組織必須了解是什么在推動(dòng)工業(yè)網(wǎng)絡(luò)逐步升級(jí)����。
我們有充分的證據(jù)表明��,民族國(guó)家的對(duì)手正在瞄準(zhǔn)能源和其他關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域���。這些關(guān)鍵網(wǎng)絡(luò)至關(guān)重要�����,對(duì)于攻擊者而言更是極具價(jià)值�����。我們還可以預(yù)測(cè)���,網(wǎng)絡(luò)攻擊將成為經(jīng)濟(jì)戰(zhàn)的一種形式���,用來(lái)推進(jìn)地緣政治議程。甚至�,現(xiàn)在已經(jīng)有一些民族國(guó)家已經(jīng)越過(guò)傳統(tǒng)領(lǐng)域中戰(zhàn)爭(zhēng)的界限了。
第一起事件為民族國(guó)家對(duì)關(guān)鍵基礎(chǔ)設(shè)施發(fā)動(dòng)戰(zhàn)爭(zhēng)提供了直接證據(jù):2015年12月和2016年12月對(duì)烏克蘭電網(wǎng)的攻擊���。
這次的攻擊者被認(rèn)為來(lái)自俄羅斯��,一個(gè)民族國(guó)家發(fā)起了針對(duì)電力公司網(wǎng)絡(luò)內(nèi)工業(yè)控制系統(tǒng)(ICS)組件的攻擊��。許多人認(rèn)為這是西方進(jìn)一步行動(dòng)的試驗(yàn)臺(tái)——與其說(shuō)是技術(shù)能力的檢測(cè)���,不如說(shuō)觀察各國(guó)對(duì)此的反應(yīng)。結(jié)果是����,盡管這次的攻擊已經(jīng)越過(guò)紅線���,但是��,西方國(guó)家政府還沒(méi)有做出相應(yīng)的反應(yīng)�����。
第二起事件出現(xiàn)在WannaCry和之后的NotPetya��。5月出現(xiàn)的WannaCry勒索病毒被研究人員發(fā)現(xiàn)能夠?qū)A(chǔ)設(shè)施展開(kāi)攻擊�����,這款軟件能被設(shè)計(jì)用來(lái)攻擊并操作工業(yè)設(shè)施�����,例如制造工廠�����、水電公共設(shè)施和關(guān)鍵基礎(chǔ)設(shè)施的工業(yè)控制器���。而NotPetya勒索軟件卻不是來(lái)勒索的���,它只是打著“勒索”的幌子在清除數(shù)據(jù)����,警告那些在烏克蘭開(kāi)展業(yè)務(wù)的外國(guó)公司不應(yīng)該在那里�����。這次�,美國(guó)做出了回應(yīng),但回應(yīng)太遲了���。 差不多九個(gè)月后���,白宮發(fā)表聲明譴責(zé)俄羅斯軍方,但未采取明確行動(dòng)����。
工業(yè)網(wǎng)絡(luò)成為極具吸引力的目標(biāo)
組織了解如何防御這些攻擊,了解是什么導(dǎo)致ICS網(wǎng)絡(luò)逐步升級(jí)的原因非常重要���。
首先�,這些系統(tǒng)運(yùn)行著全球的基礎(chǔ)設(shè)施���,為人們的生活福祉負(fù)責(zé)�,大約45%來(lái)自《財(cái)富》 2000強(qiáng)的公司依靠ICS網(wǎng)絡(luò)來(lái)開(kāi)展業(yè)務(wù)——水、采礦��、電力���、制藥、食品和飲料等����。而其余55%的公司則依靠ICS網(wǎng)絡(luò)來(lái)滿(mǎn)足運(yùn)輸,HVAC系統(tǒng)等基本需求�。正因?yàn)镮CS網(wǎng)絡(luò)無(wú)處不在,所以它也給攻擊者提供了巨大的機(jī)會(huì)以此造成經(jīng)濟(jì)上的損失和破壞����。
其次,工業(yè)網(wǎng)絡(luò)的生命周期非常長(zhǎng)���,許多甚至已經(jīng)運(yùn)行了35年以上��。隨著這些老化的網(wǎng)絡(luò)開(kāi)始連接到IT系統(tǒng)進(jìn)行自動(dòng)化和輸入運(yùn)作�����,它們的安全性極度缺乏���。又由于各種現(xiàn)實(shí)原因����,工業(yè)網(wǎng)絡(luò)無(wú)法跟上安全更新最終暴露安全問(wèn)題����,此外,這些組織的IT安全團(tuán)隊(duì)對(duì)工控網(wǎng)絡(luò)的可見(jiàn)性為零���,并且沒(méi)有遙測(cè)�。潛在的重大破壞以及ICS網(wǎng)絡(luò)的安全問(wèn)題暴露和缺乏可視性����,都使這些網(wǎng)絡(luò)成為攻擊者的誘人目標(biāo)。
防御者的機(jī)會(huì)
我們可能還沒(méi)有到“我成為了公開(kāi)攻擊目標(biāo)”的階段�,例如關(guān)閉部分電網(wǎng)或污染供水。但是����,面臨的威脅是一直存在的。
防御者可以經(jīng)過(guò)訓(xùn)練�����,學(xué)會(huì)像對(duì)手一樣思考。比如網(wǎng)絡(luò)攻擊者并不希望他們的行動(dòng)被視為公開(kāi)的戰(zhàn)爭(zhēng)行為���,所以選擇破壞頂級(jí)制藥公司的生產(chǎn)造成短缺�?��;虼鄹氖称泛惋嬃瞎镜漠a(chǎn)品質(zhì)量。他們有很多方法可以不采取公然行動(dòng)而破壞受害者國(guó)家的經(jīng)濟(jì)福祉���。
那么我們?cè)撛趺崔k呢?好消息是����,對(duì)工控攻擊的安全意識(shí)正在提高���。政府對(duì)網(wǎng)絡(luò)戰(zhàn)采取了更加激進(jìn)的立場(chǎng)����。媒體開(kāi)始將重點(diǎn)放在對(duì)工業(yè)網(wǎng)絡(luò)和關(guān)鍵基礎(chǔ)設(shè)施的攻擊上�。越來(lái)越多的財(cái)富500強(qiáng)公司獲得了董事會(huì)的支持和預(yù)算,以加強(qiáng)ICS網(wǎng)絡(luò)的安全性�。
另一個(gè)好消息是���,作為防御者,雖然我們對(duì)于OT安全處于空白期���,但OT網(wǎng)絡(luò)沒(méi)有現(xiàn)代化的安全控制措施使得我們有機(jī)會(huì)從頭開(kāi)始構(gòu)建安全程序���。專(zhuān)注于最大程度地降低風(fēng)險(xiǎn)的措施,迅速縮小IT安全和OT安全之間25年以上的差距����。
