當前，工業(yè)控制系統(tǒng)(ICS)面臨一系列數(shù)字威脅。其中兩個方面尤其突出。一方面，數(shù)字攻擊者在獲得工業(yè)公司的非授權(quán)訪問方面越來越在行。有些攻擊者采用惡意軟件，另一些訴諸于漁叉式網(wǎng)絡(luò)釣魚(或釣鯨)和其他社會工程技術(shù)。盡管有這些戰(zhàn)法技術(shù)，2016年我們看到的大多數(shù)主要ICS安全事件，都很幸運地只對受影響企業(yè)造成了中斷，而不是破壞。

[[177288]]

另一方面，如趨勢科技的研究人員發(fā)現(xiàn)的，攻擊者可以利用被動情報獲取技術(shù)，來竊聽工業(yè)環(huán)境中呼機間的未加密呼叫，然后利用這些信息進行社會工程攻擊，侵入工控公司，或者產(chǎn)生可能影響工業(yè)操作的虛假警報。

為免遭這些威脅侵害，公司企業(yè)采取恰當?shù)拇胧┙⒂行ЧI(yè)安全項目，并對企業(yè)范圍內(nèi)的風險進行優(yōu)先級排序，就十分重要了。美國最大的高速電子電纜生產(chǎn)商之一百通公司，發(fā)展出了工業(yè)網(wǎng)絡(luò)安全3步走方法，有序幫助降低復(fù)雜度，優(yōu)化風險優(yōu)先級，保護工業(yè)網(wǎng)絡(luò)、終端和控制系統(tǒng)的安全。

1. 保護網(wǎng)絡(luò)

工業(yè)企業(yè)想要保衛(wèi)自己的網(wǎng)絡(luò)，最好從確保擁有邊界安全的良好網(wǎng)絡(luò)設(shè)計開始。一旦完成了這第一步，企業(yè)應(yīng)按 ISA IEC 62443 工業(yè)自動化和控制系統(tǒng)網(wǎng)絡(luò)安全標準對自身網(wǎng)絡(luò)進行隔離，保護旗下所有的無線應(yīng)用，部署安全遠程訪問解決方案以輔助快速故障排除和問題解決。

企業(yè)還應(yīng)監(jiān)視自身網(wǎng)絡(luò)，尤其是在運營技術(shù)(OT)環(huán)境：

2. 保護終端

OT員工可能會覺得自家終端有邊界防火墻、專有軟件、專用協(xié)議和物理隔離，數(shù)字攻擊拿它們沒辦法。但事實并非如此。當員工、承包商或供應(yīng)鏈的家伙們帶著他們的筆記本或U盤走到終端前進行維護時，這些防護措施就被繞過了。

因此，公司企業(yè)應(yīng)要保護自身工業(yè)終端應(yīng)該還要做到：

很多企業(yè)可以從以下幾個方面開始：收集并維護好所有終端硬軟件的準確清單;跟蹤OT資產(chǎn)中的漏洞;確保每個終端都有安全穩(wěn)固的配置;監(jiān)視并報警未授權(quán)修改。

3. 保護控制器

每個工業(yè)環(huán)境中都有物理系統(tǒng)——執(zhí)行器、校準器、閥門之類的機械設(shè)備和溫度、壓強之類的傳感器等等與物理世界互動的東西。很多案例中，攻擊者都獲得了這些機械設(shè)備的訪問權(quán)，導(dǎo)致系統(tǒng)誤操作;但若沒獲取到控制級別的權(quán)限，他們也沒有直接的途徑來干這事兒。

為繞開這一障礙，有些攻擊者瞄上了負責管理這些系統(tǒng)的工業(yè)控制器：

下圖就是我們?nèi)粘＝佑|到的一種控制器。

[[177289]]

這是個普通的恒溫調(diào)節(jié)器，與供熱系統(tǒng)互動以加熱房間或大樓。

通過加強檢測能力，增大對ICS修改與威脅的可見性，實現(xiàn)脆弱控制器的安全措施，監(jiān)視可疑訪問與修改控制，及時檢測/限制威脅，公司企業(yè)便能有效防護工業(yè)控制器不被數(shù)字攻擊侵害。

結(jié)論

鑒于工業(yè)環(huán)境日趨復(fù)雜的態(tài)勢，公司企業(yè)努力實現(xiàn)針對數(shù)字威脅的防護顯得尤其重要。要做到這一點，需要針對網(wǎng)絡(luò)安全、終端安全和工業(yè)控制器安全部署多重防護，邁好這3步。