运营技术 (OT) 包括能够直接检测或引发工业设备、资产、流程和事件变更的硬件和软件。它强调了与传统信息技术（IT）系统的技术和功能区别，强调工业控制系统环境。

工业控制系统 (ICS) 代表了运营技术 (OT) 的基本要素，广泛应用于各种关键行业和自动化框架。因此，网络安全解决方案在该技术领域已变得势在必行。

2010 年发生的Stuxnet案例是 一个重大事件，通过对工业设备的攻击展示了与 OT 相关的复杂性和潜在风险。因此，OT安全的重要性随着Stuxnet事件的出现而凸显出来，这可以被认为是对关键系统的第一次重大攻击。

关键行业的安全（图片来源：Bing AI）

纽约大坝、佛罗里达 水处理和 殖民地管道 袭击等关键行业安全领域的事件已经反复发生，并且持续发生，甚至在 2023 年以色列与哈马斯冲突期间也是 如此。然而，在提出以下问题之前：ICS和SCADA都是关键行业，我们需要看看运营技术（OT）的概念。

什么是运营技术 (OT)？

虽然各国对关键基础设施的解释可能有所不同，但它们通常包括物理和数字资产、系统和网络，这些资产、系统和网络在可访问性、机密性和完整性方面的妥协可能导致生命损失、国家安全风险、公共秩序混乱和严重后果。经济损害。

这些基础设施，包括发电和配电、供水和污水处理设施、 医疗 服务、 金融 机构、交通系统以及粮食和农业部门，在当代社会中发挥着不可或缺的作用。

它们错综复杂地相互关联，这意味着对其中任何一个的攻击都可能对其他人产生连锁反应，并可能导致社会动荡。因此，OT 是一个重要的组成部分，特别是对于这些行业而言。

OT（操作技术）和IT（信息技术）是现代生活基础的两大支柱。虽然IT是我们经常听到的一个概念，但OT却并非如此。但从安全角度来看，这可能更为关键。

运营技术 (OT) 系统使用与 IT 环境类似的工具，但针对不同的目的进行定制，主要与工业控制系统 (ICS) 等其他机器交互，以确保其正常运行并满足严格的正常运行时间要求。

传统上，IT 和 OT 网络分开运行，OT 系统通常运行旧版软件，并与互联网和 IT 网络“隔离”，以防范网络威胁。

气隙网络通常通过物理方法被外部网络完全划分。因此，只有通过人工操作员，这些系统才能与其他网络进行通信。（图片： 贝尔登）

然而， 工业物联网 (IIoT)的出现 消除了这种气隙，实现了工业流程的远程监控和管理。因此，弥合这种物理网络断开变得至关重要，需要专门的运营技术 (OT) 和 物联网 安全解决方案。

信息技术 (IT) 和运营技术 (OT) 有何区别？

运营技术 (OT) 安全性可满足 OT 环境的独特要求，优先考虑系统可用性并了解 OT 特定协议，同时减少针对性攻击和恶意软件感染。

与 IT 系统相比，OT 系统的生命周期较长，通常长达数十年，这给维护过时基础设施的安全措施带来了挑战。此外，一些 OT 系统受到严格监管，使安全管理进一步复杂化。

IT/OT 组件（图片：ZippyOps）

随着 OT 资产越来越多地连接到互联网，它们变得容易受到网络威胁的影响，给工业控制系统 (ICS) 带来重大风险，并可能给组织带来严重后果。

什么是运营技术 (OT) 组件？

运营技术设备用于工业环境和关键基础设施部门。OT 和工业网络的组件构成了强大的工业控制和监控生态系统。

简化的运营技术 (OT) 组件

工业控制系统 (ICS) 是一个涵盖SCADA（监控和数据采集） 和 DCS（分布式控制系统）的总称 。ICS 网络能够监控各种基础设施和原材料系统。ICS 网络的可靠性和即时可用性至关重要，这使它们有别于 IT 系统。

SCADA 系统弥合了物理过程和数字控制之间的差距，提供实时监控和控制功能。SCADA 系统通过集成传感器、数据采集设备、PLC 或远程终端单元 (RTU)、监控计算机和通信网络，提供工业流程的整体视图。它们收集温度、压力、流量等参数的数据，使操作员能够做出明智的决策。

SCADA 系统（图片来源：TBMendustri）

SCADA 系统广泛应用于各个行业，包括能源分配、制造和运输。例如，它们监视和控制电网、优化制造设施中的生产线以及管理智能交通系统中的交通流。

DCS 为复杂的连续过程工业提供全面的控制和监控功能。DCS 通过利用分布在整个工厂或控制区域的专用控制器来实现多个变量的实时管理。

凭借先进的控制算法、数据记录和报警管理功能，DCS 在关键基础设施中至关重要。石化厂依靠DCS来有效控制化学过程，石油和天然气行业利用DCS来远程监控钻井作业，核电厂利用DCS来安全可靠地发电，水管理系统利用DCS来有效地分配和处理水资源。

PLC 是工业自动化和控制系统的主力。PLC 专为承受恶劣的环境条件（包括极端温度和接触污染物）而设计，具有卓越的可靠性。它们包括中央处理单元（CPU）、输入/输出（I/O）模块、存储器和通信端口。

可编程逻辑控制器（图片：MROElectric）

PLC 具有高度灵活性和可定制性，使其适用于各种工业应用。例如，PLC 可以实现制造工厂装配线的自动化、精确控制机器人机器以及优化废水处理流程，以增强环境的可持续性。

人机界面 (HMI) 是操作员监视和控制工业过程的交互式平台。它直观地代表系统，显示实时数据、控制面板和警报。操作员可以轻松监控过程状态、调整控制参数并接收通知以进行高效故障排除。HMI 还提供数据分析和报告工具，使操作员能够优化流程性能。

Kinco HMI（图片来源：AnaheimAutomation）

即使上面的例子没有包含所有组件，但主体框架就是这样形成的，那么我们如何保护这些系统呢？

运营技术 (OT) 安全面临哪些挑战？

运营技术 (OT) 系统遇到各种安全漏洞，包括恶意软件渗透、人为错误、缺乏可见性、过时的软件和不安全的远程访问。恶意软件可以通过网络钓鱼电子邮件、受感染的可移动媒体或未修补的 软件漏洞渗透系统，而点击 恶意链接 或打开受感染附件等人为错误也可能使攻击者能够访问 OT 系统。缺乏可见性、过时的软件和不安全的远程访问是导致 OT 安全漏洞的其他重要因素。

正如我们之前提到的，在这些系统中，可用性是优先考虑的，这有时会导致许多安全漏洞。即使是防火墙和 EDR 设备通常也无法安装在这些控制设备上；未更新的产品也会导致此问题。

 英国去年的一份 报告展示了广泛意义上的挑战。报告称，2020年，  针对运营技术（OT）和工业控制系统（ICS）的事件惊人地增加了2,000% 。根据 2022 年 IBM Security X-Force 威胁情报指数，制造业成为全球最受攻击的行业，五年来首次超过金融和保险业。同样令人不安的是，制造商组织 Make UK 和黑莓进行的研究显示，接受调查的英国制造商中有 65% 在成功的网络攻击后遭遇了生产中断。

主要挑战如下：

• 维护遗留 IT (44.6%)

• 企业内的网络安全技能有限（37.5%）

• 提供第三方访问权限以进行远程监控和维护（33%）

• 了解 IT 安全与 OT 安全 (26.8%)

• 没有任何单一工具或传感器可以提供对所有威胁的可见性 (25%)

尽管上述类别非常广泛，但在 2023 年和 2024 年，同样的问题仍然存在。

案例示例：对美国关键基础设施的攻击

近几个月来， 针对 Unitronics 可编程逻辑控制器 (PLC) 的黑客攻击 代表了针对美国多个关键基础设施的伊朗民族国家 (IRGC) 供应链攻击。IRGC 的这次行动重点是通过其客户利用 Unitronics PLC，意图损害 Unitronics 和以色列。

损坏的 Unitronics 产品

PLC 的污损虽然在历史上表明了 IRGC 的象征性姿态，但可能会掩盖更多的恶意活动，例如插入新代码或损害现有代码以进行未来的攻击。

默认密码漏洞给控制系统安全带来了重大挑战，因为 PLC 通常附带有用户忽视更改的默认密码。这种做法在 IT 和 OT 行业中普遍存在，暴露了安全风险，如CVE-2023-6448所示 ，突显了 Unitronics Vision 系列 PLC 和 HMI 由于默认管理密码而存在的不安全性。

尽管 Unitronics 建议更改默认密码，但当局最初仅将此问题视为 Unitronics 的问题，甚至向公众披露了默认密码。然而，问题的根源在于用户的疏忽，而不是产品本身的缺陷。对默认密码的持续利用凸显了供应商和最终用户解决所有 PLC 中这一安全漏洞的紧迫性。

综上所述，这些产品可能存在漏洞，并且会发生大量与用户相关的事件，使得设备保护面临挑战。了解威胁行为者如何针对此攻击面可以为有效的防御策略提供信息。

威胁行为者如何针对 ICS

MITRE  ATT&CK ® 框架具有不同的 ICS 矩阵，并在工业自动化网络中得到广泛应用，有助于理解更复杂的攻击活动。

MITRE ATT&CK® ICS 矩阵 (MITRE)

确保 OT/ICS 安全的传统方法通常无法应对不断变化的威胁。然而，深入了解网络参与者的策略、技术和程序 (TTP) 的组织可以有效地确定其防御的优先顺序。

网络攻击者精心策划并执行对关键基础设施控制系统的入侵。正如 CISA 所说，他们的策略通常分几个阶段展开：

确定预期效果并选择目标： 恶意行为者（从网络犯罪分子到国家资助的实体）具有多种动机，从经济利益到政治或军事目标。目标选择取决于期望的效果，例如扰乱操作或造成心理影响。

收集有关目标系统的情报： 参与者从各种来源收集情报，包括开源研究、内部威胁和企业网络。利用有关控制系统中 OT 特定技术和 IT 技术的信息来识别漏洞和潜在的入口点。

2008 年，时任伊朗总统马哈茂德·艾哈迈迪内贾德参观了纳坦兹浓缩设施 ( TimesOfIsrael )

• 2008年，伊朗总统官方网站发布了40多张内贾德参观纳坦兹设施的照片。有人建议，通过这些照片进行的情报活动，这些系统被识别出来，为震网病毒铺平了道路。这强调了即使某些图像也可以提供的深刻情报潜力，强调了此类系统的重要性和脆弱性。

开发技术和工具： 凭借智能，参与者可以采购或开发专门用于有效操纵控制系统的工具。从利用默认密码到制作像TRITON这样的自定义恶意软件 ，攻击者会根据目标环境调整他们的武器库。

获得初始访问权限： 利用远程访问点中不良的安全实践，攻击者秘密渗透控制系统。供应商访问和远程连接充当漏洞利用的网关，凸显了对强大网络安全措施的需求。

执行技术以实现效果： 一旦进入，参与者就会破坏、操纵或禁用控制系统以实现其目标。这包括损害数据报告、拒绝操作员控制以及启用远程侦察。

成功入侵的后果可能是可怕的，从操作中断到物理损坏或设备毁坏。攻击者利用控制系统中的漏洞来策划具有潜在深远影响的复杂攻击。

如何保护关键系统？

平衡网络安全与性能、功能、易用性和可用性给所有者/运营商带来了重大挑战，特别是在考虑使用系统工具、脚本和远程访问时。虽然这些工具增强了功能并促进了维护，但它们也扩大了攻击面，使工业控制系统 (ICS) 容易受到恶意行为者的攻击。

随着恶意行为者针对 OT/ICS 的攻击不断升级，所有者/运营商必须更仔细地权衡与这些决策相关的风险。了解系统目标不是“如果”而是“何时”的问题，对于指导 ICS 安全决策至关重要。通过假设对抗性视角并预测潜在的攻击媒介，所有者/运营商可以主动确定优先级并实施缓解策略。

可用的安全解决方案的丰富性可能令人难以承受，导致决策瘫痪。在这种复杂性中，业主/运营商可能会忽视简单而有效的安全措施。然而，采用简单的 ICS 安全最佳实践可以显着减轻常见威胁。

限制系统信息的暴露：

• 保护操作和系统数据（包括硬件、固件和软件详细信息）不被公开披露。

• 将信息保护教育纳入人才培养。

• 严格记录数据流、通信路径和安全标准。

• 将数据共享限制在基本的法律和合同要求范围内，防止未经授权的访问和使用。

• 执行严格的管理政策和审核程序，以确保合规性和安全的数据传输。

识别并保护远程访问点：

• 保持对控制系统网络内已安装系统和远程接入点的全面了解。

• 建立防火墙和非军事区 (DMZ) 以隔离供应商接入点和设备。

• 实施虚拟专用网络 (VPN) 以实现安全数据交换。

• 利用跳线盒并执行严格的访问控制策略。

• 定期检查配置并进行渗透测试以识别和解决漏洞。

• 更改默认密码、及时修补已知漏洞并监控访问日志是否存在可疑活动。

限制工具和脚本：

• 将对网络和控制系统工具和脚本的访问限制为执行合法任务的授权用户。

• 删除非关键工具并防止未经授权的重新安装。

• 在外部安全地存储重要工具并进行例行审核以确保合规性。

定期进行安全审核：

• 执行独立的安全审核以识别和解决系统漏洞。

• 验证所有连接、审查修补程序并持续监控系统日志。

• 实施 CISA ICS 缓解措施和最佳实践，并将其纳入审计程序。

实施动态网络环境：

• 定期进行可管理的网络更改，以破坏恶意行为者的持续访问。

• 部署额外的防火墙、修改 IP 地址池、升级硬件和操作系统以及安装商用安全包。

• 深思熟虑地计划变更，以尽量减少对网络运营的干扰。

通过采用这些缓解策略，所有者/运营商可以增强其 ICS 抵御不断变化的网络威胁的弹性，并降低成功入侵的可能性。持续保持警惕、采取主动措施并遵守最佳实践对于保护关键基础设施免受恶意行为者的侵害至关重要。

原文始发于微信公众号（河南等级保护测评）：运营技术 (OT) 和网络安全：保护关键基础设施