大量关键基础设施设备受到网络攻击

全球至少有 100,000 个工业控制系统 （ICS） 暴露在公共互联网上，控制着电网、供水系统和建筑管理系统 （BMS） 等一系列关键运营技术 （OT）。虽然这是一个很大的数字，但研究人员指出，量化这种暴露的真正网络风险意味着检查设备使用的协议。

在最近的一项分析中，来自网络风险障碍者Bitsight的研究人员通过清点使用前10种最流行和广泛使用的ICS协议（包括Modbus，KNX，BACnet，Niagara Fox等）的可访问设备，达到了100,000个数字。

他们确定，暴露的ICS足迹代表了网络攻击者的成熟目标，因此对至少96个国家的人身安全构成全球风险。风险不是理论上的，因为恶意软件旨在破坏电网和像殖民地管道黑客事件这样的事件。

“这些ICS设备用于控制我们社会中的大部分物理基础设施，从交通信号灯到疫苗生产，”该公司最近的一份报告称。“这些系统的中断可能导致严重的业务中断、对人类安全的威胁、数据和知识产权 （IP） 泄露、国家安全威胁等。

Bitsight的首席安全研究员Pedro Umbelino指出，这种类型的设备可以通过互联网直接访问的原因很少，因此风险水平似乎是一个可解决的问题。

“我们确定为面向互联网的系统可能是由于配置错误或忽视最佳实践，”他解释道。“通常，攻击者会扫描面向互联网的系统，然后收集信息以确定该系统是否存在漏洞。因此，如果系统位于防火墙后面或不面向互联网，那么大部分利用风险就会得到缓解。

无标准协议：ICS 通信指南风险评估

了解 ICS 环境中的风险不仅仅是确定可从 Internet 访问的设备数量。具体来说，使用不同的协议可能是确定网络攻击者可能在哪里探测弱点的重要线索。

“我们探索的一些协议缺乏安全措施，比如基本身份验证，使设备几乎对任何人开放，”他说。

他补充说，其他协议具有可以帮助攻击者执行目标侦察的属性。“其他协议非常冗长，清楚地表明了设备的品牌、型号和版本，极大地简化了攻击者搜索现成漏洞的任务，”Umbelino 解释说。“采用不同的协议表明，组织暴露的表面存在不同的设备。这意味着不同的供应商，不同的供应链，[和]不同的软件运行。

组织还应该意识到，按协议定制攻击也有助于地理定位。Bitsight指出，使用CODESYS，KNX，Moxa Nport和S7的暴露工业控制系统主要集中在欧盟（EU）。同时，使用ATG和BACnet的暴露系统主要位于美国。另一方面，Modbus和Niagara Fox在全球范围内开展业务。

Umbelino说，结论是拥有ICS的组织可以盘点其协议使用情况，并将其用作识别风险并告知其OT / ICS安全策略的变量。例如，重新配置整个关键基础设施环境以消除面向互联网的点可能并不总是可行的，因此知道首先关注哪里可能是非常宝贵的。

虽然Bitsight的顶线调查结果应该为各地的关键基础设施利益相关者敲响警钟，但值得注意的是，ICS暴露水平实际上随着时间的推移而下降，即使在转向“智能”OT环境和更多数字化的情况下也是如此。2019年，研究参数范围内的暴露ICS设备数量接近140,000。

“像CISA的’保护工业控制系统：统一倡议’这样的举措，以及安全界围绕ICS安全主题进行的一般性讨论，可能有助于降低风险，”Umbelino假设,工业4.0带来了新技术，但也带来了与它们交互的其他方式（例如，考虑云环境，专用网络和其他难以访问的环境）和更成熟的安全程序。

如何提高ICS的安全性

从实际的角度来看，ICS环境的所有者可以通过采取一些常识性步骤来支持他们的安全性：

识别组织和/或第三方业务合作伙伴部署的任何ICS，并及时评估这些系统的安全性;

从公共互联网中删除任何 ICS;

采用防火墙等保护措施来防止未经授权的访问;

并承认适用于OT的独特控制需求，包括ICS，而不仅仅是将传统的IT风险模型应用于基础架构（即需要停机才能进行修补）。

“简而言之，根据经验：减少暴露，”Umbelino说。工业控制系统不属于公共互联网。使用防火墙、配置访问控制，利用虚拟专用网络或任何其他的机制阻止设备被广泛访问。