大型组织的工控系统中有91.1%面临网络威胁

本文摘要：中国工控信息安全市场正在经历井喷期的前夜。于是以所谓山雨欲来风满楼，市场正在再次发生悄悄变化，信息安全也终将沦为一个为工业界所广泛注目的问题。某业内人士曾大声疾呼：在工控安全性没大规模地沦为社会问题之前，我们要有充足的技术储备，充足的实战经验，以便较好地应付即将来临的问题。 为了尽量减少遭到网络攻击的概率，工业控制系统（ICS）应该运营于物理隔绝的环境下。但真实情况并非如此。

中国工控信息安全市场正在经历井喷期的前夜。于是以所谓山雨欲来风满楼，市场正在再次发生悄悄变化，信息安全也终将沦为一个为工业界所广泛注目的问题。某业内人士曾大声疾呼：在工控安全性没大规模地沦为社会问题之前，我们要有充足的技术储备，充足的实战经验，以便较好地应付即将来临的问题。

　　为了尽量减少遭到网络攻击的概率，工业控制系统（ICS）应该运营于物理隔绝的环境下。但真实情况并非如此。在卡巴斯基实验室公开发表的关于ICS威胁环境的报告中，卡巴斯基实验室专家找到13,698台工业控制系统主机曝露于互联网中，而且这些主机很有可能都归属于大型的组织。

这些的组织还包括能源行业、交通运输行业、航空行业、石油和天然气行业、化工行业、汽车生产行业、食品和饮料行业、政府机构、金融机构和医疗机构。这些主机中，有91.1%包括可被远程利用的漏洞。更糟的是，这些工业控制系统主机中，有3.3%包括相当严重的可远程继续执行的漏洞。

　　将工业控制系统组件曝露于互联网上需要带给很多机会，但是也不会导致很多安全性问题。一方面，联网的系统需要在遇上紧急情况时更加灵活性和更慢地作出号召，部署改版。

但是另一方面，终端互联网，让网络罪犯有机会远程控制关键工业控制系统组件，有可能造成设备物理损毁，甚至给整个关键基础设施导致潜在危害。　　针对工业控制系统（ICS）的简单反击并不新鲜。2015年，一个有的组织的被称作BlackEnergy的黑客APT的组织针对乌克兰一家电力公司展开了反击。

某种程度是这一年，欧洲再次发生了两起类似于的同网络攻击有关的事件，一家坐落于德国的钢铁厂和华沙肖邦机场遭到反击。　　由于攻击面很广，所以未来将不会经常出现更加多这样的反击。我们找到的坐落于104个国家的13,698台主机只是互联网上包括ICS组件的主机中的一小部分。

　　为了协助各种的组织找到工业控制系统（ICS）中的潜在风险，卡巴斯基实验室专家对ICS威胁展开了全面调查。他们的分析基于OSINT（开源情报）和公共来源信息（如ICS CERT），研究期限为2015年。　　工业控制系统威胁环境报告的主要展现出为：　　1.我们在互联网上，共计找到有188,019台具备工业控制系统（ICS）组件的主机，这些主机来自全球170个国家。

　　2.这些可远程访问的包括ICS组件的主机大多数坐落于美国（30.5% - 57,417台）和欧洲。在欧洲，德国位列首位（13.9%-26,142台主机），其次为西班牙（5.9%-11,264台）和法国（5.6%-10,578台）。　　3.可远程访问的ICS主机中，有92%（172,082台）包括漏洞。

其中，87%包括中等风险漏洞，7%包括高危漏洞。　　4.过去五年中，ICS组件中的漏洞数量快速增长了五倍：从2010年的19个漏洞快速增长到2015年的189个漏洞。

包括漏洞最少的ICS组件为人机界面（HMI）、电子设备和SCADA系统。　 5.所有需要外部采访的ICS设备中，有91.6%（172,338台主机）用于了较强的互联网相连协议，让攻击者有机可乘，需要实行中间人反击。

　　卡巴斯基实验室关键基础设施维护总监Andrey Suvorov说道：我们的研究表明，ICS基础设施的规模越大，不存在相当严重安全漏洞的几率也越大。这并不是某个软件厂商或硬件厂商的问题。

从本质上来说，ICS环境是混合了多种不同的网络组件，很多组件都相连互联网，并且不存在安全性问题。任何人都无法100%确保某一种ICS系统在任何登录的时间不包括安全漏洞。但是，这并不意味著我们没办法维护工厂、电站或者是智慧城市街区抵挡网络攻击。

理解工业设施中所用于的组件中不存在漏洞，是对这一设施展开安全性管理的基本拒绝。这就是我们这篇报告的目的之一：让人们意识到这些系统的安全性状况。　　为了维护ICS环境抵挡网络攻击，卡巴斯基实验室安全性专家建议采行以下安全措施：　　1.展开安全性审核：最慢的办法是邀通晓工业安全性的专家查询和避免报告中叙述的安全漏洞。　　2.提供外部情报：当今的IT安全性十分倚赖有关潜在反击手段的科学知识。

从信誉较好的供应商提供此类情报，需要协助的组织和企业预测自己的工业基础设施未来有可能遇上的反击。　　3.在企业或的组织安全性边界范围内和范围外都获取维护。

错误不时会再次发生。但是，必要的安全策略必需将一部分资源用作反击检测和号召，在反击牵涉到关键的最重要对象之前将其截击。　　4.评估高级维护手段：即使有些包括漏洞的节点无法修复或去除，也可以用于针对SCADA系统的配置文件拒绝接受方案，定期检查控制器的完整性，对网络展开监控，强化企业的整体安全性，增加遭遇反击的几率。

本文来源：天博APP-www.artefakct.com