为什么攻击者会瞄准工业控制系统

工业控制系统(ICS)随处可见，从制造商品的自动化机器到办公楼的冷却系统。

以前，ICS基于特定的操作系统和特定的通信协议是标准的。然而，近年来，通过实现基于通用OS和标准通信协议的网络连接，降低了系统开发成本并提高了生产率。

为了在当今以市场为导向的经济中竞争，企业和组织选择能够自动管理流程的高效控制系统。ICS可以在制造，加工设施甚至发电厂中找到，它们在经营国家中发挥着至关重要的作用。另一方面，ICS引入的效率提高也带来了新的安全问题。实际上，威胁行动者在攻击这些公司时会获得很多好处。对ICS的成功攻击对任何组织都有严重影响。其中一些影响包括操作停工，设备损坏，经济损失，知识产权盗窃以及严重的健康和安全风险。

攻击ICS的动机

在选择企业目标时，威胁行为者有不同的动机。在进行攻击时，这些威胁行为者往往受到经济利益，政治原因甚至军事目标的驱使。攻击可能是由国家赞助的，也可能来自竞争对手，有恶意目标的内部人员，甚至是黑客攻击者。

最早发生ICS袭击事件的一个例子发生在2005年，当时有13家DaimlerChrystler美国汽车制造厂离线了将近一个小时。主要原因是利用Windows即插即用服务的Zotob PnP蠕虫感染。总停机时间导致生产积压，使公司损失数千美元。虽然攻击与个人或网络犯罪集团无关，但网络犯罪分子也可能被竞争对手雇用，他们可以从攻击造成的损害中获益匪浅。

ICS是如何受到攻击的?

攻击ICS的第一阶段通常涉及侦察，允许攻击者调查环境。下一步将采用不同的策略，帮助攻击者在目标网络中获得立足点。此时的策略和策略与目标攻击高度相似。要发布恶意软件，攻击者将利用ICS的所有可能漏洞和特定配置。一旦识别并利用这些漏洞，攻击的影响可能会导致某些操作和功能的更改或对现有控件配置的调整。

对ICS发起攻击的复杂性取决于不同的因素，从系统的安全性到预期的影响(例如，破坏目标ICS的拒绝服务攻击比操纵服务和隐藏其立即更容易实现来自控制器的效果)。虽然攻击者已经有很多方法来破坏ICS，但随着越来越多的设备被引入每个ICS环境，新战术将继续出现。

在ICS中利用了哪些漏洞?

由于所有ICS都涉及信息技术(IT)和运营技术(OT)，因此按类别对漏洞进行分组有助于确定和实施缓解策略。美国国家标准与技术研究院(NIST)的ICS安全指南将这些类别划分为与政策和程序相关的问题，以及各种平台(例如，硬件，操作系统和ICS应用程序)和网络中发现的漏洞。

1. 政策和程序漏洞

• 安全架构和设计不足;
• 对ICS环境进行很少或没有安全审核;
• ICS的安全策略不足;
• 缺乏ICS特定的配置变更管理;
• 没有正式的ICS安全培训和意识计划;
• 缺乏安全执法的行政机制;
• 没有ICS特定的操作连续性计划;
• 没有为ICS环境的安全策略开发特定或记录的安全程序。

2. 平台配置漏洞

• 数据在便携式设备上不受保护;
• 使用默认系统配置;
• 不存储或备份关键配置;
• 不维护操作系统和应用程序安全补丁;
• 操作系统和应用程序安全补丁无需详尽的测试即可实现;
• 诸如ICS用户之类的访问控制策略不足，具有太多特权;
• 在发现安全漏洞之后，可能无法开发操作系统和供应商软件补丁;
• 缺少足够的密码策略，意外密码泄露，未使用密码，使用默认密码或使用弱密码。

3. 平台硬件漏洞

• 安全性变化测试不充分;
• 关键组件缺乏冗余;
• ICS组件的不安全远程访问;
• 发电机或不间断电源(UPS)缺乏备用电源;
• 双网络接口卡连接网络;
• 对关键系统的物理保护不足;
• 未连接的资产连接到ICS网络;
• 未经授权的人员可以实际访问设备;
• 环境控制的丧失可能导致硬件过热;
• 射频和电磁脉冲(EMP)会导致电路中断和损坏。

4. 平台软件漏洞

• 针对ICS软件的拒绝服务(DoS)攻击;
• 未安装入侵检测/防御软件;
• 默认情况下不启用已安装的安全功能;
• ICS软件可能容易受到缓冲区溢出攻击;
• 错误处理未定义，定义不明确或“非法”的网络数据包;
• 操作系统中未禁用不必要的服务，可能会被利用;
• 没有适当的日志管理，这使得难以跟踪安全事件;
• OLE for Process Control(OPC)通信协议容易受到远程过程调用(RPC)和分布式组件对象模型(DCOM)漏洞的影响;
• 使用不安全的行业范围的ICS协议，如DNP3，Modbus和Profibus;
• 配置和编程软件的身份验证和访问控制不充分;
• 许多ICS通信协议通过传输介质以明文形式传输消息;
• ICS软件和协议的技术文档很容易获得，可以帮助攻击者规划成功的攻击;
• 不会实时监控日志和端点传感器，也不会快速识别安全漏洞。

5. 恶意软件防护漏洞

• 未安装防病毒软件;
• 防病毒检测签名未更新;
• 安装在ICS环境中的防病毒软件没有经过详尽的测试。

6. 网络配置漏洞

• 弱网络安全架构;
• 密码在传输过程中未加密;
• 网络设备配置未正确存储或备份;
• 密码不会在网络设备上定期更改;
• 不使用数据流控制，例如访问控制列表(ACL);
• 配置不当的网络安全设备，例如防火墙，路由器等的规则配置不正确。

7. 网络硬件漏洞

• 关键网络缺乏冗余;
• 网络设备的物理保护不足;
• 环境控制的丧失可能导致硬件过热;
• 非关键人员可以使用设备和网络连接;
• 不安全的USB和PS / 2端口，可用于连接未经授权的拇指驱动器，键盘记录器等。

8. 网络周边漏洞

• 没有定义网络安全边界;
• 防火墙不存在或配置不正确;
• 用于非控制流量的ICS控制网络，例如网页浏览和电子邮件;
• 控制网络服务不在ICS控制网络内，例如DNS，DHCP由控制网络使用，但通常安装在公司网络中。

9. 沟通漏洞

• 未识别关键监视和控制路径;
• 用户，数据或设备的身份验证不合标准或不存在;
• 许多ICS通信协议都没有内置的完整性检查，因此攻击者可以轻松地操纵未检测到的通信;
• 标准的，记录良好的协议用于纯文本，例如嗅探Telnet，可以使用协议分析器分析和解码FTP流量。

10. 无线连接漏洞

• 客户端和接入点之间的身份验证不足;
• 客户端和接入点之间的数据保护不足。

11. 网络监控和日志记录漏洞

• 没有ICS网络的安全监控;
• 防火墙和路由器日志不足会使跟踪安全事件变得困难;

每个ICS环境都可能包含弱点，具体取决于其配置和目的。ICS环境的大小也可能是一个因素环境越大，发生错误的可能性就越大。ICS环境用现代系统取代原有系统，并引入了工业物联网(IIoT)设备等工具，也可能使威胁行为者有更多的弱点。

工业物联网及其如何影响ICS

随着ICS的不断现代化，越来越多的物联网(IoT)设备被引入以提高生产力并增强系统控制。使用相关的物联网设备; 过程控制，数据监控以及与其他系统的通信变得更加简单。但是，当智能设备用于此类任务时，存在风险。

IIoT包含机器学习和大数据分析。它还利用传感器数据，机器对机器(M2M)通信以及以前存在于工业环境中的自动化技术。IIoT可以执行数据聚合，预测分析，规范分析，数据增值，甚至创建新业务模型等任务。

类似于智能手机的引入之后是与平台相关的漏洞和恶意软件的崛起，集成人类物联网(HIoT)和IIoT设备可能会产生类似的问题。实际上，在ICS环境中管理物联网设备可能会给安全性带来重大挑战，因为每个设备都必须得到适当的防御和保护。如果不采用足够的安全措施，整个ICS生态系统将极易受到攻击。

使用IIoT还需要克服一些独特的挑战：

• 技术碎片使网络流程复杂化。当使用不同独立操作系统的设备时，可能难以解决变化的修补调度。这方面的一个例子是ICS使用传统系统和新软件的混合。两者不仅不能正常通信，威胁行为者也可能使用未打补丁的遗留系统中发现的漏洞进入ICS网络。
• 机器对机器(M2M)和物联网应用程序开发很困难。与大规模生产的制造业HIoT不同，为ICS开发M2M和物联网应用需要在硬件和软件开发，IT和通信方面拥有特殊技能。
• 传统系统和传统通信协议仍广泛用于工业环境。遗留系统的一个例子是Windows 3.1，它仍然运行程序DECOR。此外还有传统的通信协议，包括PROFIBUS，目前仍在广泛使用。这些系统必须通过基于标准的协议网关进行集成，以便更轻松地发送和接收数据和命令。

虽然黑客入侵物联网设备可能具有挑战性，但有针对性的攻击背后的威胁行为者既知识渊博又持久，这可能导致目标网络中的成功攻击。除此之外，设备丢失也是数据泄露的主要原因。一个放错位置的设备可能会使网络犯罪分子获得穿透目标网络的必要访问权限。

网络攻击后对ICS组件的潜在影响

网络攻击对使用ICS的行业的影响取决于目标的操作性质或网络犯罪分子追捕攻击的动机。下面列出的每种效果都可能被目标公司的内部客户和外部客户感受到。

• 系统，操作系统或应用程序配置中的更改。当系统被篡改时，可能会产生不必要或不可预测的结果。可以这样做以掩盖恶意软件行为或任何恶意活动。这也可能影响威胁行为者目标的输出。
• 更改可编程逻辑控制器(PLC)，远程终端单元(RTU)和其他控制器。与系统更改类似，控制器模块和其他设备的更改可能导致设备或设施损坏。这也可能导致过程故障并禁用对过程的控制。
• 向运营部门报告的错误信息。此方案可能导致由于错误信息而实施不需要的或不必要的操作。这样的事件可能导致可编程逻辑的改变。这还可以帮助隐藏恶意活动，包括事件本身或注入的代码。
• 篡改安全控制。防止故障保险柜的正常运行以及其他保护措施使员工，甚至外部客户的生命处于危险之中。