編者按

近日，美國知名工業安全公司PAS向安全周刊（SecurityWeek）透露了其對工業終端研究的成果。PAS對石油和天然氣、煉油和化工、發電、紙漿和造紙以及采礦部門所屬的10000多個工業終端設備的過去一年的數據進行了深度分析，發現這些企業使用的許多工業控制系統都受到設計缺陷和弱點的影響，惡意行為者可能會利用這些設計缺陷和弱點來達到其各種不同的目的，包括造成破壞和物理損壞。研究成果反映出幾個顯著的問題，一是漏洞數量巨大；總共發現了超過380000個的已知漏洞，平均每個終端就有38個。二是影響范圍較廣；普遍存在的漏洞會影響各種類型的ICS，包括人機界面（HMI）、可編程邏輯控制器（PLC）和分布式控制系統（DCS）。另有漏洞跟微軟平臺下的軟件直接相關。三是漏洞利用較容易；在大多數情況下，只需利用網絡訪問權限或低/基本權限即可。即是部分有針對性的漏洞，攻擊者確實需要了解目標系統的工作方式。一旦了解后，濫用是非常容易的。四是影響后果嚴重且風險將長期存在。盡管沒有證據表明攻擊中已經利用了這些類型的缺陷，但已知其中許多缺陷會在攻擊觸發時導致生產中的問題，比如生產中斷、設備損壞。要命的是相關問題的修復往往是遙遙無期。這一研究成果也真實反映出當前關鍵基礎設施領域令人擔憂和不安的網絡安全現狀。

黑客可能會濫用工業系統設計缺陷而對其造成損害
       對工業控制系統（ICS）的分析表明，許多產品包含的功能特性在設計時就沒有考慮到安全性，從而使惡意黑客濫用它們并可能造成嚴重破壞。

提供工業網絡安全和運營管理解決方案的知名企業PAS對過去一年中從石油和天然氣、煉油和化工、發電、紙漿和造紙以及采礦部門所屬的10,000多個工業端點收集的數據進行了深入分析。
該公司的研究人員發現，這些組織使用的許多工業控制系統都受到設計缺陷和弱點的影響，惡意行為者可能會利用這些設計缺陷和弱點來達到其各各種不同的目的，包括造成破壞和物理損壞。

在已分析的10,000多個工業終端上，PAS總共發現了380,000多個已知漏洞，其中絕大部分會影響Microsoft的軟件。但是，該公司不僅發現了可以通過軟件或固件更新進行修補的典型漏洞，還發現了由合法特性和功能而引入的弱點，這類合法的特性和功能會被惡意行為者濫用。

這些問題可能會影響各種類型的ICS，包括人機界面（HMI）、可編程邏輯控制器（PLC）和分布式控制系統（DCS），在大多數情況下，只需利用網絡訪問權限或低/基本權限即可。

為了利用這些弱點，攻擊者確實需要了解目標系統的工作方式。但是，如果他們確實知道某項特性或功能的工作原理，濫用它是非常容易的。PAS首席運營官Mark Carrigan在接受《安全周刊》采訪時表示。

PAS識別了兩種類型的問題：影響大量產品的普遍存在的弱點和針對一種產品的獨特弱點。

PAS成立于1993年，是面向全球能源，過程和電力行業的ICS網絡安全性，過程安全性和資產可靠性的軟件解決方案的領先提供商。PAS解決方案包括工業控制系統網絡安全、自動化資產管理、IPL保證、警報管理、高性能HMI?、邊界管理和控制回路性能優化。PAS最近被ARC Advisory Group評為安全生命周期管理的全球第一名，其中包括化學，發電，煉油和石油與天然氣領域的第一名。其ICS網絡安全、自動化資產管理以及運營管理軟件和服務在復雜、異構且專有的流程自動化基礎架構中支持安全、可靠、有價值且合規的運營。PAS總部位于美國德克薩斯州的休斯頓，在全球10多個國家設立了分支機構。

全球領先的工業公司在其ICS網絡安全和警報管理方面選擇PAS而非其DCS供應商，就是其平臺獨立性。PAS與自動化供應商平臺的獨立性為客戶提供了用于管理其站點中各種系統的最無縫集成和統一的解決方案。在典型企業中擁有30多個自動化系統品牌和模型，管理和保護ICS層免受網絡威脅和漏洞非常困難。使用DCS供應商提供的警報管理軟件在不同的控制系統中管理警報也很昂貴，不一致且效率低下。借助PAS警報管理解決方案，工業公司可以確保其警報系統在控制臺級別上表現最佳，并在管理儀表板級別上提供一致的KPI。

PAS在自動化，發電和制造方面的深厚專業知識推動著其在所服務行業中的領導地位。PAS撰寫了兩篇權威出版物，為優化警報系統和為工業部門開發有效的HMI提供了必要的方法和最佳實踐。警報管理手冊和高性能HMI手冊被認為是這兩個領域的最有價值的資源。