【編者按】你是否知道，電視遙控器可以通過劫持與機頂盒進行通信的紅外線而成為間諜設備?但是當人類可以通過語音控制電視時，誰還需要遙控器呢?然而這樣也并不安全，FBI表示黑客可以控制智能電視的攝像頭和麥克風來遠程錄制房間內任何人的視頻和音頻，或者使用不安全的電視進入路由器，然后進入電腦。即便是不起眼的咖啡機也可能被劫持，變成勒索贖金的機器。樓宇管理自動化系統，也可能是網絡攻擊的跳板，而且這是一個容易被忽略的系統。其他不安全的物聯網設備也是如此。這些聽起來像科幻場景，但這真不是科幻。

　　本文分享今年以來OT、ICS、物聯網領域安全態勢的突出特點，主要包括：居家辦公致使辦公網絡易受攻擊、針對OT及ICS的攻擊數量增加、不受管理的工業物聯網設備成為最大網絡威脅之一、第三方供應商成為惡意軟件的攻擊入口、針對ICS的勒索軟件攻擊異?；钴S、網絡攻擊會導致高昂的財務代價。盡管疫情導致遠程辦公模式成為新常態，企業對OT、ICS、IIoT網絡安全的認知、重視、投入有了較大的改善，但是工業網絡安全形勢依然嚴峻。

　　一、脆弱的居家辦公環境

　　那么電視、遙控器和咖啡機是如何與工業云或人們的工作聯系起來的呢?人們可能會人為，對此類設備進行遠程黑客攻擊的可能性很小，而且現如今全球數百萬人正因新冠疫情而居家辦公，因此這不會影響公司的企業網絡、OT網絡或工業控制系統(ICS)。

　　但是這是非常錯誤的，因為人們需要從居家辦公環境遠程訪問OT網絡或ICS，然而居家辦公環境是一個具有潛在漏洞的第三方VPN網絡，有的是黑客可入侵的WiFi網絡，其中可能還接入了各種不安全的IoT設備。

　　網絡安全公司Claroty在8月份發布的一份報告顯示，在今年上半年發現的所有ICS漏洞中，有70%以上可以被遠程利用。此外，其中幾乎一半以上可以被用來遠程代碼執行。Claroty分析了國家漏洞數據庫(NVD)中發布的漏洞與工業控制系統網絡應急響應小組(ICS-CERT)發布的通報中提到的漏洞。受ICS-CERT漏洞影響最大的行業是能源、關鍵制造業、以及水和廢水基礎設施。Claroty自己的研究團隊發現的26個漏洞中，大多數存在于PLC和工程工作站中。對攻擊者而言，工作站是最為理想的攻擊目標，因為它們已連接到工廠車間、PLC和IT側。

　　二、針對OT及ICS的攻擊增加

　　一段時間以來，針對ICS和OT的攻擊一直呈上升趨勢。今年7月，形勢變得非常嚴峻，以至于美國國家安全局(NSA)和美國國土安全部的網絡安全與基礎設施安全局(CISA)發布了聯合警報，建議立即采取行動，保護連接互聯網的OT和ICS系統免受安全威脅破壞。這些機構援引最近對以色列水務/水利系統的網絡攻擊，呼吁更好地保護對美國安全和國防至關重要的民用基礎設施和OT資產。

　　卡巴斯基9月份的一份報告顯示，在今年上半年，石油和天然氣行業以及樓宇自動化系統的ICS中對計算機的攻擊數量略有增加。該報告得出結論：“威脅變得越來越有針對性，越來越集中，結果變得更加多樣化和復雜?！敝饕獊碓词腔ヂ摼W、可移動媒介和電子郵件。

　　樓宇自動化系統中使用的計算機可能是黑客的后門，因為它們通常連接到公司網絡、互聯網、公司電子郵件系統、域控制器和視頻監視系統。它們的攻擊面比ICS工程工作站大，并且類似于IT網絡中的計算機。

　　IT和OT系統之間的不正確分隔可能導致與ICS協議的異常連接，IT/OT融合的增加在網絡上創建了新的盲點，并建立了新的攻擊途徑。

　　由AI驅動的網絡安全公司Darktrace的網絡智能和分析總監Justin Fier表示，其已在系統上發現了成千上萬個使用各種ICS協議的設備，如暖通空調和電梯，然而企業并不知道這些設備已連接到其IT網絡，這意味著IT-OT系統沒有進行適當的分區，從而形成了安全防御的盲點。Fier表示，“由于新冠疫情爆發，工程師和其他員工可以居家遠程訪問樓宇控制等系統?！比欢?，員工的個人Wi-Fi網絡可能容易受到試圖進入公司網絡的黑客的攻擊。

　　三、不安全的連接

　　正如許多安全專家所述的那樣，端點設備必須是安全的，以減少整個網絡遭受攻擊的脆弱性。Fier指出，不受管理的影子工業物聯網(IIoT)設備的興起是對連接云的工業網絡的最大威脅之一。影子消費物聯網設備也是如此。

　　這些都是網絡連接設備，對IT和安全團隊來說是未知的，因此是不可見的。用于企業物聯網和非托管設備的安全產品提供商Ordr已發現超過500萬臺非托管的IoT和醫療物聯網(IoMT)設備連接到客戶網絡，涉及醫療保健、生命科學、零售和制造業等。

　　這些設備并不是為安全而設計的，通常由未經IT批準的個人或團隊購買。例如，可通過網絡訪問的IP安全攝像頭(經常被黑客破壞)和徽章讀取器，兩者均由建筑維護人員購買。

　　根據Ordr的《2020年企業物聯網采用和風險報告》，甚至連亞馬遜Alexa和Echo虛擬助手等消費者級影子物聯網設備也經常被發現連接到網絡上，Tesla和Peloton健身器材也是如此。在一些醫療保健公司中，員工在MRI和CT機器上運行YouTube和Facebook應用程序，這些機器通常使用老舊的不受支持的操作系統。Ordr公司首席執行官格雷格·墨菲(Greg Murphy)在一份聲明中表示，其發現了大量與連接設備有關的漏洞和風險。

　　旨在提高物聯網設備安全性的《物聯網網絡安全改善法案》已于11月17日在美國參議院獲得通過，目前正送往白宮等待總統簽署，正朝著正確的方向邁出了一步。該法案旨在通過要求美國國家標準技術研究院(NIST)制定有關IoT產品的安全開發、身份管理、補丁和配置管理的建議來提高IoT設備的安全性。如果該法案被簽署成法律，則聯邦政府機構將只能購買符合那些建議的物聯網產品，而NIST必須發布有關協調漏洞披露流程的指南。

　　另一個是IoT安全基金會(IoTSF)在10月推出的消費者物聯網漏洞披露平臺。該平臺的目標是“幫助消費者物聯網廠商管理漏洞報告、管理和協調漏洞披露過程，使安全研究人員和用戶更容易向物聯網制造商報告漏洞，并提高消費者物聯網安全性”。盡管漏洞報告被廣泛認為是IoT設備安全性的基本要求，但對于大多數消費IoT設備制造商而言，它仍然是一個新想法。

　　四、第三方問題

　　與外部民族國家或犯罪分子的攻擊相比，員工心懷不滿或以其他方式造成損害可能不那么常見，但此類事件是嚴重的安全災難：

　　l 一位前思科工程師在兩周內關閉了超過16,000個WebEx團隊賬戶，使得思科花費了140萬美元的員工時間來解決該問題，以及100萬美元的客戶退款。

　　l 埃隆·馬斯克(Elon Musk)在推文中證實，俄羅斯黑客企圖招募一名特斯拉員工在公司的企業網絡上安裝惡意軟件，然而并未成功。

　　l 去年春天，Twitter的大規模黑客攻擊始于手機魚叉式網絡釣魚，說服員工交出了使黑客能夠訪問內部系統的憑據。

　　但是，即使對員工進行了良好的安全習慣培訓，并且網絡連接設備可見且安全，攻擊者也可以利用其他可能的途徑。

　　員工身份信息的大幅增加成為另一個問題，這些數據數量規模龐大，使得訪問權限難以管理，從而成為違規行為的源頭。這些數據包括員工、承包商、供應商、計算機、設備及應用程序等等。

　　在2020年5月對IT安全和身份決策者的調查中，身份確認安全聯盟(IDSA)發現，自動化、DevOps和企業連接設備的擴展推動了這些身份的急劇增長。多達94%的受訪者表示，他們過去曾發生過與身份相關的違規行為;99%的受訪者認為這些違規行為是可以預防的。但是，只有不到一半的人完全實施了IDSA推薦的定義關鍵身份的實踐。

　　特別是，第三方供應商和承包商可能成為惡意或意外入侵的途徑。BlueVoyant對第三方網絡風險管理的全球研究發現，在過去的12個月中，有80%的組織經歷了由供應商生態系統漏洞引起的網絡安全漏洞，只有不到四分之一的企業監視著整個供應鏈，近三分之一無法確定第三方供應商是否存在網絡風險。盡管制造業的第三方違規率較低，但仍為57%。

　　正如卡巴斯基報告指出的那樣，可能已連接影子物聯網的樓宇自動化系統通常由第三方承包商擁有或管理。即使允許他們訪問客戶的公司網絡，該訪問也可能不受客戶的IT安全團隊控制。該報告指出，“鑒于大規模攻擊的減少被針對性攻擊的數量和復雜性的增加所抵消，在這種攻擊中，我們看到了各種橫向移動工具的積極利用，因此，與同一個網絡中的公司系統相比，樓宇自動化系統的安全性甚至可能更低?！?/p>

　　五、勒索軟件的瘋狂

　　隨著依賴于OT的組織越來越多地部署IoT設備并讓遠程工作人員訪問OT網絡，網絡威脅已經升級。Nozomi Networks在7月發布的《OT/IoT威脅報告》中研究了2020年上半年最活躍的OT和IoT威脅。研究發現勒索軟件攻擊需要更高的贖金，攻擊目標是更大及更關鍵的組織。特備是，攻擊者現在正在使用OT感知勒索軟件，例如SNAKE/EKANS和MegaCortex，這表明ICS可能越來越受到非國家威脅行為者的攻擊。

　　據FireEye博客稱，今年FireEye Mandiant研究人員已發現至少七個勒索軟件家族，它們都具有某種破壞OT的能力。

　　據英國軟件和硬件安全公司Sophos發布的《2020年云安全狀況》報告稱，50%的組織曾遭受某種形式的惡意軟件攻擊，包括勒索軟件攻擊。

　　據IBM X-Force 9月份博客報道稱，勒索軟件攻擊占據了今年IBM X-Force事件響應團隊處理的所有網絡事件的四分之一，其中6%使用了以ICS為目標的SNAKE/EKANS。最具針對性的行業是制造業、專業服務業和政府機構，所有這些行業對停機時間的容忍度都很低。

　　Darktrace的Fier表示，勒索軟件的目標已經改變。他說：“勒索軟件攻擊現在不再是為了錢而加密數據，而更多地是將整個組織或裝配線劫為人質。我認為我們將開始看到所謂的DNS或服務質量攻擊，攻擊者劫持業務運營來勒索贖金，而不僅僅是加密文件?！崩?，一個客戶的智能制冷系統的協議非常不安全，Darktrace發現其遭受了Stuxnet類型的攻擊，溫度下降了幾度致使食物變質。

　　六、不可預見的財務后果

　　雖然從網絡攻擊中恢復可能會付出高昂的代價，而且會花費大量時間，但后續的重大后果可能會耗費更多的成本并需要更多的時間來恢復。像勒索軟件之類的網絡攻擊，尤其是導致停機或停工的網絡攻擊，可能會在整個制造業或石油天然氣公司的基礎設施中造成數月的影響。這些可能包括延長停機時間以及測試和重新認證額外的設備維修或更換，以及由于無法履行合同甚至徹底關閉運營而造成的廣泛利潤損失。

　　最近制造業停工停產的例子包括本田在6月遭受的網絡攻擊事件，導致其全球停產了幾天，這很可能是由EKANS/SNAKE勒索軟件引起的。去年9月，以色列的Tower Semiconductor在網絡攻擊后不得不停止了一些制造業務。

　　據Fortinet調查結果顯示，遭受OT網絡攻擊帶來的最大影響是運營中斷從而影響生產效率，并且直接影響公司收入。此外導致的物理安全危害以及聲譽受損也令企業難以接受。

　　OT/ICS網絡安全公司Verve Industrial Protection的網絡安全洞察力總監Ron Brash使用石油管道關閉的類比來證明這些后續后果。盡管大多數石油管道關閉不是由網絡安全事件引起的，而且在許多情況下，從網絡攻擊中恢復的速度可能比從管道關閉中恢復的速度要快，但這兩種情況都可能產生類似的財務后果，遠遠超出了系統恢復成本。

　　幾年前，在加拿大發生森林大火時，受大火威脅的石油管道被關閉。Brash表示，這使得管道變硬了?！跋♂寗┍仨氃诠艿乐羞\行數月才能分解產品，這樣管道才可以用于生產。但是，石油可能會具有些不太理想的特性，并且這些特性會損壞管道內的保護層，從而破壞基礎設施。這意味著必須對管道進行維修和重新檢查，并經過安全或其他批準。所有這些步驟有效的創造了一系列額外的時間和成本，超出了正常中斷或破壞性較小的事件期間所造成的成本?！?/p>

　　其他成本可能包括在制造停止期間無法履行合同，從而迫使公司在公開市場上購買產品并虧本出售。由于特定的地理位置和區域發展條件，或者由于單純的總體成本而無法重新啟動操作或獲得重新認證，可能會導致部分或全部操作永久關閉。

　　參考鏈接:

　　【1】 https://www.eetimes.com/real-life-scenarios-how-the-industrial-cloud-gets-hacked/