减少人类的攻击面

“攻击面”这个术语是安全术语，指的是公司安全风险暴露的总和。它是整个组织中所有已知的、未知的、可到达的和潜在可利用的弱点和漏洞的集合。

无论行业如何，所有组织都有攻击面。然而，对于那些在当今高度互联的世界中管理能源，公用事业和其他关键基础设施站点的人来说，这个概念尤其重要。了解弱点、风险优先级和分层防御可以减少攻击面并限制中断，增强可预测的操作并降低业务风险。

攻击面以及如何防御它并不是一个新概念。广义上过于简化，需要防御的工业攻击面包括(但不限于)以下领域:

• 物理和虚拟化资产
• 硬件
• 固件
• 软件
• 数据库
• 网络(包括工业通信协议、串行链路、远程访问、网络设备、防火墙)
• 物理设施
• 人员。

攻击的人为因素浮出水面

在上面列出的攻击面列表中，有一个非常突出:人员。这是因为在评估网络中的易受攻击面时，很容易忽略保护“人为因素”。人为攻击面是工业控制系统(ICS)运行环境中人为造成的所有可利用的安全漏洞或缺口的总和。ICS领域中的人类行为与许多专业环境中的行为没有什么不同。作为人类，我们会犯错误，而且容易出错。然而，在ICS和企业安全设置中，即使有安全仪表系统，错误或疏忽也可能造成严重的物理后果。

考虑到可能影响攻击面大小的人为因素，并因此将企业置于风险之中，以下是六个最常见的人员缺陷:

1.缺乏ICS安全知识。缺乏适当ICS安全知识水平的人员更容易犯错误。例如，员工或承包商可能会在ICS USB端口上给手机或其他移动设备充电，从而暴露属于公司和员工的敏感数据。

2.抵制改变(或绕过安全规则/策略以避免中断)。定期排除故障或在不让他人知道的情况下修改或更新固件或资产配置，或在也可以访问HMI控制台的工程工作站上发送电子邮件，这些都是员工知道正确的事情要做的例子，但却采取了减少自己和他人摩擦的路线。

3.易受社会工程影响。社会工程涉及攻击者利用员工的人性。它的核心是创造一种紧迫感，迫使人们做出冒险的决定，或者吸引人们天生的帮助他人的愿望。社会工程攻击可以很简单，比如攻击者跟踪某人到员工专用的入口，并要求员工按住门，因为他们把身份证忘在家里了。

4.操作员失误或疏忽的机会。俗话说:“人孰能无过。”人难免会不时地犯错误。虽然有些错误很容易纠正，但在ICS安全环境中，有些错误会带来严重的后果。其中一个例子是与来访的家庭成员共享休息室的Wi-Fi密码，这样他们就可以连接个人设备。管理人员可能还会忘记禁止前雇员和承包商的网络访问。两者都将网络暴露在大量外部威胁之下。

5.电子邮件安全意识培训。电子邮件安全协议应该是重中之重。根据电子邮件过滤公司Phishme 2017年第二季度恶意软件审查和研究报告，超过90%的恶意软件(包括勒索软件)以收件箱为目标。

6.缺乏ICS安全策略或培训。为员工提供安全指导，并定期进行培训和补救课程，以保持员工对安全风险的敏锐和警觉。例如，员工应该知道通过安全的和不安全的连接，他们可以访问工厂网络和资源。在工作站上登录和使用当地星巴克的Wi-Fi是两回事。

减少人为攻击面

希望减少人为攻击面的公司可以专注于三个主要领域，以取得最大的进步:

1.知道谁有实体和网络访问权限

存在的问题:许多人可以使用物理和网络资产。这是一个比员工更广泛的群体。它可以包括承包商、维护和设施工人、工业设备制造商、系统集成商、顾问、供应链合作伙伴等。在许多情况下，访问应该是临时的，但永远不会被撤销。

解决方案:建立和执行程序，限制或停止特定员工和非员工的物理和网络访问。这将涉及IT团队、人力资源以及可能监控物理访问的人员的参与。

2.保护电子邮件和培训人员

存在的问题:是感染系统的最常见方式之一，其目的有很多，从将用户锁定在系统之外，到窃取登录和密码凭证，再到获取对人机界面(hmi)或可编程逻辑控制器(plc)等关键资产的访问权限，并可能造成破坏或损害。

解决方案:考虑购买技术，以帮助过滤可疑的电子邮件和安全电子邮件的做法。在更大的努力下，公司应该考虑一个完整的ICS安全计划，将电子邮件安全意识作为许多重要组成部分之一。

3.社会工程意识培训

存在的问题:社会工程已经变得如此普遍和成功，它应该有自己的攻击面类别。社会工程在很大程度上依赖于人与人之间的互动，通常涉及欺骗人们破坏正常的安全程序，放弃个人身份信息或公司详细信息。

流行的社会工程技术依赖于一个人是否愿意提供帮助，或者他们在匆忙中缺乏对细节的关注(比如没有注意到可能表示恶意意图的稍微拼写错误的URL或网站)。这些信息通常有一种紧急的语气，可能会导致收件人错过明显的线索。例如，攻击者可能假装是有某种紧急问题需要访问额外网络资源的同事。

社会工程的许多变体也涉及到社交媒体，如Facebook、Twitter和LinkedIn，甚至是通过手机发送的短信。经过研究和几次电话后，社会工程师可以制作有效的鱼叉式网络钓鱼电子邮件，使高管、特权用户和现场技术人员成为牺牲品。

解决方案:减少社会工程攻击面需要培训员工了解典型的技术以及如何识别它们。人为攻击面的这一方面是不断变化的，需要监控可能适用于任何行业、地区或员工类型的趋势。这些信息可以帮助员工识别可能导致妥协、中断和操作停机的交互。

高度安全的组织的一个巨大优势是他们强调向员工、合作伙伴、供应链甚至客户(如使用网络获得安全访问权限以支付水电费)传达安全意识、网络物理风险和安全原则。

杰夫·隆德百通公司产品线管理高级总监。本文最初发表于工业互联网联盟(IIC)博客．克里斯·瓦夫拉编辑，制作编辑，控制工程， CFE传媒，cvavra@cfemedia.com．

原创内容可在blog.iiconsortium.org．

您是否具有本内容中提到的主题的经验和专业知识?您应该考虑为我们的CFE媒体编辑团队做出贡献，并获得您和您的公司应得的认可。点击在这里开始这个过程。