工业控制系统风险和威胁-TOP10

1. 系统老旧

运行在老的OT系统缺乏足够的用户和系统身份验证、数据真实性验证或数据完整性检查功能，这些功能允许攻击者对系统进行不受控制的访问。

缓解措施：采用IPSEC的VPN模式加入证书增加身份的验证和数据完整性保证。

2. 默认配置

具有默认密码或简单密码的开箱即用系统并且基线配置使攻击者很容易枚举攻击和破坏OT系统。

缓解措施：增加工业控制系统的安全基线配置，防止弱密码和弱配置引起脆弱性攻击，工控系统基线配置参见IRTeam Harden手册。

3. 缺乏加密

传统的SCADA控制器和工业协议缺乏加密通信的能力。攻击者使用嗅探软件发现用户名和密码。

缓解措施：采用MACSEC加密模式在数据两端采用二层加密，同时锁住通讯两端mac地址，防止协议嗅探。

4. 远程访问策略

OT系统连接到未经审计的4G线路或者远程访问服务器给攻击者提供了方便，通过简便的方式进入OT网络以及企业局域网。

缓解措施：采用企业互联网为入口再接入OT系统，放弃4G热点结合远程通讯工具方式，同时增加OT堡垒机基于权限和人员开放访问通道，同时具备可审计可回逆的功能。

5. 策略及程序

安全策略在IT和OT创建的在保护工业控制的方法上有所不同。通常缺乏OT技术的了解而采用传统IT的安全策略。

缓解措施：采用各个工业自动化厂商提供工业应用软件的安全策略配置指南，对工业应用的安全设置加以完善。工业系统安全设置参见IRTeam搜集各大厂商手册。

6. 缺少网络分段

OT网络采用大二层形式，未对不同区域采用东西向区域隔离，同时OT网络连接IT网络，仅设置传统防火墙功能无法检测或阻止工业协议上恶意软件活动。

缓解措施：采用管理型交换机或者防火墙把不同区域和产线的东西向隔离，同时采用工业防火墙把OT网络和IT网络隔离，设置IDMZ放置工业应用代理。

7. DoS攻击

允许无效的源和有限的访问控制攻击者意图破坏OT系统的执行针对未打补丁的脆弱系统的DoS攻击。

缓解措施：在边界侧利用隔离和IPS抵御未打补丁的DoS攻击，在终端侧通过及时升级固件和补丁的形式根本防御DoS攻击。

8. Web应用攻击

传统的OT系统包括上位机接口(HMI)和可编程逻辑计算机(PLC)越来越多地连接到网络和可通过网络界面访问设备。无保护的系统容易受到跨站点脚本攻击和SQL的注入攻击。

缓解措施：尽量减少甚至关闭设备或者上位机的web接口对外访问，如必须访问需要在在WEB服务中增加ACL白名单，同时在IDMZ中做web代理。

9. 恶意软件

OT系统主机通常为了满足工业软件兼容性，采用不安装终端防护和补丁，或者安装兼容杀毒软件但由于无法和互联网连通，无法更新病毒库和补丁，容易受到恶意软件和勒索软件的攻击。

缓解措施：开启windows防火墙同时采用工业软件厂商兼容的AV或者EDR，对于病毒库和样本库更新的互联网需求采用在IDMZ中部署更新服务器连接厂商服务中心。

10. 命令注入和参数操作

无效数据未被验证为合法系统流量允许攻击者执行任意系统OT系统上的命令。

缓解措施：采用结合身份认证和设备访问控制ACL的白名单模式，限制未授权的用户操作非法命令，同时增加工业流量可视化监控OT网络中任何行为。