OT世界中的网络安全威胁与IT不同，因为其影响不仅仅是数据丢失、声誉受损或客户信任度下降。OT 网络安全事件可能导致生产损失、设备损坏和环境泄漏，甚至生命损失。保护OT免受网络攻击需要一套不同于保护IT的工具和策略。IT和OT融合发展加速，许多工业系统都连接到公司网络，可以访问互联网，并使用从连接的传感器采集的数据和大数据分析系统来改进运营。OT和 IT这种融合和集成导致了越来越多的网络风险，包括跨IT和OT的有效和有影响的网络事件。历史上对OT系统攻击的典型事件和当前现状表明，USB设备仍然是恶意行为者攻入OT网络的主要手段之一。

USB 设备继续带来的风险仍然严重

《2021年霍尼韦尔工业网络安全 USB 威胁报告》发现，从USB设备检测到的威胁中有79% 有可能导致OT中断，包括失去可见性和失去控制。

这份报告发现 USB 使用率增加了30%，而其中许多USB威胁 (51%) 试图远程访问受保护的气密设施。霍尼韦尔审查了2020 年来自其全球分析研究与防御 (GARD) 引擎的匿名数据，该引擎分析基于文件的内容，验证每个文件，并检测通过USB 传入或传出实际OT系统的恶意软件威胁。

霍尼韦尔：工业企业应特别关注基于USB的网络威胁

尤其是当组织越来越依赖这些便携式存储设备来传输补丁、收集日志等时。USB 通常是键盘和鼠标支持的唯一接口，因此无法禁用它，从而启用备用USB端口。因此，存在在我们试图保护的机器上插入外来设备的风险。

众所周知，黑客会在他们所针对的设施内和周围植入受感染的USB 驱动器。员工有时会发现这些受损的驱动器并将它们插入系统，因为这是确定其中一个驱动器上的内容的唯一方法——即使没有任何标签，如“财务业绩”或“员工人数变化”。

2016 年，来自伊利诺伊大学、密歇根大学和谷歌的研究人员在他们的大学校园内随机投放了297 个U 盘。据研究人员称，“校园内废弃的 U盘 98%被路人拿走，其中至少45% 的U盘连接到计算机检查内容。” 在同意回答研究人员问题的人中，只有13%的人表示他们“在打开闪存驱动器之前采取了特殊的预防措施。68%的人承认他们打开它时并没有怀疑它可能包含什么”。虽然研究人员的实验对用户来说是安全的，但插入您遇到的USB 设备可能会产生严重后果。应该注意的是，USB存储并不是唯一有风险的硬件：人机接口设备或一般的“HID”，例如键盘、鼠标、智能手机充电器或任何其他连接的对象，都可能被恶意行为者篡改。后果很严重：数据被盗或破坏、破坏、勒索赎金等。

恶作剧设备也是一种可怕的攻击形式。USB Killer (https://www.darkreading.com/endpoint/rule-of-thumb-usb-killers-pose-real-threat/a/d-id/1337741) 攻击只需将恶意驱动器插入目标工作站，就能够在几秒钟内损坏无法修复的机器。这可以看作是第一次“电子”USB 攻击。USB Killer包含一个由USB端口充电的小型电容器组，一旦充电(发生在几分之一秒内)，就会将整个电力负载转回数据线，从而对硬件造成各种损坏。有些人称其为“恶作剧设备”，但在任何计算机上使用它——或者让毫无戒心的用户插入它——至少是一种滋扰。

史上经典攻击案例的教训

Stuxnet 可能是最臭名昭著的恶意软件被 USB带入隔离设施的例子。这种极其专业和复杂的计算机蠕虫被上传到一个气隙核设施中，以改变可编程逻辑控制器 (PLC) 的编程。最终结果是离心机旋转太快太久，最终导致设备物理损坏。虽然“sneakernet”这个词可能是新的或听起来很尴尬，但它指的是这样一个事实，即 USB 存储设备和软盘等设备可用于将信息和威胁上传到关键的OT网络和气隙系统中，只需网络攻击者亲自携带它们进入设施并将它们连接到适用的系统。

TRITON 是第一个被记录使用的恶意软件，旨在攻击生产设施中的安全系统。安全仪表系统 (SIS) 是工业设施自动化安全防御的最后一道防线，旨在防止设备故障和爆炸或火灾等灾难性事故。攻击者首先渗透到 IT 网络，然后再通过两种环境均可访问的系统转移到 OT 网络。一旦进入 OT 网络，黑客就会使用 TRITON 恶意软件感染 SIS 的工程工作站。TRITON 的最终结果是 SIS 可能会被关闭，并使生产设施内的人员处于危险之中。

BADUSB或者武器化的USB更可能是用户的恶梦。因为USB驱动器不需要绕过公司的虚拟边界防御。因为它直接进入用户工作站。所有这些因素使它们成为网络犯罪分子的便捷攻击工具。他们使用包含预定义攻击脚本的“恶意” USB 记忆棒。这反过来又允许他们访问和复制用户的数据，访问他们的键盘和屏幕，这使他们能够看到他们所做的一切，或者最终加密他们的数据以换取赎金。

2010 年左右 ，“橡皮鸭”USB 驱动器 (https://blog.teamascend.com/rubber-ducky)成为一个常见问题。Rubber Ducky 是一种特殊的 USB 驱动器，内置微控制器，可以秘密打开命令行，并通过冒充模拟 USB HID 键盘自动执行攻击。任何人仍然可以以大约50美元的价格购买这些设备。

2020 年， 一名俄罗斯网络犯罪分子与特斯拉员工接洽，该犯罪分子提供100万美元使用受感染的USB驱动器在公司 IT系统内传播恶意软件。如果该员工没有通知FBI从而挫败了这次攻击，特斯拉可能会加入USB驱动器攻击的一长串受害者名单。

加强防范意识和USB设备管控

现在，生产环境比以往任何时候都面临来自恶意USB设备的网络安全威胁，这些设备能够绕过气隙和其他保护措施从内部中断操作。USB使用面临威胁呈上升趋势，因此评估OT 操作风险以及您当前对 USB 设备、端口及其控制的保护措施的有效性非常重要。

案例意识教育必不可少。大部分时候，好奇心会害死人。让用户了解恶意US 设备如何导致系统感染和数据丢失，并教他们如何避免这些威胁。从外部无法识别恶意USB介质。无论是在会议上赠送还是在公共场所被发现，重要的是要小心对待它们，因为任何不熟悉的 USB 闪存驱动器都有潜在的危险。

专用扫描站也是一种可选方案，在将任何未知的 USB介质连接到任何其他系统之前，应将其存放在那里进行检测。这种机器的目的是分析 U盘并对其进行净化，以保护公司的信息系统免受可能的恶意软件的侵害。消毒后，如果USB闪存驱动器用于存储和传输任何数据，建议使用加密解决方案。加密系统通过使可能窃取USB驱动器的任何人无法读取它们来保护所有文件和个人信息。甚至还有一些带有内置硬件加密的高安全性闪存驱动器，尽管它们通常比较昂贵。

参考资源：

1、https://www.darkreading.com/edge-articles/how-threat-actors-get-into-ot-systems

2、https://www.gdatasoftware.com/blog/2021/11/usb-drives-still-a-danger

来源：网空闲话