方案。公司網絡，包括其工業網絡基礎設施設備，都應列入監視對象范圍。

二、保護終端

運營技術（OT）團隊可能會覺得公司的終端受到邊界防火墻、專利安防軟件、專業協議和物理隔離的防護，可以抵御數字攻擊。但事實不是這樣的，雇員、承包商和供應鏈員工將他們的筆記本電腦或U盤帶入企業網絡時，這些安全防護措施就被繞過了。

必須確保所有終端都是安全的，要防止員工將自己的設備接入公司網絡。事實上，黑客可以侵入OT環境中基于PC的終端。公司企業還應保護其IT終端不受OT環境中橫向移動的數字攻擊侵襲。

購買資產發現產品，或者實現網上終端清點過程，是保護終端安全的不錯開端。可以定義控制措施和自動化以確保防護到位。然后公司企業必須保證每臺終端上的配置是安全的，并監視這些終端以防遭到未授權修改。

總體上，IT和OT環境通用的解決方案是公司企業明智的選擇。應定義一個足夠靈活的安全平臺，既能夠深度覆蓋IT，又適用于敏感的OT環境。

三、保護控制器

每個工業環境都有其物理系統——致動器、校準器、閥門、溫度感應器、壓力傳感器一類機械裝置。這些與現實世界交互的物理系統被稱為控制器，也就是橋接物理系統控制和網絡指令接收行為的特殊計算機。很多案例中惡意黑客都曾獲取過這些設備的控制權，引發設備故障，造成物理破壞，或對公司的損害。不過，如果僅僅是能訪問而不能控制，惡意黑客也無法直接造成破壞。

通過加強檢測能力和對ICS修改及威脅的可見性，實現脆弱控制器的安全防護措施，監視可疑訪問及控制修改，以及及時檢測/控制威脅，公司企業可有效防止工業控制器遭到數字攻擊。

網絡犯罪已成當今世界發展最快的產業之一。其范圍涵蓋僅僅出于好玩就發起攻擊的腳本小子，以及像跨國公司一樣運營的犯罪組織。隨著ICS成為網絡罪犯的主要目標，公司企業需采取措施做好ICS對數字威脅的防護。而要做好防護，就需要重點放在網絡安全、終端安全和工業控制器安全的多層安全措施。

????? 來源：安全牛