請不要將工控系統中的IT和OT的安全保護混淆！

新聞 08-08

在工業控制系統（ICS）的安全管理中，安全管理通常被分為3大塊：物理設備的安全、IT安全和運營安全(工廠安全和系統完整性)。

如今在工業控制系統（ICS）的安全管理中，信息技術（IT）安全測試變得越來越自動化，儘管我們仍然遠遠不能以這種自動化方式完成全部的安全事情，但這個趨勢已經不可避免。不過這也帶來了一個問題，就是安全管理也來越複雜。比如，許多專有名詞也被發明了出來，SCADA，ICS，OT，DCS ......這一大堆名詞，往往就容易被搞混，而這也讓設施運營者更難以發現並響應安全事件。

而且，現代運營往往橫跨複雜IT(信息技術)和OT(運用技術)基礎設施，通常涵蓋成千上萬的設備，且這些設備越來越多地通過工業物聯網(IIoT)互聯，這就給工業環境安全帶來了新的挑戰：讓工業控制系統安全威脅更難以檢測、調查和修復。

在現有一些工業操作中，兩者卻常被割裂，被認為IT安全由網路運維團隊負責，OT安全則由操作員或業務員負責。而面向OT系統的安全威脅更是常被忽視掉。這不僅由於OT中的安全程序和技術應用與IT系統大相徑庭，還由於每個垂直行業業務特徵存在較多差異。可實際上OT系統面臨的問題與IT系統同樣嚴峻。

以下就是工業控制系統中常提及的重要術語：

·IT：信息技術，這是用於存儲，檢索或傳輸信息的硬體和軟體；

·OT：運營技術，這是監視或觸發物理設備變化的硬體和軟體，將在本文中用於指代ICS系統的組件設備；

·WAN：廣域網；這是一個主要用於計算機網路的網路，它擴展到很大的地理區域；

·CNI：關鍵的國家基礎設施，系統（包括IT和OT）和對社會功能至關重要的資產；

·ICS：工業控制系統，這些是控制複雜且通常是危險的物理過程的計算機系統，可以細分為兩個不同的類別——監督控制和數據採集（SCADA）系統和分散式控制系統（DCS）;

·SCADA：監控和數據採集系統，這些是跨越廣域網（WAN）的ICS類型，通常是最常用於（錯誤地）引用所有類型的ICS的術語；

·DCS：分散式控制系統，這些是不涉及WAN的ICS類型；

·HMI：人機界面，這是一個用戶界面，使人們能夠與設備或系統進行交互，這是一個最常用於ICS介面的術語；

·PLC：可編程邏輯控制器，這些是OT中使用的小型計算機，它使用高度專業化的操作系統來實時處理事件；

·IIoT：工業物聯網，這個術語通常用於指將OT連接到互聯網的趨勢；

目前，所有ICS系統中涉及的OT通常都很老，而且傳統的基於IT的網路安全方法並不能保證OT的安全。

因此，人們越來越關注保護這些OT系統，但這通常是通過簡單地調整或重新使用基於IT系統的安全測試工具、技術和方法。本文將高屋建瓴的探討這種方法所存在的問題以及需要進行的更改。

OT安全事件簡史

影響OT(主要在ICS系統中)的安全事件，無論是故意的還是意外的，都可以會發生，不過頻率不是很高。不過一旦發生，企業的損失就相當大。例如，卡巴斯基實驗室的白皮書「2017年工業網路安全狀況」將企業的平均累計成本定為347603美元（265881英鎊），所含費用包括事件的後果和所需的補救措施，超過一半的受訪企業承認在過去十二個月內至少發生過一起攻擊事件。相比之下，在2018年的後續調查報告中，則只有不到一半的參與調查的公司承認發生過安全事故，這表明OT系統的安全性正在提高。然而，損失成本仍然很高，這裡的成本不僅僅是財務成本。

本文中所指的安全事件包括以下3大類：

1.外部攻擊者故意採取的規避安全措施或者破壞系統正常運行的行為；

2.員工故意進行的惡意行為，其目的是規避安全措施或破壞系統的正常運行；

3.由員工的意外行為所造成的破壞系統正常運行的事件；

值得注意的是，目前很難確定ICS系統遭遇攻擊的準確數字。因為目前只有30％的公司被強制要求向監管機構報告安全事件，不過隨著GDPR法規的頒布，這個數字會有所提升。即使數據有限，我們也可以列出一些有重大影響的安全事件：

2004年的Sterigenics國際公司醫用品滅菌裝置環氧乙烷爆炸事故，事故發生時，維護人員通過輸入密碼跳過了計算機控制的保障措施，導致滅菌櫃門過早打開，造成含有環氧乙烷（EthyleneOxide, EO）的爆炸性混合物通過滅菌櫃通風系統被排放到催化氧化器（內有明火）中，環氧乙烷立即被點燃，火焰通過通風導管迅速回竄到滅菌櫃中，造成約22.7kg環氧乙烷被點燃，並發生劇烈爆炸。事後統計，造成超過2700萬美元的財產損失。

2010年的伊朗「震網（Stuxnet）」病毒事件，2010年9月，伊朗稱布希爾核電站部分員工電腦感染了一種名為「震網」的超級電腦蠕蟲病毒。這種病毒可以悄無聲息地潛伏和傳播，並對特定的西門子工業電腦進行破壞。

該病毒旨在針對特定的ICS系統並破壞PLC，「震網」一開始只是靜靜地潛伏在普通的個人電腦上，通過USB介面無聲無息地感染著一個個U盤，直到某一天某個中毒的U盤被插到絕密的、與互聯網物理隔離的核工廠內部電腦上，才驟然發作，快速感染整個區域網。

「震網」使用了之前未被發現的微軟Windows軟體漏洞即「0 day」漏洞，其破壞力令反病毒研究者都嘆為觀止。據《紐約時報》披露，「震網」病毒2008年由美國和以色列情報機構合作研製，2010年正式投放到了伊朗。導致了2010年伊朗納坦茲核基地的大約8000台離心機里有1000台發生故障，國際原子能機構稱，伊朗在2010年11月中旬暫停了鈾濃縮活動。

2014年德國的一個鋼鐵廠，遭受到高級持續性威脅（APT）攻擊。攻擊者使用魚叉式釣魚郵件和社會工程手段，獲得鋼廠辦公網路的訪問權。然後利用這個網路，設法進入到鋼鐵廠的生產網路。攻擊者的行為導致工控系統的控制組件和整個生產線被迫停止運轉，由於不是正常的關閉鍊鋼爐，從而給鋼廠帶來了重大破壞。有安全研究人員表示，攻擊者可能通過人機交互界面或其他控制系統，直接連接到工廠造成的破壞。

2015年的烏克蘭的停電事件，對烏克蘭SCADA系統的攻擊導致大約23萬人斷電數小時。

2017年的Wannacry事件，雖然在此事件中沒有關於ICS系統影響的報告發布，但由於與OT系統連接的Windows系統不兼容，一些ICS系統似乎也發生了停機。

上述事件讓我們了解了OT系統遭遇攻擊時的嚴重後果，也預示著對OT系統的保護要比對其它系統的保護更重要。

然而，IT與OT實在是不一樣。

IT與OT從本質上來說，就是兩個東西！

IT環境是動態的，比如說，IT系統需要經常修復、升級、替換。IT員工很關注數據機密性、完整性和可用性(這三性也稱為CIA)。他們很了解最新IT趨勢和威脅。然而，IT人員往往不熟悉OT網路或工業控制系統(ICS)，他們中幾乎沒人會涉足工廠環境。

與之相反，OT員工在以穩定性、安全性和可靠性為重的運營環境工作。他們的工作涉及維護複雜敏感環境的穩定，比如煉油廠、化工廠和水廠這類充斥幾十年前的遺留系統，且系統幾十年間未做更新的環境。他們的箴言是：「只要能用，就別動它。」

IT和OT採用不同的技術

基本上，IT人員慣於使用最新最棒的硬體和軟體，包括防護其網路的最佳安全技術。他們傾向於將大部分時間花在修復、升級和替換系統上。

同時，OT員工則慣於與遺留技術為伍，其中很多甚至早於互聯網時代誕生。這些系統往往採用專用網路協議，缺乏身份驗證或加密之類基本安全控制措施，事件日誌或審計跟蹤也是沒有的。因此，OT環境中的事件檢測及響應，大大不同於IT環境中的。

IT與OT到底有啥不同

查看IT系統安全要求的一種常見方法是承認它是以數據為中心的，關鍵要求是正在處理的數據的機密性、完整性和可用性(C、I和A)。

除了這些關鍵的基本概念之外，Byres，Lissimore和Kube的演示文稿還從安全測試角度列出了IT和OT之間的差異：

1.不同的性能要求；

2.不同的可靠性要求;

3.「異常」操作系統（OS）和應用程序；

4.不同的安全架構；

5.不同的風險管理目標；

IT和OT系統優先順序之間的這種差異是IT安全測試方法、常見發現和常見建議不能簡單地在OT空間中進行調整和重用的核心原因。這是在產品評估領域之外的整個網路行業缺乏對OT的理解的結果。IT與OT之間日益緊密的聯繫導致了一種觀點，即OT是IT的一種擴展，但事實並非如此。此外，儘管最近出現了提高此類系統安全性的趨勢，許多IT安全專業人員很少或根本沒有接觸過OT系統。

為了進一步說明傳統IT安全措施和測試方法的問題的複雜性，讓我們看一下IT安全測試的一些例子，並考慮它們對OT系統的影響。

網路掃描

使用NMAP和Nessus等工具進行自動掃描是IT系統基礎架構測試過程中的一項常見活動，通常包括發送數據包來識別邏輯網路布局或檢查單個計算機是否存在已知漏洞。有時這種掃描可能會被限制，因為它有可能導致意外行為，例如導致計算機關閉，但這在IT中非常少見。

相比之下，此類活動更有可能在OT中導致意想不到的結果，並且是更加糟糕的後果。最常見的後果是被掃描的設備可能會因某些意外的輸入而關閉或不作出響應。此類活動可能會導致意外的機械反應，例如在製造工廠中突然移動機械臂對周圍機械造成物理損壞，或對在該區域工作的人員造成傷害。

打補丁

打補丁是我們正在進行安全審查的IT系統上最常見的修復手段之一，也是安全行業的熱門話題。操作系統和安裝在其上的應用程序經常成為攻擊者和安全專家的目標，攻擊者尋找進入系統的方法，而安全專家則尋找需要修復的漏洞。當一個漏洞被發現並報告後，操作系統或軟體的開發者通常會為該漏洞修補，然後需要將其安裝到受影響的計算機上，以確保其安全。

人們普遍認為，系統應該在短時間內安裝安全補丁和更新，並且只應使用供應商支持的操作系統。

即使在IT系統中，這也不像聽起來那麼簡單，因為補丁可能會導致不同軟體彼此交互的問題。因此，擁有更大網路的組織傾向於先在單個設備上安裝補丁，以檢查是否沒有問題，然後再將它們推廣到網路的其他部分。

這些問題在OT網路中更加複雜，在OT網路中，設備通常會按照設計連續運行數年。這意味著:

1.它們可能依賴於不再接收安全更新但無法升級的舊軟體版本；

2.它們維護的窗口期限很短；

3.由導致意外行為的補丁導致的停機成本太大；

因此，打補丁並不是大多數ICS系統的優先考慮因素，因為它可能會影響我們的安全性和可靠性的核心原則。

加密和認證

我們在每次IT安全評估中檢查的另一種安全機制是使用加密，如果沒有加密，任何數據都有可能被監控你的網路的人讀取或修改。它用於保護金融交易、登錄頁面、電子郵件等，以至於不使用加密的系統被視為高風險目標。而加密又往往與身份驗證密切相關，身份驗證是確保你是唯一可以訪問數據的人的機制。

然而，適用於IT中的安全機制並不意味著適用於OT。首先，我們已經指出，這些系統上的數據機密性並不是優先事項，儘管它可能適用於連接的IT系統。儘管使用加密和身份驗證也可以在一定程度上抵禦惡意攻擊，但它也會消耗計算資源，這可能會導致系統出現延遲反應，從而嚴重影響可靠性和安全性。想像一下發電站中的反應堆過熱，如果發送讀數有延遲，那麼冷卻或關閉機制的啟動會有延遲，這可能會導致物理損壞或對反應堆造成破壞。

此外，OT系統中的認證機制在某種程度上也被員工視為阻礙安全管理的絆腳石，員工在響應緊急警報時，不希望因為必須記住並輸入複雜的密碼而耽擱時間，因為他們試圖診斷問題並採取相應的行動。事實上，這樣的安全措施（認證機制）更有可能導致員工共享登錄細節，並將其寫在控制台的便利貼上，以節省時間。而這，有完全與設置密碼的初中相違背。

這可能比攻擊者訪問系統的後果更嚴重，因此，從安全的角度來看，接受攻擊者的一次入侵後果可能比阻礙負責維護系統安全和可靠性的後果更小。

總結

這篇文章主要講的是，平常在IT中司空見慣的那些安全措施並不適用於ICS中使用的OT系統。這就要求我們轉化安全防護的思維模式，不再將OT安全視為IT安全的一部分，而是將其視為具有不同安全要求的單獨類型。

這意味著在進行OT安全布防的思維層面上，安全專業人員需要至少在兩個不同的領域進行反思：

1.OT系統中的安全測試方法：這意味著全面改變當前檢查用於評估OT系統安全狀態的方法、工具和技術，而不是簡單地調整現有的IT安全測試方法。

2.辨別安全漏洞以及對應的解決方案，目前，這些漏洞主要都是基於IT系統的。在OT系統中，安全性和可靠性原則需要成為識別漏洞的核心原則。

除了上面提到的，還需要考慮在OT系統安全審查的每個實際環境中攻擊者使用的配置文件，它們與典型的IT系統不同。

評估OT系統的安全專業人員需要考慮系統是否對安全至關重要，如果測試導致系統中斷（不僅僅是財務成本，還有物理損壞，對環境的影響和威脅），最糟糕的情況是什麼？系統的安全保障，以及系統最現實的威脅是什麼？

因此，每個OT系統的評估都應該是量身定製的，因此任何OT測試方法都應該足夠靈活，以適應每個獨特的系統。

希望你讀完這篇文章後，理解為什麼IT和OT安全需要被單獨看待，以及為什麼OT安全測試與IT安全測試不同。