7月31日訊 工控系統(tǒng)架構(gòu)面臨的主要挑戰(zhàn)是其底層技術(shù)的雙重屬性，即一個(gè)典型的 ICS 組件必須能在指定的網(wǎng)絡(luò)或系統(tǒng)接口與 IT（信息技術(shù)） 和 OT（運(yùn)營(yíng)技術(shù)） 系統(tǒng)交換信息。這有別于傳統(tǒng)的熱泵，制動(dòng)器和電機(jī)等工業(yè)設(shè)備，這些設(shè)備以前只會(huì)被 OT 系統(tǒng)訪問(wèn)和控制。

因此，現(xiàn)在設(shè)備中兩個(gè)接入點(diǎn)的存在體現(xiàn)了 OT/ICS 基礎(chǔ)設(shè)施的一個(gè)主要漏洞。傳統(tǒng)的 IT 黑客工具和技巧可首先用于接近 ICS 組件，當(dāng)接近到一定程度，再實(shí)施攻擊直接破壞 OT 控制或設(shè)備。

SCADA 的安全問(wèn)題

SCADA(Supervisory Control And Data Acquisition) 指的是存在于二級(jí) Purdue 模式的監(jiān)控和數(shù)據(jù)采集功能，這是 IT/OT 接口的本質(zhì)所在，但這也可能為攻擊者提供便利。

使用已升級(jí)安全性能的 SCADA 軟件相比已經(jīng)有些年頭的舊系統(tǒng)更適用于新的控制功能，但無(wú)論在 OT 軟件中加入多少安全性能，幾乎所有的軟件都是存在漏洞的。

SCADA系統(tǒng)，即數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)。

黑客拿下OT/ICS目標(biāo)的攻擊路徑

SCADA 的安全問(wèn)題之所以飽受爭(zhēng)議，原因在于此類(lèi)系統(tǒng)遭到破壞將帶來(lái)惡劣的影響。與其他純粹的技術(shù)性爭(zhēng)論不同，SCADA系統(tǒng)一旦被黑，其影響可能包括下列三類(lèi)嚴(yán)重影響：

工控系統(tǒng)劫持——工控設(shè)置中，遠(yuǎn)程控制的側(cè)重安全/可靠性的 OT 系統(tǒng)都可能被犯罪分子，***或極端軍事組織劫持。

重要的遙測(cè)干擾——工控系統(tǒng)若出現(xiàn)安全問(wèn)題或是設(shè)備損壞，來(lái)自 OT 系統(tǒng)的重要信息會(huì)被攔截或干擾。

關(guān)鍵 OT 系統(tǒng)不可用——OT 系統(tǒng)的可用性可能會(huì)受影響，如果目標(biāo)系統(tǒng)被要求用于實(shí)質(zhì)性的控制，就可能造成實(shí)時(shí)影響。

汽車(chē)的"IT 和 OT"風(fēng)險(xiǎn)

在許多情況下，隔離 IT 和 OT 系統(tǒng)的主要功能性控件是運(yùn)算要素上的物理總線，因此不推薦只用軟件作關(guān)鍵基礎(chǔ)設(shè)施組件的安全隔離。

例如，汽車(chē)不應(yīng)該把 IT 服務(wù)和娛樂(lè)以控件服務(wù)的形式（如引擎診斷和安全管理）連接到同一個(gè)物理總線。

這個(gè)漏洞存在的時(shí)間越久，就越要嚴(yán)格規(guī)定 IT 和 OT 系統(tǒng)不能共享可遠(yuǎn)程訪問(wèn)的任何功能。一旦黑客創(chuàng)造了攻擊路徑，他們可以通過(guò)這種方式從共享路徑入侵目標(biāo) OT 設(shè)備或系統(tǒng)，這種方式真實(shí)可行。

案例分析

2015年，兩名來(lái)自圣迭戈大學(xué)的安全調(diào)查員曾做過(guò)如下演示：

訪問(wèn)一輛克爾維特車(chē)上駕駛員面板的車(chē)載診斷加密狗（Diagnostic Dongle），對(duì)其剎車(chē)進(jìn)行惡意的遠(yuǎn)程控制。在該用例中，攻擊者可能進(jìn)入汽車(chē)，插入診斷加密狗，稍后再利用這種遠(yuǎn)程訪問(wèn)黑入其它系統(tǒng)。

同年，更讓人震驚的是，Charlie Miller 和 Chris Valasek 兩位研究人員演示了利用一個(gè)軟件的零日漏洞，從其筆記本入侵一輛行駛中的吉普車(chē)，并且未對(duì)目標(biāo)交通工具進(jìn)行物理訪問(wèn)。攻擊者利用遠(yuǎn)程訪問(wèn)通過(guò)交通工具的娛樂(lè)系統(tǒng)把指令發(fā)送到駕駛員面板，在此面板上有剎車(chē)控制，轉(zhuǎn)向，雨刮，空調(diào)和其他各種功能。

在每個(gè)案例中（顯然并不局限于汽車(chē)），漏洞主要是在遠(yuǎn)程訪問(wèn)功能和任務(wù)關(guān)鍵型功能之間共享時(shí)出現(xiàn)，這是 OT/ICS 基礎(chǔ)設(shè)施的致命問(wèn)題，因?yàn)楹诳凸敉ǔＴ谟泻侠砭W(wǎng)絡(luò)安全控件的情況下發(fā)生，通過(guò)共享機(jī)制把重要的和不重要的組件連接起來(lái)，如許多 OT 系統(tǒng)上都有的CANbus，黑客就有了遠(yuǎn)程控制的方式。

跨共享設(shè)備總線的遠(yuǎn)程攻擊

如何有效進(jìn)行隔離？

要解決這一問(wèn)題，首先要為需保護(hù)的工控系統(tǒng)設(shè)備和其他物聯(lián)網(wǎng)組件創(chuàng)建合適的安全隔離要求，這種隔離應(yīng)該是嵌入設(shè)計(jì)流程中的強(qiáng)制性功能需求，在開(kāi)發(fā)的整個(gè)過(guò)程進(jìn)行強(qiáng)制實(shí)施，在部署前后都要進(jìn)行審核。

另外，最好使用流量控制機(jī)制進(jìn)行分離，這種機(jī)制可避免惡意軟件從不被信任的系統(tǒng)轉(zhuǎn)移到關(guān)鍵基礎(chǔ)設(shè)施中。可通過(guò)部署物理隔離和單向通信機(jī)制的網(wǎng)關(guān)實(shí)現(xiàn)，這種方式也被稱為單向網(wǎng)關(guān)。