作者 | 绿盟科技格物实验室 田泽夏 [email protected]

背景

一切事物都在发展。简单地说，事物从简单到复杂的逐渐发展就是进化的全部意义。当某物停止进化，但仍存在时，它就被归类为活化石。银杏就是一个例子。这种进化花了数百万年才停止。这一切都是在没有人类帮助的情况下发生的。

当我们想到我们与技术的关系时，很明显，我们离实现技术进化的终点还很远。即使我们考虑人类最早的技术成就，比如如何把水运上山，我们仍然需要很多年才能用尽我们的想象力和技术能力。然而，就像树木容易受到自然力量的影响一样，我们也知道，人类最伟大的成就也可能被人类鼓舞人心的聪明才智所破坏。

关键基础设施的演变

互联网时代技术发展的一个例子是在关键基础设施和OT领域，水和废水系统只是关键基础设施的一类。多年发展以来，我们确实取得了长足的进步，但我们的破坏性也变得更强了。

许多控制关键基础设施部门的设备都被设计成拥有独立的机制。值得一提的是，这些类型的设备，如可编程逻辑控制器(PLC)，已经存在了几十年，但从来没有连接到互联网，也从来没有打算这样做。虽然这种演变带来了易用性和远程访问，但它也为一系列全新的挑战打开了大门。

这些设备通常有长达20年的生命周期，无需更新、升级或打补丁。恶意攻击者正在想方设法让这些设备去做它们本职功能之外的事情。针对PLC设备的攻击正在与那些流行的消费者级操作系统(例如Windows系统)竞争，需要关注的不只是那些较高的CVSS评分。

一个需要培训和意识的时代

为了克服这些挑战，培训和意识是关键。这些系统现在需要的不仅仅是物理上的安全;他们需要基于互联网协议的安全——或者更亲切地称为“网络安全”。设备需要更频繁地更新或升级，如果不能做到这一点，就需要更严格的控制，以阻止不必要的流量进入这些设备。

例如，一个逻辑控制器应该只与某个工程师工作站或人机界面(HMI)通信。PLC应该只接收特定类型的数据包来确定，例如，阀门应该是开的还是关的，或者设置为特定的水平。如果向控制器发送了一个意外的命令，比如一个导致控制器旋转速度超过其正常工作阈值的命令，那么将删除该指令，记录该指令，并标记该指令，以便进一步调查。

一个公开接受来自互联网指令的逻辑控制器是极其脆弱的。显然，向PLC发出命令的工作站也存在问题。其中一个关键影响是COVID-19大流行。由于人们被迫在家办公，企业不得不迅速让员工实现远程工作，远程访问大大加快了对安全性的需求。在疫情之前，这些公司中有许多是严格禁止远程工作的，但现在它们被迫适应以便能够正常运作。许多基于IP的设备需要进行首次远程控制，那么建立安全访问权限就至关重要。

在这些新的工作规则下，当疫情开始缓解并恢复时，有三种选择:

• 传统主义者认为一切都应该回到原来的样子。

• 未来主义者认为，现在是继续远程工作、不再回到办公室的时候了。

• 还有一些人介于两者之间。

可以推测，大多数人会介于两者之间。鉴于这场疫情持续的时间远远超过任何人的预期，各组织不情愿地开始了数字化转型。有些人选择全力以赴，有些人则慢慢地维持最低限度的经营。因此，对网络安全的需求只会越来越大。组织需要采取务实的方法，关注以下主题:

• 了解他们的网络上有哪些设备。

• 了解哪些设备在与其他设备通信，无论是内部还是外部。

• 了解这些设备的风险状况，无论是关于漏洞还是它们的配置方式。

基于这三点，接下来需要把重点放在降低已识别的风险上，并确保网络被适当地分割和监控。

互联网安全中心发布了关键安全控制，帮助组织计划如何以简单和实用的方式构建他们的安全程序。对于那些在构建程序时负责关键基础设施和OT安全实现的人来说，这是一个很好的资源，他们还可以与业务IT方面的同行合作，在组织内创建协同效应。

进化的发生既是出于需要，也是为了让我们的生活更轻松。在这种情况下，关键基础设施的网络安全状况必须发展得更加安全。我们还有很长的路要走，才能让我们的聪明才智变成活化石。

原文来源：网络安全应急技术国家工程实验室

本文始发于微信公众号（关键基础设施安全应急响应中心）：关键基础设施防护发展