检查门口的u盘了吗?严重吗?

亲爱的控制工程:我读了一篇关于给你的植物做网络健康检查的文章。作者说，我们应该密切关注植物访客。引用如下:“例如，这可以包括制定规定，要求访客在进入设施之前将USB驱动器交给保安。一项严格、全面的政策将有助于外界了解工厂网络安全文化的严肃性。”我能理解不给笔记本插上电源的想法，但在门口检查u盘的想法真的有必要吗，还是仅仅是象征性的?

这样的政策不仅仅是象征性的。一旦一个人进入了一个设施，并且可以接触到网络上的计算机，那么造成破坏就比从外部造成破坏容易得多。许多系统假设，至少在某种程度上，如果你在大楼里，你可能是友好的。网络的某些部分可能无法从外部到达，但可以通过内部有线连接到达。如果网络罪犯看到一个人离开了登录网络的终端，这就是公开的邀请。这就像把钥匙插在车里，引擎还开着的车停在那里，没有上锁。

一个u盘可以被编程成各种可怕的东西，如果它可以被放到网络上的一个开放端口，它会带来没完没了的麻烦。为了更清楚地说明这一点，我联系了网络安全讲师马特·卢伦(Matt Luallen)，让他解释一些可能发生的事情。他说:

“USB闪存盘的功能可能比你想象的要多。结合Arduino和a小型++硬件设备现在你有了USB硬件，可以模拟典型的可信设备，比如鼠标、键盘，还有存储设备。常见的操作系统安全预防措施包括禁用外部存储介质的自动运行功能，但是teensy++硬件可以模拟键盘，从而绕过这个常见的控制。其次，如果你在Windows 7环境中操作，它会自带一个名为Powershell的工具。添加一点Arduino和Powershell脚本，现在可以使用登录用户的凭据访问主机。该脚本可以创建到metasploit shell的出站连接、内部HMI修改或使用默认凭据的OPC或PLC登录和修改。由此产生的机会留给了攻击者，因为典型的网络和物理安全墙已经被规避，唯一剩下的安全控制是用“M&M模型”的软粘中间表示的，一个坚硬的外壳，中间是软粘的。有关此类攻击和其他相关缓解控制的更多信息，请查看CYBATI在cybati.org上举行的为期两天的关键基础设施控制系统网络安全研讨会。

相信吗?

这就是物理安全和网络安全必须携手并进的原因。泵站外有RTU的小屋应该锁上，因为如果有黑客想要侵入网络，那是一条主要途径。

虽然安全和安保方面的象征意义对保持人们正确思考很重要，但不要简单地认为这是唯一可行的因素。

观看Matt Luallen的视频。

彼得·韦兰德，pwelander@cfemedia.com

您是否具有本内容中提到的主题的经验和专业知识?您应该考虑为我们的CFE媒体编辑团队做出贡献，并获得您和您的公司应得的认可。点击在这里开始这个过程。