威胁参与者如何进入OT系统

余梁

过去，网络攻击者在很大程度上忽略了操作技术（OT）系统，例如工业控制系统和SCADA系统，因为很难获得专有信息，或者OT系统未连接到外部网络且数据不易渗透。

今天，许多工业系统都连接到公司网络，可以访问互联网，并使用从传感器获得的数据和大数据分析来改进运营。但是，OT和IT的这种融合和集成导致了越来越多的网络风险。

OT世界中的网络安全威胁与IT不同，因为其影响不仅仅是数据丢失、声誉受损或客户信任度下降，OT网络安全事件可能导致生产损失、设备损坏和环境污染。保护OT免受网络攻击需要一套不同于保护IT的工具和策略，让我们看看网络安全威胁通常是如何进入OT的。

进入OT的主要媒介

恶意软件可以通过网络或可移动的媒体和设备这2种主要媒介进入OT环境中。

攻击者可以通过路由跨过网络的防火墙进入OT系统。适当的OT网络最佳实践，如网络分段、强身份验证和多个防火墙区域，可以大大防止网络事件。

BlackEnergy恶意软件首次在有针对性的网络攻击中使用，通过向网络IT端用户发送鱼叉式网络钓鱼电子邮件危害了一家电力公司。从那里，威胁行为者能够转向关键的OT网络，并使用SCADA系统打开变电站中的断路器。据报道，这次袭击导致超过200 000人在冬季断电6小时。

虽然“sneakernet”可能是新的或听起来很尴尬，但它是指USB存储设备和软盘等设备可用于将信息和威胁上传到关键的OT网络和系统中，只需网络攻击者带它们进入设施，并将它们连接到适用的系统。

USB设备继续带来挑战，尤其是当组织越来越依赖这些便携式存储设备来传输补丁、收集日志时。USB通常是键盘和鼠标支持的唯一接口，因此无法禁用。黑客会在他们所针对的设施内和周围植入受感染的USB驅动器，员工有时会发现这些受驱动器并将它们插入系统，因为这是确定驱动器上的内容的唯一方法，即使没有任何标签（如：财务业绩或员工人数变化）。

Stuxnet可能是最臭名昭著的恶意软件被USB带入隔离设施的例子。这种极其专业和复杂的计算机蠕虫被上传到一个设施中，以改变可编程逻辑控制器（PLC）的编程。最终结果是离心机旋转太快太久，最终导致设备物理损坏。

现在，生产环境比以往任何时候都容易面临来自恶意USB设备的网络安全威胁，这些设备能够绕过保护措施从内部中断操作。《2021年霍尼韦尔工业网络安全USB威胁报告》发现，从USB设备检测到的威胁中有79 %有可能导致OT中断，包括失去监视和控制。

同一份报告发现USB的使用增加了30 %，而其中51 %的USB威胁试图远程访问受保护的设施。霍尼韦尔审查了2020年来自其全球分析研究与防御（GARD）引擎的匿名数据，该引擎分析基于文件的内容，验证每个文件，并检测通过USB传入或传出实际OT系统的恶意软件威胁。

TRITON是第一个被记录的恶意软件，旨在攻击生产设施中的安全系统。安全仪表系统（SIS）是工业设施自动化安全防御的最后一道防线，旨在防止设备故障、爆炸或火灾等灾难性事故。攻击者首先渗透到IT网络，再通过2种环境均可访问的系统转移到OT网络。一旦进入OT网络，黑客就会使用TRITON恶意软件感染SIS的工程工作站。最终结果是SIS可能会被关闭，并使生产设施内的人员处于危险之中。

物理设备也可能导致网络事件

我们需要注意的不仅仅是基于内容的威胁，鼠标、电缆或其他设备也可以成为对抗OT的武器。

2019年，恶意行为者将目标锁定在有权访问控制网络的受信任人，该授权用户在不知不觉中将真正的鼠标换成了武器化鼠标，一旦连接到关键网络，其他人就会从远程位置控制计算机并启动勒索软件。

发电厂支付了赎金，然而，他们没有取回他们的文件，不得不重建，影响了3个月的运行。在使用设备之前，必须了解设备的来源。

抵御网络威胁的步骤

首先，定期检查网络安全策略、政策和工具，以掌握这些威胁；其次，USB的使用威胁正在上升，因此评估您的OT操作风险以及当前USB设备、端口及其控制保护措施的有效性非常重要。

最后一点是，强烈建议采用纵深防御策略。该策略应分为OT网络安全工具和策略，为组织提供最佳机会，使其免受到不断变化的网络威胁的侵害。