由内而外发展安全

如今，用于高级持续性威胁(APT)攻击和社会工程的鱼叉式网络钓鱼活动正在进入企业系统，这为攻击工业控制网络提供了一个枢轴点。

在一个案例中，APT攻击者的鱼叉式网络钓鱼活动针对多个行业，包括化工、关键制造、能源和政府设施。

施耐德电气网络安全官(CSO)兼网络安全副总裁George renn表示:“信息技术(IT)空间经常被用作进入运营技术(OT)网络的载体。“攻击者将使用任何方法、工具和战术来访问工业控制系统(ICS)。规则就是，‘没有规则’。”

根据7月至8月ICS Monitor的一份报告，鱼叉式网络钓鱼攻击涉及带有链接的电子邮件，这些链接重定向到托管恶意文件的网站，这些恶意文件利用了Adobe Flash Player中的零日漏洞(已被修补)。

IT案例只是一个场景，说明如果攻击者想要进入，攻击者就会进入。这意味着终端用户的网络安全方法必须从加固外围发展到由内而外的安全，从核心基础设施开始，再到设备。这一变化可以提高生产率，抵御来自内外的攻击。

施耐德电气EMEA网络安全主管杰伊•阿卜杜拉(Jay Abdallah)表示:“我们几次走进一个网站，看到大量资源被分配到外围，比如入侵防御系统、防火墙外和边界保护。”“该公司还在物理安全、操作安全、访问控制方法、中间人陷阱和深度数据包检查等其他控制方面投入了大量资金。业界在外围设备上花费了数百万美元，我们非常确信我们不会受到外部世界的攻击，同时我们的usb完全解锁，人们没有意识到仅仅给智能手机充电就可能会在操作系统中引入漏洞或弱点，从而允许可利用的代码。虽然在支出方面保护外部是一个好主意，但从内部保护也同样重要。”

系统知识

对于最终用户来说，了解他们在系统上有什么，并了解他们需要保护的主要区域仍然是至关重要的问题，并且始终必须放在首位。

aeSolutions工业网络安全主管约翰•库西马诺(John Cusimano)表示:“这可以追溯到评估过程的重要性。”“除非你知道你在保护什么，否则你无法设计保护措施。所以，第一步是评估目前的情况。”

在相当多的情况下，用户真的不知道他们有什么关于安装什么的文档或图纸。或者，即使他们有书面工作，在相当多的情况下，这些文件已经过时了。

为了解决这个问题，集成商或用户需要卷起袖子，充分理解系统上的内容，然后记录它。

Cusimano说，一旦用户弄清楚了这一点，下一步就是使用区域-管道模型对系统进行划分。基于IEC 62443标准，区域和管道模型是深度防御方法的一部分，有助于锁定网络。使用此模型，用户可以在系统上创建一个重点区域，将ICS网络中的特定关键资产分段。该区域应该只允许最低限度的流量进入，当威胁确实通过时，警报会响起。管道是进入和离开一个区域的通信通道。

Cusimano说:“你要做的是将系统划分为区域和管道，然后你就可以进行风险评估，因为不可能一次评估一个大型系统的风险。”“你必须把它分解。这是区域和管道方法的一大好处。”

越来越大的威胁

从内部保护正在成为一个更加明确的信息。根据SpectorSoft的一份报告，大多数(62%)安全专业人士表示，在过去12个月里，内部威胁变得更加频繁。

报告还发现，只有不到50%的组织有适当的控制措施来防止内部攻击。报告称，内部威胁很难发现，因为大部分安全预算和努力最终都用于防御外围。

“如果我们能证明一个特定系统的边界是如何被攻破的，游戏就结束了。一旦攻击者突破了物理边界，他或她就可以做任何他们想做的事情。”

这就是一种思考安全的新方法发挥作用的地方。

独立安全研究员、顾问、SCADAhacker.com网站创建者Joel Langill说:“我希望每个人都能开始意识到从传统的战术安全控制转向更具战略意义的控制的重要性，比如使用应用程序控制和白名单方法。”“战略控制提供了更强的弹性，以应对来自复杂威胁行为者的不断变化的威胁，不依赖于来自安全边界外部的知识。通过识别安全可靠的基线指纹，可以用于在安全的工业网络中快速检测异常。”

了解该做什么

一旦用户明白从内部保护和保护外围一样重要，他们就必须依靠训练来纠正每个人。

施耐德电气北美地区网络安全工业自动化经理Joshua Carlson表示:“现在威胁已经出现在工业控制领域，用户、操作人员和工程师正在接受安全培训，其中一部分培训就是网络安全。”“这种情况必须继续定期发生。如果你不对这些人进行投资和培训，他们就会忘记。他们会犯错的。”

攻击方法在不断进化，安全方法也在不断进化，这样终端用户就不会在保护一个区域的同时，眼看着攻击者在另一个区域快速前进。

卡尔森说:“我们试图强调，你不只是更新你的技术，你必须通过培训更新你的人员，以便他们能够继续理解威胁正在演变。”

格雷戈里·黑尔是《工业安全与保安来源》(ISSSource.com)，这是一个新闻资讯网站，内容涵盖制造业自动化领域的安全及保安事宜。本内容最初出现在ISSSource.com．由CFE媒体制作编辑克里斯·瓦夫拉编辑，控制工程，cvavra@cfemedia.com．

在线额外

参见下面链接的ISSSource关于工业物联网的其他故事。

原始内容可以在www.isssource.com．

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。