怎么办？大型组织的工业控制系统中有91.1%面临网络威胁

为了尽量减少遭受网络攻击的概率，工业控制系统（ICS）应当运行于物理隔离的环境下。但真实情况并非如此。在卡巴斯基实验室发表的关于ICS威胁环境的报告中，卡巴斯基实验室专家发现13，698台工业控制系统主机暴露于互联网中，而且这些主机很可能都属于大型组织。这些组织包括能源行业、交通运输行业、航空行业、石油和天然气行业、化工行业、汽车制造行业、食品和饮料行业、政府机构、金融机构和医疗机构。这些主机中，有91.1%包含可被远程利用的漏洞。更糟的是，这些工业控制系统主机中，有3.3%包含严重的可远程执行的漏洞。

将工业控制系统组件暴露于互联网上能够带来很多机会，但是也会造成很多安全问题。一方面，联网的系统能够在遇到紧急情况时更为灵活和更快地做出响应，部署更新。但是另一方面，接入互联网，让网络罪犯有机会远程控制关键工业控制系统组件，可能导致设备物理损坏，甚至给整个关键基础设施造成潜在危害。

2015年，一个有组织的被称为BlackEnergy的黑客APT组织针对乌克兰一家电力公司进行了攻击。同样是这一年，欧洲发生了两起类似的同网络攻击有关的事件，一家位于德国的钢铁厂和华沙肖邦机场遭受攻击。

由于攻击面很广，所以未来将会出现越来越多这样的攻击。我们发现的位于104个国家的13，698台主机只是互联网上包含ICS组件的主机中的一小部分。

为了帮助各种组织发现工业控制系统（ICS）中的潜在风险，卡巴斯基实验室专家对ICS威胁进行了全面调查。他们的分析基于OSINT（开源情报）和公共来源信息（如ICSCERT），研究期限为2015年。

工业控制系统威胁环境报告的主要发现为：

•我们在互联网上，共发现有188，019台具有工业控制系统（ICS）组件的主机，这些主机来自全球170个国家。

• 这些可远程访问的包含ICS组件的主机大多数位于美国（30.5%-57，417台）和欧洲。在欧洲，德国位居首位（13.9%-26，142台主机），其次为西班牙（5.9%-11，264台）和法国（5.6%-10，578台）。

• 可远程访问的ICS主机中，有92%（172，082台）包含漏洞。其中，87%包含中等风险漏洞，7%包含高危漏洞。

• 过去五年中，ICS组件中的漏洞数量增长了五倍：从2010年的19个漏洞增长到2015年的189个漏洞。包含漏洞最多的ICS组件为人机界面（HMI）、电子设备和SCADA系统。

• 所有能够外部访问的ICS设备中，有91.6%（172，338台主机）使用了较弱的互联网连接协议，让攻击者有机可乘，能够实施“中间人”攻击。

卡巴斯基实验室关键基础设施保护总监AndreySuvorov说：“我们的研究显示，ICS基础设施的规模越大，存在严重安全漏洞的几率也越大。

这并不是某个软件厂商或硬件厂商的问题。从本质上来说，ICS环境是混合了多种不同的互联组件，很多组件都连接互联网，并且存在安全问题。任何人都无法100%保证某一种ICS系统在任何指定的时间不包含安全漏洞。但是，这并不意味着我们没有办法保护工厂、电站或者是智慧城市街区抵御网络攻击。

了解工业设施中所使用的组件中存在漏洞，是对这一设施进行安全管理的基本要求。这就是我们这篇报告的目的之一：让人们意识到这些系统的安全状况。

为了保护ICS环境抵御网络攻击，卡巴斯基实验室安全专家建议采取以下安全措施：

• 进行安全审计：最快的办法是邀请精通工业安全的专家查找和消除报告中描述的安全漏洞。

• 获取外部情报：当今的IT安全非常依赖有关潜在攻击手段的知识。从信誉良好的供应商获取此类情报，能够帮助组织和企业预测自己的工业基础设施未来可能遇到的攻击。

• 在企业或组织安全边界范围内和范围外都提供保护。错误不时会发生。但是，适当的安全策略必须将一部分资源用于攻击检测和响应，在攻击涉及关键的重要对象之前将其拦截。

• 评估高级保护手段：即使有些包含漏洞的节点不能修补或移除，也可以使用针对SCADA系统的默认拒绝方案，定期检查控制器的完整性，对网络进行监控，增强企业的整体安全性，减少遭遇攻击的几率。