SANS研究所最近進(jìn)行的一項(xiàng)關(guān)于工業(yè)控制系統(tǒng)安全的調(diào)查表明，擁有諸如ICS、SCADA、過程控制、分布式控制或設(shè)施自動(dòng)化之類的操作控制系統(tǒng)的組織仍將人視為最大的潛在弱點(diǎn)，并且在某些地區(qū)，它也是阻止網(wǎng)絡(luò)攻擊最大的資產(chǎn)。

2019年6月，SANS研究所發(fā)布了其報(bào)告《 2019年SANS OT / ICS網(wǎng)絡(luò)安全調(diào)查》，該調(diào)查探討了工業(yè)控制系統(tǒng)（ICS）的設(shè)計(jì)、運(yùn)營(yíng)和風(fēng)險(xiǎn)管理，及其網(wǎng)絡(luò)資產(chǎn)和通信協(xié)議以及支持操作方面所面臨的挑戰(zhàn)。

該報(bào)告基于對(duì)338名人員的調(diào)查，其中包括安全人員以及在企業(yè)IT或運(yùn)營(yíng)控制系統(tǒng)（例如監(jiān)督控制和數(shù)據(jù)采集（SCADA）、過程控制、分布式控制或建筑/設(shè)施自動(dòng)化和控制）中工作的其他專業(yè)人員。

最弱的連接

該調(diào)查發(fā)現(xiàn)了幾個(gè)有趣的數(shù)據(jù)點(diǎn)，例如，有62％的受訪者表示“人員”是危害其運(yùn)營(yíng)技術(shù)（OT）和ICS環(huán)境的主要風(fēng)險(xiǎn)。其范圍從故意的惡意攻擊者到非惡意的人，例如粗心地配置設(shè)備的員工。

然而，該調(diào)查還強(qiáng)調(diào)，組織越來越依賴內(nèi)部培訓(xùn)的人員作為安全情報(bào)的來源。在2017年，有37.4％的人表示“我們依靠訓(xùn)練有素的員工知道何時(shí)搜索事件。”到2019年，這一數(shù)字已急劇上升至60.4％。

SANS調(diào)查發(fā)現(xiàn)的另一個(gè)數(shù)據(jù)點(diǎn)是，盡管75％的受訪者談到了工作站和服務(wù)器存在較高的風(fēng)險(xiǎn)。而與控制系統(tǒng)設(shè)備和軟件應(yīng)用等OT直接相關(guān)時(shí)，該數(shù)字降至不到一半?？紤]到調(diào)查發(fā)現(xiàn)78％的OT或控制系統(tǒng)具有外部連接，而其中34％的系統(tǒng)直接或通過其DMZ連接到Internet，這一點(diǎn)更為重要。

安全態(tài)勢(shì)不平衡

該調(diào)查揭示出一個(gè)依賴于ICS / SCADA的行業(yè)仍在努力解決的三個(gè)關(guān)鍵問題。首先是吸引、培訓(xùn)和留住技術(shù)人才的能力。第二個(gè)問題是行業(yè)正在出現(xiàn)新的數(shù)字技術(shù)，這些技術(shù)模糊了OT和傳統(tǒng)企業(yè)網(wǎng)絡(luò)之間的界限。

最后一個(gè)問題是威脅與風(fēng)險(xiǎn)之間的脫節(jié)。事實(shí)證明，嵌入式控制器和組件（如PLC和IED）受到攻擊者入侵對(duì)業(yè)務(wù)的影響最大。而只有19％的組織從這些設(shè)備收集安全數(shù)據(jù)。

如何解釋這些問題呢？一種解釋是，具有ICS和SCADA基礎(chǔ)結(jié)構(gòu)的組織會(huì)看到更多的潛在攻擊者，這使得定義風(fēng)險(xiǎn)和設(shè)計(jì)其安全模型的過程比傳統(tǒng)的企業(yè)IT組織更為復(fù)雜。擺在面前的問題是：這些企業(yè)會(huì)否成為具有政府背景網(wǎng)絡(luò)攻擊者的目標(biāo)？威脅是否最有可能來自惡意內(nèi)部人員或競(jìng)爭(zhēng)對(duì)手？

令人揪心的是，通過對(duì)制造、能源和石化領(lǐng)域的組織進(jìn)行了解，這些行業(yè)企業(yè)仍然普遍認(rèn)為安全的邊界和物理隔離的網(wǎng)絡(luò)足以保護(hù)關(guān)鍵系統(tǒng)。

SANS這項(xiàng)報(bào)告表明，這種誤解正在發(fā)生改變，同時(shí)指出，從2017年到2019年，使用異常檢測(cè)工具來進(jìn)行檢測(cè)的比例從35％增長(zhǎng)到44％，并且還在上升。但是，許多組織仍然遭受“不平衡”的安全態(tài)勢(shì)，公司已經(jīng)部署了各種高級(jí)工具，但問題是缺少人員和流程來正確地使用該技術(shù)。

基于風(fēng)險(xiǎn)的決策

所有這些數(shù)據(jù)表明，工業(yè)領(lǐng)域的組織，尤其是那些擁有十多年系統(tǒng)的組織，必須開始轉(zhuǎn)向業(yè)務(wù)驅(qū)動(dòng)的風(fēng)險(xiǎn)導(dǎo)向系統(tǒng)。這種方法將成為所有OT安全策略的核心，并且與當(dāng)前的工業(yè)網(wǎng)絡(luò)安全思維（側(cè)重于可見性和威脅監(jiān)控）的轉(zhuǎn)變有所不同。

盡管這至關(guān)重要，但影響評(píng)估中的反應(yīng)性響應(yīng)會(huì)產(chǎn)生大量的警報(bào)，從而使網(wǎng)絡(luò)安全分析師超負(fù)荷工作，難以應(yīng)對(duì)，而且對(duì)于低維護(hù)率的SCADA網(wǎng)絡(luò)尤其如此。

組織需要在部署持續(xù)監(jiān)控之前執(zhí)行風(fēng)險(xiǎn)評(píng)估。此風(fēng)險(xiǎn)評(píng)估應(yīng)特定于ICS，并且不僅僅是針對(duì)設(shè)備漏洞，還要考慮業(yè)務(wù)流程及其對(duì)業(yè)務(wù)的影響，包括資金成本、服務(wù)中斷、安全性、環(huán)境影響或發(fā)生違規(guī)的影響。

一旦確定了基線風(fēng)險(xiǎn)，就必須利用它來處理對(duì)系統(tǒng)事件和建議的監(jiān)控。此功能必須考慮不同的威脅、業(yè)務(wù)流程，當(dāng)然還要考慮每個(gè)網(wǎng)絡(luò)事件的可能性和潛在影響，從而將重點(diǎn)放在要保護(hù)的關(guān)鍵設(shè)備上。

如果沒有以風(fēng)險(xiǎn)為導(dǎo)向的方法，安全團(tuán)隊(duì)就有可能浪費(fèi)寶貴的有限資源來修復(fù)對(duì)關(guān)鍵系統(tǒng)幾乎沒有實(shí)質(zhì)性影響的小問題，而更多危險(xiǎn)漏洞則被忽視。

風(fēng)險(xiǎn)評(píng)估必須持續(xù)進(jìn)行，以反映對(duì)設(shè)備、漏洞和新威脅情報(bào)的更新?？紤]到ICS CERT通常每季度將增加100～150個(gè)與ICS / SCADA環(huán)境相關(guān)的新條目，因此，將來每個(gè)組織最重要的考慮因素是，有效且連續(xù)地對(duì)系統(tǒng)風(fēng)險(xiǎn)進(jìn)行分類的能力。