威脅參與者如何進入OT系統

余梁

過去，網絡攻擊者在很大程度上忽略了操作技術（OT）系統，例如工業控制系統和SCADA系統，因為很難獲得專有信息，或者OT系統未連接到外部網絡且數據不易滲透。

今天，許多工業系統都連接到公司網絡，可以訪問互聯網，并使用從傳感器獲得的數據和大數據分析來改進運營。但是，OT和IT的這種融合和集成導致了越來越多的網絡風險。

OT世界中的網絡安全威脅與IT不同，因為其影響不僅僅是數據丟失、聲譽受損或客戶信任度下降，OT網絡安全事件可能導致生產損失、設備損壞和環境污染。保護OT免受網絡攻擊需要一套不同于保護IT的工具和策略，讓我們看看網絡安全威脅通常是如何進入OT的。

進入OT的主要媒介

惡意軟件可以通過網絡或可移動的媒體和設備這2種主要媒介進入OT環境中。

攻擊者可以通過路由跨過網絡的防火墻進入OT系統。適當的OT網絡最佳實踐，如網絡分段、強身份驗證和多個防火墻區域，可以大大防止網絡事件。

BlackEnergy惡意軟件首次在有針對性的網絡攻擊中使用，通過向網絡IT端用戶發送魚叉式網絡釣魚電子郵件危害了一家電力公司。從那里，威脅行為者能夠轉向關鍵的OT網絡，并使用SCADA系統打開變電站中的斷路器。據報道，這次襲擊導致超過200 000人在冬季斷電6小時。

雖然“sneakernet”可能是新的或聽起來很尷尬，但它是指USB存儲設備和軟盤等設備可用于將信息和威脅上傳到關鍵的OT網絡和系統中，只需網絡攻擊者帶它們進入設施，并將它們連接到適用的系統。

USB設備繼續帶來挑戰，尤其是當組織越來越依賴這些便攜式存儲設備來傳輸補丁、收集日志時。USB通常是鍵盤和鼠標支持的唯一接口，因此無法禁用。黑客會在他們所針對的設施內和周圍植入受感染的USB驅動器，員工有時會發現這些受驅動器并將它們插入系統，因為這是確定驅動器上的內容的唯一方法，即使沒有任何標簽（如：財務業績或員工人數變化）。

Stuxnet可能是最臭名昭著的惡意軟件被USB帶入隔離設施的例子。這種極其專業和復雜的計算機蠕蟲被上傳到一個設施中，以改變可編程邏輯控制器（PLC）的編程。最終結果是離心機旋轉太快太久，最終導致設備物理損壞。

現在，生產環境比以往任何時候都容易面臨來自惡意USB設備的網絡安全威脅，這些設備能夠繞過保護措施從內部中斷操作。《2021年霍尼韋爾工業網絡安全USB威脅報告》發現，從USB設備檢測到的威脅中有79 %有可能導致OT中斷，包括失去監視和控制。

同一份報告發現USB的使用增加了30 %，而其中51 %的USB威脅試圖遠程訪問受保護的設施。霍尼韋爾審查了2020年來自其全球分析研究與防御（GARD）引擎的匿名數據，該引擎分析基于文件的內容，驗證每個文件，并檢測通過USB傳入或傳出實際OT系統的惡意軟件威脅。

TRITON是第一個被記錄的惡意軟件，旨在攻擊生產設施中的安全系統。安全儀表系統（SIS）是工業設施自動化安全防御的最后一道防線，旨在防止設備故障、爆炸或火災等災難性事故。攻擊者首先滲透到IT網絡，再通過2種環境均可訪問的系統轉移到OT網絡。一旦進入OT網絡，黑客就會使用TRITON惡意軟件感染SIS的工程工作站。最終結果是SIS可能會被關閉，并使生產設施內的人員處于危險之中。

物理設備也可能導致網絡事件

我們需要注意的不僅僅是基于內容的威脅，鼠標、電纜或其他設備也可以成為對抗OT的武器。

2019年，惡意行為者將目標鎖定在有權訪問控制網絡的受信任人，該授權用戶在不知不覺中將真正的鼠標換成了武器化鼠標，一旦連接到關鍵網絡，其他人就會從遠程位置控制計算機并啟動勒索軟件。

發電廠支付了贖金，然而，他們沒有取回他們的文件，不得不重建，影響了3個月的運行。在使用設備之前，必須了解設備的來源。

抵御網絡威脅的步驟

首先，定期檢查網絡安全策略、政策和工具，以掌握這些威脅；其次，USB的使用威脅正在上升，因此評估您的OT操作風險以及當前USB設備、端口及其控制保護措施的有效性非常重要。

最后一點是，強烈建議采用縱深防御策略。該策略應分為OT網絡安全工具和策略，為組織提供最佳機會，使其免受到不斷變化的網絡威脅的侵害。