为什么攻击者会瞄准工业控制系统

工业控制系统(ICS)随处可见，从制造商品的自动化机器到办公楼的冷却系统。

以前，ICS基于特定的操作系统和特定的通信协议是标准的。然而，近年来，通过实现基于通用OS和标准通信协议的网络连接，降低了系统开发成本并提高了生产率。

为了在当今以市场为导向的经济中竞争，企业和组织选择能够自动管理流程的高效控制系统。ICS可以在制造，加工设施甚至发电厂中找到，它们在经营国家中发挥着至关重要的作用。另一方面，ICS引入的效率提高也带来了新的安全问题。实际上，威胁行动者在攻击这些公司时会获得很多好处。对ICS的成功攻击对任何组织都有严重影响。其中一些影响包括操作停工，设备损坏，经济损失，知识产权盗窃以及严重的健康和安全风险。

攻击ICS的动机

在选择企业目标时，威胁行为者有不同的动机。在进行攻击时，这些威胁行为者往往受到经济利益，政治原因甚至军事目标的驱使。攻击可能是由国家赞助的，也可能来自竞争对手，有恶意目标的内部人员，甚至是黑客攻击者。

最早发生ICS袭击事件的一个例子发生在2005年，当时有13家DaimlerChrystler美国汽车制造厂离线了将近一个小时。主要原因是利用Windows即插即用服务的Zotob PnP蠕虫感染。总停机时间导致生产积压，使公司损失数千美元。虽然攻击与个人或网络犯罪集团无关，但网络犯罪分子也可能被竞争对手雇用，他们可以从攻击造成的损害中获益匪浅。

ICS是如何受到攻击的?

攻击ICS的第一阶段通常涉及侦察，允许攻击者调查环境。下一步将采用不同的策略，帮助攻击者在目标网络中获得立足点。此时的策略和策略与目标攻击高度相似。要发布恶意软件，攻击者将利用ICS的所有可能漏洞和特定配置。一旦识别并利用这些漏洞，攻击的影响可能会导致某些操作和功能的更改或对现有控件配置的调整。

对ICS发起攻击的复杂性取决于不同的因素，从系统的安全性到预期的影响(例如，破坏目标ICS的拒绝服务攻击比操纵服务和隐藏其立即更容易实现来自控制器的效果)。虽然攻击者已经有很多方法来破坏ICS，但随着越来越多的设备被引入每个ICS环境，新战术将继续出现。

在ICS中利用了哪些漏洞?

由于所有ICS都涉及信息技术(IT)和运营技术(OT)，因此按类别对漏洞进行分组有助于确定和实施缓解策略。美国国家标准与技术研究院(NIST)的ICS安全指南将这些类别划分为与政策和程序相关的问题，以及各种平台(例如，硬件，操作系统和ICS应用程序)和网络中发现的漏洞。

1. 政策和程序漏洞

• 安全架构和设计不足;
• 对ICS环境进行很少或没有安全审核;
• ICS的安全策略不足;
• 缺乏ICS特定的配置变更管理;
• 没有正式的ICS安全培训和意识计划;
• 缺乏安全执法的行政机制;
• 没有ICS特定的操作连续性计划;
• 没有为ICS环境的安全策略开发特定或记录的安全程序。

2. 平台配置漏洞

• 数据在便携式设备上不受保护;
• 使用默认系统配置;
• 不存储或备份关键配置;
• 不维护操作系统和应用程序安全补丁;
• 操作系统和应用程序安全补丁无需详尽的测试即可实现;
• 诸如ICS用户之类的访问控制策略不足，具有太多特权;
• 在发现安全漏洞之后，可能无法开发操作系统和供应商软件补丁;
• 缺少足够的密码策略，意外密码泄露，未使用密码，使用默认密码或使用弱密码。

3. 平台硬件漏洞

• 安全性变化测试不充分;
• 关键组件缺乏冗余;
• ICS组件的不安全远程访问;
• 发电机或不间断电源(UPS)缺乏备用电源;
• 双网络接口卡连接网络;
• 对关键系统的物理保护不足;
• 未连接的资产连接到ICS网络;
• 未经授权的人员可以实际访问设备;
• 环境控制的丧失可能导致硬件过热;
• 射频和电磁脉冲(EMP)会导致电路中断和损坏。

4. 平台软件漏洞

• 针对ICS软件的拒绝服务(DoS)攻击;
• 未安装入侵检测/防御软件;
• 默认情况下不启用已安装的安全功能;
• ICS软件可能容易受到缓冲区溢出攻击;
• 错误处理未定义，定义不明确或“非法”的网络数据包;
• 操作系统中未禁用不必要的服务，可能会被利用;
• 没有适当的日志管理，这使得难以跟踪安全事件;
• OLE for Process Control(OPC)通信协议容易受到远程过程调用(RPC)和分布式组件对象模型(DCOM)漏洞的影响;
• 使用不安全的行业范围的ICS协议，如DNP3，Modbus和Profibus;
• 配置和编程软件的身份验证和访问控制不充分;
• 许多ICS通信协议通过传输介质以明文形式传输消息;
• ICS软件和协议的技术文档很容易获得，可以帮助攻击者规划成功的攻击;
• 不会实时监控日志和端点传感器，也不会快速识别安全漏洞。

5. 恶意软件防护漏洞

• 未安装防病毒软件;
• 防病毒检测签名未更新;
• 安装在ICS环境中的防病毒软件没有经过详尽的测试。

6. 网络配置漏洞

• 弱网络安全架构;
• 密码在传输过程中未加密;
• 网络设备配置未正确存储或备份;
• 密码不会在网络设备上定期更改;
• 不使用数据流控制，例如访问控制列表(ACL);
• 配置不当的网络安全设备，例如防火墙，路由器等的规则配置不正确。

7. 网络硬件漏洞

• 关键网络缺乏冗余;
• 网络设备的物理保护不足;
• 环境控制的丧失可能导致硬件过热;
• 非关键人员可以使用设备和网络连接;
• 不安全的USB和PS / 2端口，可用于连接未经授权的拇指驱动器，键盘记录器等。

（编辑：淮北站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!