OT/ICS网络安全态势不容回避的10个事实

美国国家安全局 (NSA) 和网络安全和基础设施安全局 (CISA)于9月22日发布了一份网络安全咨询（ CSA），重点介绍了恶意行为者通常采取的攻击破坏操作技术 (OT)/工业控制系统 (ICS) 资产的步骤并提供有关如何防御它们的建议。这份题为《 控制系统防御：了解对手》（Control System Defense: Know the Opponent）的咨询建议 指出对运营、控制和监控日常关键基础设施和工业流程的OT和ICS资产的威胁越来越大。基于当前的安全态势 ，该指南文件认为恶意网络行为者给ICS网络带来了越来越大的风险。保护OT/ICS的传统方法不能充分解决当前对这些系统的威胁。了解网络威胁行为者的战术、技术和程序(TTPs)的所有者和运营商可以在优先加强OT/ICS措施时使用这些知识。

近日，Industrial Cyber采访了IBM全球安全服务部OT/IoT安全服务业务负责人Rob Dyson、Dragos服务副总裁Ben Miller和仪器仪表、控制和控制系统网络安全专家Joe Weiss这三位OT/ICS网络安全专家，以征求他们对CISA-NSA指南的结果及其对关键基础设施和 OT环境可能产生的影响的看法。编者整理了专家们的基本观点和认识。

1、随着IT和OT（运营技术）环境中的数字化转型呈指数级增长，关键基础设施资产所有者和运营者保护OT/ICS环境的传统方法不足以应对当前网络安全威胁。

2、组织的ICS安全决策是基于网络安全攻击迫在眉睫以及他们的系统被各类攻击者瞄准以实现政治利益、经济利益或破坏性影响这一残酷事实。

3、既然系统所有者和运营者无法改变网络攻击者已瞄准他们的系统这一事实，那么假设系统成为攻击目标并预测攻击者可能造成的影响后果并优先考虑缓解措施，显然更具现实意义。也就是说这些关键基础设施部门再也无须纠结或心存侥幸“我是不是攻击目标”问题，而是考虑“何时被攻陷”的问题。

4、典型的工业环境不仅包括员工，还包括许多第三方，如承包商和供应商，放大的攻击面和复杂的供应链使得安全态势更加复杂，“工业 4.0”数字化背景下，网络攻击的风险呈指数级增长。尽管如此，防御者也并不是毫无作为，他们仍然有机会采取措施来减轻任何恶意活动的影响。

5、关键基础设施所有者、运营者和网络防御者所做的努力着重在于提高攻击对手的时间、成本和技术壁垒。此外，他们必须通过解决系统性弱点/漏洞来建立流程以维持系统的运营弹性，使控制系统能够承受网络攻击事件，进而将对关键基础设施的影响最小化。

6、承认围绕OT系统的威胁正在增加，而且变得更加多样化。认识到OT与IT不同，防御者不能只复制其IT安全方案、安全程序到OT环境，这对于关键基础设施和任何制造商来说都很重要。网络安全学科过于复杂，关基基础设施运营者或所有者无法独自完成，寻求专业安全厂商的帮助，更快、更具成本效益地实现其OT网络安全风险管理目标是关键。

7、事实上，IT和OT网络安全企业正试图将网络安全的方钉强加到工程系统的圆孔中，由于技术原因，许多网络安全技术无法实现。IT和OT网络安全侧重于CISO职权范围内的互联网协议网络。过程传感器等控制系统现场设备需要了解系统和组件的工作原理。控制系统网络安全侧重于现场设备，例如过程传感器及其相关的低级网络，这些网络通常是串行的。这些现场设备没有网络安全，属于工程范围。因此，保护这些现场设备不同于保护IT或OT网络，需要不同的技术和培训。

8、网络安全与功能安全/业务安全是不同的却是融合的，它们在知识、组织、人员、管理、流程等方面，两张皮的现状依旧。工程人员不懂网络安全，安全人员缺乏工程知识。系统工程思想回归成为必然，系统安全工程应运而生。

9、气隙隔离（或物理隔离）与漏洞无法修复的借口，不再那么理直气壮，也不会再长期延续

10、控制系统受到影响时，结果是显而易见的——火车或飞机坠毁、管道破裂、电力中断。由于缺乏控制系统网络取证和培训，这些事件通常不被认定（或无法确定）为与网络相关。这是控制系统网络安全的最后一公里，通常的基于IP网络数据的监控方案是无能为力的。