【编者按】技术已成为许多行业的主要规则改变者，制造业是通过技术创新实现转型的最重要部门之一。这些技术通常也被称为工业物联网(IIoT)、工业4.0、集成运营或工业互联网，重点是将工业控制系统(ICS)连接到数据和分析，以实现IT和OT运营的融合。如今ICS和OT环境的安全需求正在发生变化，因为这些环境正迅速连接到企业网络，并暴露于黑客和互联网传播的恶意软件。保护和监控OT环境的最佳方法是什么?在此探讨了制造业和工业环境中的网络安全挑战，并提出了解决这些挑战的方法。

从本质上说，任何地方都存在脆弱的OT系统，包括运输、石油和天然气、制造业、能源和公用事业。OT设备和系统之间连接的增加有助于保持关键工业流程的最新状态并平稳运行，但也有暴露所有OT相关设备和设施的风险。这些系统在制造业和关键基础设施之间的互联程度越高，网络攻击造成重大破坏和破坏的可能性就越大。

OT设备本质上是用于管理、监控和维护工业运营的电子工具，包括设备和其他资产以及流程。这项技术与主流IT信息技术并行发展，尽管完全独立，但是直接影响工业部门的需求。

OT在工业中用作传感器、执行器、机器人和可编程逻辑控制器，最初是由工业设备供应商为性能和安全而开发的，主要被视为没有太多智能的“车间”设备。当时，这些设备不可能被黑，因为它们没有联网。在这个完全独立的领域中，不需要任何安全策略或系统管理。

现如今，OT发生了根本的变化。越来越多的制造商看到了将OT设备联网的好处，这使他们能够更好地控制流程、更复杂地进行分析和优化、并在出现问题时更快地发出警报。

一、正在消失的气隙

多年来，工业控制系统(通常被称为“运营技术”或Operational Technology，OT)在网络攻击中相对安全。在工业工厂和制造环境中使用的控制和遥感系统通常被放置在孤立的或“气隙”通信网络上，而系统本身是基于高度专业化的操作系统，这些系统很难被攻击，因为它们对大多数攻击者来说相对模糊和未知。

这一切都在改变。控制系统架构正在连接到传统的企业IT网络，如以太网、Wi-Fi等，设备制造商正在Windows、Linux、Android和VxWorks等常见操作系统之上构建OT设备和控制系统。这些变化增加了控制系统可能被用于危害公司IT网络设备的攻击风险。根据Armis进行的一项研究，66%的制造商在过去两年中经历过与物联网设备相关的安全事件。

尽管许多传统控制系统仍然保持有效的气隙，但制造业和工业工厂的趋势是将OT设备直接连接到企业网络。因此，普渡企业参考架构(Purdue Enterprise Reference Architecture，PERA)多年来一直表明应用程序、控制、数据流和强制边界的标准层次结构，现在正变得扁平化，级别之间的界限正在消失。

为了确定这些变化的程度，SANS研究所在2018年进行了一项调查。结果表明，普渡模型的所有级别的设备现在经常使用各种通信技术连接到企业网络。平均而言，制造区内(普渡架构0、1、2和3级)有37%的设备连接到企业网络，而32%的IIoT设备直接连接到互联网上。

这些架构上的变化发生在许多不同类型的控制系统上，包括：

● 可编程逻辑控制器(PLC);

● 监控和数据采集(SCADA);

● 分布式控制系统(DCS);

● 制造执行系统(MES);

● 远程信息处理;

● 机器人。

 二、OT设备不可代理

工业和制造环境中的OT设备通常没有内置的安全性，也不能在其上安装安全代理。它们是“不可代理的”。这些设备是由制造商设计的，当初设计的操作是假设这些设备不会安装在传递任何类型威胁的网络上。然而，IT和OT网络的融合意味着情况不再如此。这些设备现在面临来自互联网或大型企业网络的多种威胁。

OT设备无法容纳安全代理的这一事实剥夺了安全人员对该设备的可见性，使他们无法了解该设备存在哪些风险，以及其行为是否超出规范。

三、安全风险挑战

1、OT系统的漏洞风险正在增加

由于气隙的消失，不仅网络攻击者越来越容易接近OT设备，它们也越来越容易受到攻击。与去年同期相比，OT设备中的漏洞数量以及对运营基础设施的破坏继续增加。

2020年7月，NSA及CISA警告称，恶意行为者表明，他们愿意继续利用互联网访问OT资产，并对关键基础设施进行恶意网络活动。这些机构建议各组织立即采取行动，以减少OT设备和控制系统的风险。

ICS-CERT的咨询页面显示，大量供应商已披露存在漏洞。以下是具有代表性的供应商列表：

OT设备不仅越来越容易受到攻击，而且通常无法容纳可能监视和保护设备免受攻击的安全代理。这种设计选择使设备制造商能够最大限度地提高经济性和能效，这在过去被认为比安全性更重要。

针对工业控制系统(ICS)和OT环境的多起攻击事件说明了这些威胁造成的破坏程度：

● WannaCry和NotPetya恶意软件对默克(Merck)等制造企业产生了重大影响，由于生产停产，造成了数亿美元的季度损失，此外，由于发货失误，还导致客户满意度下降。

● 五家雷诺-尼桑工厂停产或减产，造成重大损失。

● 在全球网络遭受WannaCry攻击后，全球最大的航运集团之一马士基失去了与OT网络的联系，导致整个港口关闭。

● Norsk Hydro是世界上最大的铝生产商之一，该公司在遭到LockerGoga攻击后关闭了冶炼厂的数字系统。Norsk Hydro公司因这起事故损失了4000万美元，铝价也被推至三个月来的最高点。PLC、ICS工程师笔记本电脑和SCADA系统通常运行Windows操作系统，已受到LockerGoga攻击的影响。

● 攻击者利用社会工程攻击德国一家钢铁厂，以进入IT网络，从而对OT网络进行有针对性的攻击，导致工厂关闭。

● Triton恶意软件在攻击工厂的工业控制系统(ICS)时，破坏了中东地区的一个关键基础设施。攻击的目标是施耐德电气生产的一个安全仪表系统(SIS)，作为回应，该系统关闭了操作。

Armis所观察到的影响包括：

● 影响产品质量的过程自动化变更;

● 生产线停工;

● 感染WannaCry病毒的人机接口(HMI)设备;

● 暴露于互联网的易受攻击的工业控制设备;

● 打破网络分割的反向通道的第三方设备。名为PLC-Blaster的蠕虫病毒只存在于PLC中，通过扫描IP网络识别并传播到其他易受攻击的PLC。目前，这种恶意软件尚未对工业控制系统产生重大影响，但它的存在表明了网络攻击者对工业控制系统的意图和能力。

这些攻击也证明了OT日益紧密的本质。在德勤(Deloitte)与制造商生产力和创新联盟(Manufacturers Alliance for Productivity and Innovation)的一项联合研究表明，目前只有50%的制造环境保持其OT网络和IT网络之间的隔离。76%的人使用Wi-Fi来实现连接系统之间的通信。在德勤的调查中，39%的受访者表示，在过去12个月里，他们的OT网络遭到了破坏。

根据德勤关于制造业网络风险的报告显示，攻击可能导致“失去有价值的创意和市场优势，从而导致财务和声誉受损，特别是在敏感客户数据受损的情况下。”

2、工业设备风险意识增强

尽管风险增加了，但人们对挑战的认识也在增加。SANS于2017年6月开展了一项题为“确保工业控制系统安全2017”的调查，深入了解了组织如何解决OT安全问题。报告指出：“ICS安全从业者和更广泛的安全社区越来越认识到，即使是专用的ICS组件，如用于指挥和控制的智能嵌入式设备和可编程设备，也可能携带可被犯罪分子利用的漏洞，正如对勒索软件一样，勒索软件已经开始侵入所有数字系统的各个角落。”

Armis委托Forrester Consulting进行的一项市场研究发现，78%的制造企业认为非托管和物联网设备比公司管理的计算机更容易受到网络攻击。

3、OT环境的网络安全目标

任何为降低OT环境中的风险而设计的网络安全计划都应具有与为IT设备设计的网络安全计划相同的结果，如NIST网络安全框架(CSF)及互联网安全关键安全控制中心(CSC)。CSF列出了22种结果类别，CSC列出了20种结果类别，这两个框架大致相似。

NIST的一份名为《管理物联网(IoT)网络安全和隐私风险的考虑》的报告(NISTIR 8228)特别重要，因为它完全聚焦于OT设备安全。强调了降低OT设备风险的四个至关重要的领域:

● 资产管理。在整个OT设备生命周期中维护所有设备及其相关特性的当前、准确库存，以便将该信息用于网络安全和隐私风险管理目的。

● 漏洞管理。识别并消除OT设备软件和固件中的已知漏洞，以降低被利用和破坏的可能性和容易程度。

● 访问管理。防止人员、进程和其他计算设备对OT设备的未经授权和不当的物理和逻辑访问、使用和管理。

● 设备安全事故检测。监控和分析OT设备的活动，以发现涉及设备安全的事故迹象。4、OT安全的技术挑战

尽管NIST和其他组织对网络安全目标和成果提供了权威指导，但在制造和工业企业的安全人员很难找到能够提供这些结果的安全工具。这有几个原因：

● 不能安装代理。不能在大多数OT设备上安装代理，这使得通常用于帮助识别、保护和监控企业网络设备的整个安全工具类失效。

●无法使用网络扫描程序。与传统IT设备不同，许多OT设备不允许网络扫描或探测，这可能导致OT设备崩溃或中断。因此，获取硬件、软件和漏洞的清单远比在IT环境中更具挑战性。

● 传统的网络安全产品不足。网络IPS系统的传统布局是在网络的外围和核心，这使得在网络边缘保护OT系统变得困难。此外，网络设备可能会被老练的黑客破坏，所以完全依赖网络控制，如防火墙和网络分割在OT环境和IT环境中都是不明智的。

● 打补丁非常困难。与传统计算机(如Windows)不同，OT设备很难通过集中式补丁管理系统进行快速自动补丁。典型的生产设备包括来自数十个不同供应商的设备，而且大多数设备无法通过任何类型的集中补丁管理工具进行修补。此外，OT设备通常需要离线进行修补，但很少有企业会容忍这种停机操作。因此，很少打补丁，而且OT设备往往会随着时间的推移增加漏洞，从而增加风险。

●无线连接避开了安全控制。OT安全产品的制造商越来越多地将无线连接构建到他们的设备中。这些协议包括蓝牙、近场通信(NFC)、Zigbee等，对于监控有线以太网流量的传统安全控制来说是不可见的。

● 复杂性正在增加。创新和进步正在推动制造车间越来越多的自动化、技术和连接性，IT和OT之间的界限越来越模糊。

● 连通性是一种风险。随着复杂性和连接性的增加，风险也随之增加。安全管理人员审计和执行维护OT环境隔离的策略的能力非常有限。跳转箱、传统VPN、传统设备、供应商访问和非法访问都是维护OT环境安全的日常挑战。

四、结语

总而言之，OT环境所需的安全结果已经得到了很好的理解，但是无法使用传统的安全工具实现。无论是专门的OT安全工具还是传统的IT安全工具，都不是为今天的混合OT/IT环境而设计的。

工业和制造企业需要一种专门针对OT和IT环境中的所有设备的安全策略，能够更好地保护以下重点领域的工具和流程：

● 无代理。由于大多数OT设备和企业IoT设备，如打印机、IP摄像头、HVAC系统等无法容纳代理，因此安全系统应能够在不依赖代理的情况下运行。

● 被动的。安全系统应该能仅使用被动技术运行。这是因为依赖于网络扫描或探测的安全系统可能会中断或崩溃OT设备。

● 全面的安全控制。安全系统应满足安全框架，如NIST CSF或CIS CSC所规定的大多数重要网络安全目标，尤其是NISTIR 8228强调的四个目标。在IT世界中，这通常需要使用几种不同的安全工具。对于OT环境，希望使用尽可能少的工具获得所需安全控制的全面覆盖。

● 全面的设备覆盖。该范围应包括企业中从生产车间到执行套件的所有非托管或工业物联网设备，因为在互连环境中，除非将OT与之一起保护，否则无法保护OT。该安全平台应该适用于所有类型和品牌的工业控制系统，以及企业常用的其他类型设备，如暖通空调系统、IP安全摄像头、火灾报警系统、交换机、防火墙、无线接入点、打印机等。

● 全面的通讯覆盖。安全系统应该能够直接监控网络攻击可能使用的所有通信路径。在大多数环境中，这将包括以太网、Wi-Fi、蓝牙、BLE、以及可能的其他无线协议，如Zigbee。无线覆盖非常重要，因为攻击者可以利用BlueBorne、KRACK和Broadpwn等漏洞，在没有任何用户交互的情况下通过空中攻击OT设备。

在认识到OT的脆弱性后，黑客们也已经开始改变攻击方式。此外，新的恶意软件，如EKANS，以直接针对OT并利用其特定漏洞。尽管ICS恶意软件在野外仍然相对罕见，但随着最近几次针对ICS的高调攻击，如Triton/Trisis和Industroyer的成功，ICS恶意软件肯定会在不久的将来增加。

随着越来越多的OT设备与物联网兼容，以及OT和IT安全协议的不断融合，制造商应该制定计划，以发现和评估其所有连接的设备，包括在整个供应链中使用的设备。最重要的是，必须对这些设备进行评估，并对其进行保护，以防安全漏洞的威胁不断增加。

与IT环境不同，工业组织应该专注于保护工业资产，这些资产会在成功攻击的情况下造成重大损害。而保护OT设备免受越来越多的网络攻击和漏洞，也面临着许多挑战，很明显，工业和制造组织不能使用传统方法来保护以非传统方式使用的OT设备。随着这些基本设备继续集成到企业网络中，必须使用新的方法来防止它们被利用，以防止使有价值的流程面临中断的风险。

只有当OT环境相当安全时，制造企业才能从集成和连接的制造平台获得更多数据。

参考资料：

1.Securing IT and OT in Industrial and Manufacturing Environments,2021,ARMIS

2.https://ordr.net/article/iot-in-manufacturing/

3.National Cyber System Awareness Alert, July, 2020, CISA

4.ICS-CERT Advisories

作者 | 天地和兴工业网络安全研究院

原文来源：网络安全应急技术国家工程实验室