【編者按】技術已成為許多行業的主要規則改變者，制造業是通過技術創新實現轉型的最重要部門之一。這些技術通常也被稱為工業物聯網(IIoT)、工業4.0、集成運營或工業互聯網，重點是將工業控制系統(ICS)連接到數據和分析，以實現IT和OT運營的融合。如今ICS和OT環境的安全需求正在發生變化，因為這些環境正迅速連接到企業網絡，并暴露于黑客和互聯網傳播的惡意軟件。保護和監控OT環境的最佳方法是什么?在此探討了制造業和工業環境中的網絡安全挑戰，并提出了解決這些挑戰的方法。

從本質上說，任何地方都存在脆弱的OT系統，包括運輸、石油和天然氣、制造業、能源和公用事業。OT設備和系統之間連接的增加有助于保持關鍵工業流程的最新狀態并平穩運行，但也有暴露所有OT相關設備和設施的風險。這些系統在制造業和關鍵基礎設施之間的互聯程度越高，網絡攻擊造成重大破壞和破壞的可能性就越大。

OT設備本質上是用于管理、監控和維護工業運營的電子工具，包括設備和其他資產以及流程。這項技術與主流IT信息技術并行發展，盡管完全獨立，但是直接影響工業部門的需求。

OT在工業中用作傳感器、執行器、機器人和可編程邏輯控制器，最初是由工業設備供應商為性能和安全而開發的，主要被視為沒有太多智能的“車間”設備。當時，這些設備不可能被黑，因為它們沒有聯網。在這個完全獨立的領域中，不需要任何安全策略或系統管理。

現如今，OT發生了根本的變化。越來越多的制造商看到了將OT設備聯網的好處，這使他們能夠更好地控制流程、更復雜地進行分析和優化、并在出現問題時更快地發出警報。

一、正在消失的氣隙

多年來，工業控制系統(通常被稱為“運營技術”或Operational Technology，OT)在網絡攻擊中相對安全。在工業工廠和制造環境中使用的控制和遙感系統通常被放置在孤立的或“氣隙”通信網絡上，而系統本身是基于高度專業化的操作系統，這些系統很難被攻擊，因為它們對大多數攻擊者來說相對模糊和未知。

這一切都在改變?？刂葡到y架構正在連接到傳統的企業IT網絡，如以太網、Wi-Fi等，設備制造商正在Windows、Linux、Android和VxWorks等常見操作系統之上構建OT設備和控制系統。這些變化增加了控制系統可能被用于危害公司IT網絡設備的攻擊風險。根據Armis進行的一項研究，66%的制造商在過去兩年中經歷過與物聯網設備相關的安全事件。

盡管許多傳統控制系統仍然保持有效的氣隙，但制造業和工業工廠的趨勢是將OT設備直接連接到企業網絡。因此，普渡企業參考架構(Purdue Enterprise Reference Architecture，PERA)多年來一直表明應用程序、控制、數據流和強制邊界的標準層次結構，現在正變得扁平化，級別之間的界限正在消失。

為了確定這些變化的程度，SANS研究所在2018年進行了一項調查。結果表明，普渡模型的所有級別的設備現在經常使用各種通信技術連接到企業網絡。平均而言，制造區內(普渡架構0、1、2和3級)有37%的設備連接到企業網絡，而32%的IIoT設備直接連接到互聯網上。

這些架構上的變化發生在許多不同類型的控制系統上，包括：

● 可編程邏輯控制器(PLC);

● 監控和數據采集(SCADA);

● 分布式控制系統(DCS);

● 制造執行系統(MES);

● 遠程信息處理;

● 機器人。

 二、OT設備不可代理

工業和制造環境中的OT設備通常沒有內置的安全性，也不能在其上安裝安全代理。它們是“不可代理的”。這些設備是由制造商設計的，當初設計的操作是假設這些設備不會安裝在傳遞任何類型威脅的網絡上。然而，IT和OT網絡的融合意味著情況不再如此。這些設備現在面臨來自互聯網或大型企業網絡的多種威脅。

OT設備無法容納安全代理的這一事實剝奪了安全人員對該設備的可見性，使他們無法了解該設備存在哪些風險，以及其行為是否超出規范。

三、安全風險挑戰

1、OT系統的漏洞風險正在增加

由于氣隙的消失，不僅網絡攻擊者越來越容易接近OT設備，它們也越來越容易受到攻擊。與去年同期相比，OT設備中的漏洞數量以及對運營基礎設施的破壞繼續增加。

2020年7月，NSA及CISA警告稱，惡意行為者表明，他們愿意繼續利用互聯網訪問OT資產，并對關鍵基礎設施進行惡意網絡活動。這些機構建議各組織立即采取行動，以減少OT設備和控制系統的風險。

ICS-CERT的咨詢頁面顯示，大量供應商已披露存在漏洞。以下是具有代表性的供應商列表：

OT設備不僅越來越容易受到攻擊，而且通常無法容納可能監視和保護設備免受攻擊的安全代理。這種設計選擇使設備制造商能夠最大限度地提高經濟性和能效，這在過去被認為比安全性更重要。

針對工業控制系統(ICS)和OT環境的多起攻擊事件說明了這些威脅造成的破壞程度：

● WannaCry和NotPetya惡意軟件對默克(Merck)等制造企業產生了重大影響，由于生產停產，造成了數億美元的季度損失，此外，由于發貨失誤，還導致客戶滿意度下降。

● 五家雷諾-尼桑工廠停產或減產，造成重大損失。

● 在全球網絡遭受WannaCry攻擊后，全球最大的航運集團之一馬士基失去了與OT網絡的聯系，導致整個港口關閉。

● Norsk Hydro是世界上最大的鋁生產商之一，該公司在遭到LockerGoga攻擊后關閉了冶煉廠的數字系統。Norsk Hydro公司因這起事故損失了4000萬美元，鋁價也被推至三個月來的最高點。PLC、ICS工程師筆記本電腦和SCADA系統通常運行Windows操作系統，已受到LockerGoga攻擊的影響。

● 攻擊者利用社會工程攻擊德國一家鋼鐵廠，以進入IT網絡，從而對OT網絡進行有針對性的攻擊，導致工廠關閉。

● Triton惡意軟件在攻擊工廠的工業控制系統(ICS)時，破壞了中東地區的一個關鍵基礎設施。攻擊的目標是施耐德電氣生產的一個安全儀表系統(SIS)，作為回應，該系統關閉了操作。

Armis所觀察到的影響包括：

● 影響產品質量的過程自動化變更;

● 生產線停工;

● 感染WannaCry病毒的人機接口(HMI)設備;

● 暴露于互聯網的易受攻擊的工業控制設備;

● 打破網絡分割的反向通道的第三方設備。名為PLC-Blaster的蠕蟲病毒只存在于PLC中，通過掃描IP網絡識別并傳播到其他易受攻擊的PLC。目前，這種惡意軟件尚未對工業控制系統產生重大影響，但它的存在表明了網絡攻擊者對工業控制系統的意圖和能力。

這些攻擊也證明了OT日益緊密的本質。在德勤(Deloitte)與制造商生產力和創新聯盟(Manufacturers Alliance for Productivity and Innovation)的一項聯合研究表明，目前只有50%的制造環境保持其OT網絡和IT網絡之間的隔離。76%的人使用Wi-Fi來實現連接系統之間的通信。在德勤的調查中，39%的受訪者表示，在過去12個月里，他們的OT網絡遭到了破壞。

根據德勤關于制造業網絡風險的報告顯示，攻擊可能導致“失去有價值的創意和市場優勢，從而導致財務和聲譽受損，特別是在敏感客戶數據受損的情況下?！?/span>

2、工業設備風險意識增強

盡管風險增加了，但人們對挑戰的認識也在增加。SANS于2017年6月開展了一項題為“確保工業控制系統安全2017”的調查，深入了解了組織如何解決OT安全問題。報告指出：“ICS安全從業者和更廣泛的安全社區越來越認識到，即使是專用的ICS組件，如用于指揮和控制的智能嵌入式設備和可編程設備，也可能攜帶可被犯罪分子利用的漏洞，正如對勒索軟件一樣，勒索軟件已經開始侵入所有數字系統的各個角落?！?/span>

Armis委托Forrester Consulting進行的一項市場研究發現，78%的制造企業認為非托管和物聯網設備比公司管理的計算機更容易受到網絡攻擊。

3、OT環境的網絡安全目標

任何為降低OT環境中的風險而設計的網絡安全計劃都應具有與為IT設備設計的網絡安全計劃相同的結果，如NIST網絡安全框架(CSF)及互聯網安全關鍵安全控制中心(CSC)。CSF列出了22種結果類別，CSC列出了20種結果類別，這兩個框架大致相似。

NIST的一份名為《管理物聯網(IoT)網絡安全和隱私風險的考慮》的報告(NISTIR 8228)特別重要，因為它完全聚焦于OT設備安全。強調了降低OT設備風險的四個至關重要的領域:

● 資產管理。在整個OT設備生命周期中維護所有設備及其相關特性的當前、準確庫存，以便將該信息用于網絡安全和隱私風險管理目的。

● 漏洞管理。識別并消除OT設備軟件和固件中的已知漏洞，以降低被利用和破壞的可能性和容易程度。

● 訪問管理。防止人員、進程和其他計算設備對OT設備的未經授權和不當的物理和邏輯訪問、使用和管理。

● 設備安全事故檢測。監控和分析OT設備的活動，以發現涉及設備安全的事故跡象。4、OT安全的技術挑戰

盡管NIST和其他組織對網絡安全目標和成果提供了權威指導，但在制造和工業企業的安全人員很難找到能夠提供這些結果的安全工具。這有幾個原因：

● 不能安裝代理。不能在大多數OT設備上安裝代理，這使得通常用于幫助識別、保護和監控企業網絡設備的整個安全工具類失效。

●無法使用網絡掃描程序。與傳統IT設備不同，許多OT設備不允許網絡掃描或探測，這可能導致OT設備崩潰或中斷。因此，獲取硬件、軟件和漏洞的清單遠比在IT環境中更具挑戰性。

● 傳統的網絡安全產品不足。網絡IPS系統的傳統布局是在網絡的外圍和核心，這使得在網絡邊緣保護OT系統變得困難。此外，網絡設備可能會被老練的黑客破壞，所以完全依賴網絡控制，如防火墻和網絡分割在OT環境和IT環境中都是不明智的。

● 打補丁非常困難。與傳統計算機(如Windows)不同，OT設備很難通過集中式補丁管理系統進行快速自動補丁。典型的生產設備包括來自數十個不同供應商的設備，而且大多數設備無法通過任何類型的集中補丁管理工具進行修補。此外，OT設備通常需要離線進行修補，但很少有企業會容忍這種停機操作。因此，很少打補丁，而且OT設備往往會隨著時間的推移增加漏洞，從而增加風險。

●無線連接避開了安全控制。OT安全產品的制造商越來越多地將無線連接構建到他們的設備中。這些協議包括藍牙、近場通信(NFC)、Zigbee等，對于監控有線以太網流量的傳統安全控制來說是不可見的。

● 復雜性正在增加。創新和進步正在推動制造車間越來越多的自動化、技術和連接性，IT和OT之間的界限越來越模糊。

● 連通性是一種風險。隨著復雜性和連接性的增加，風險也隨之增加。安全管理人員審計和執行維護OT環境隔離的策略的能力非常有限。跳轉箱、傳統VPN、傳統設備、供應商訪問和非法訪問都是維護OT環境安全的日常挑戰。

四、結語

總而言之，OT環境所需的安全結果已經得到了很好的理解，但是無法使用傳統的安全工具實現。無論是專門的OT安全工具還是傳統的IT安全工具，都不是為今天的混合OT/IT環境而設計的。

工業和制造企業需要一種專門針對OT和IT環境中的所有設備的安全策略，能夠更好地保護以下重點領域的工具和流程：

● 無代理。由于大多數OT設備和企業IoT設備，如打印機、IP攝像頭、HVAC系統等無法容納代理，因此安全系統應能夠在不依賴代理的情況下運行。

● 被動的。安全系統應該能僅使用被動技術運行。這是因為依賴于網絡掃描或探測的安全系統可能會中斷或崩潰OT設備。

● 全面的安全控制。安全系統應滿足安全框架，如NIST CSF或CIS CSC所規定的大多數重要網絡安全目標，尤其是NISTIR 8228強調的四個目標。在IT世界中，這通常需要使用幾種不同的安全工具。對于OT環境，希望使用盡可能少的工具獲得所需安全控制的全面覆蓋。

● 全面的設備覆蓋。該范圍應包括企業中從生產車間到執行套件的所有非托管或工業物聯網設備，因為在互連環境中，除非將OT與之一起保護，否則無法保護OT。該安全平臺應該適用于所有類型和品牌的工業控制系統，以及企業常用的其他類型設備，如暖通空調系統、IP安全攝像頭、火災報警系統、交換機、防火墻、無線接入點、打印機等。

● 全面的通訊覆蓋。安全系統應該能夠直接監控網絡攻擊可能使用的所有通信路徑。在大多數環境中，這將包括以太網、Wi-Fi、藍牙、BLE、以及可能的其他無線協議，如Zigbee。無線覆蓋非常重要，因為攻擊者可以利用BlueBorne、KRACK和Broadpwn等漏洞，在沒有任何用戶交互的情況下通過空中攻擊OT設備。

在認識到OT的脆弱性后，黑客們也已經開始改變攻擊方式。此外，新的惡意軟件，如EKANS，以直接針對OT并利用其特定漏洞。盡管ICS惡意軟件在野外仍然相對罕見，但隨著最近幾次針對ICS的高調攻擊，如Triton/Trisis和Industroyer的成功，ICS惡意軟件肯定會在不久的將來增加。

隨著越來越多的OT設備與物聯網兼容，以及OT和IT安全協議的不斷融合，制造商應該制定計劃，以發現和評估其所有連接的設備，包括在整個供應鏈中使用的設備。最重要的是，必須對這些設備進行評估，并對其進行保護，以防安全漏洞的威脅不斷增加。

與IT環境不同，工業組織應該專注于保護工業資產，這些資產會在成功攻擊的情況下造成重大損害。而保護OT設備免受越來越多的網絡攻擊和漏洞，也面臨著許多挑戰，很明顯，工業和制造組織不能使用傳統方法來保護以非傳統方式使用的OT設備。隨著這些基本設備繼續集成到企業網絡中，必須使用新的方法來防止它們被利用，以防止使有價值的流程面臨中斷的風險。

只有當OT環境相當安全時，制造企業才能從集成和連接的制造平臺獲得更多數據。

參考資料：

1.Securing IT and OT in Industrial and Manufacturing Environments,2021,ARMIS

2.https://ordr.net/article/iot-in-manufacturing/

3.National Cyber System Awareness Alert, July, 2020, CISA

4.ICS-CERT Advisories

作者 | 天地和興工業網絡安全研究院

原文來源：網絡安全應急技術國家工程實驗室