据The Hacker News援引攻击面管理公司Censys的最新分析,全球范围内竟有多达14.5万个工业控制系统(ICS)如同“裸泳”般暴露于公开的互联网络中,横跨175个国家和地区,其中美国更是占据了暴露总量的三分之一以上,成为“重灾区”。
这些暴露的“软肋”主要集中在几种常用的工控系统协议上,如Modbus、IEC 60870-5-104、CODESYS、OPC UA等。从地域分布来看,北美和欧洲分别占据了38%和35.4%的暴露比例,亚洲则紧随其后,占比22.9%。值得注意的是,不同区域对于工控协议的使用偏好也各不相同,如Modbus等在欧洲更为普遍,而Fox、BACnet等则在北美更为常见。更令人担忧的是,许多这些暴露的工控协议其历史甚至可以追溯到上世纪70年代,尽管它们至今仍是工业流程不可或缺的一部分,但在安全方面却并未得到与时俱进的改进。此外,Censys还发现,用于监控和与工控系统交互的人机界面(HMI)也越来越多的通过互联网支持远程访问,这无疑为黑客提供了更多的攻击入口。其中,大部分暴露的人机界面都位于美国,其次是德国等发达国家。暴露的工控系统和 OT 网络为攻击者提供了广泛的攻击面,因此企业组织需要采取措施来识别并加以保护,包括更新默认凭证并监控网络是否存在恶意活动。
面对这一严峻形势,六方云专家指出,暴露的工控系统和OT网络为攻击者提供了广阔的攻击面,企业组织必须采取行动来识别和保护这些系统。针对工控系统暴露于互联网所带来的安全风险,以下是一些行之有效的防护建议。
1.部署工业防火墙:工业防火墙是保护工控系统免受外部攻击的第一道防线。它能够实现对流量的细粒度访问控制,有效阻断非法访问、恶意入侵和病毒传播等攻击行为。六方云工业防火墙采用工业级专用硬件设计,能够适应恶劣的工业环境,并提供深度检测、精准控制和全面的安全防护能力。在企业办公网与生产网之间部署工业防火墙,以隔离和保护工控系统。
2.使用工业主机卫士进行主机加固:工业主机是工控系统的核心组成部分,其安全性直接关系到整个系统的稳定运行。通过加固工业主机,可以防止病毒、木马和未授权软件等对其造成破坏和影响。六方云工业主机卫士软件基于“白名单”技术开发,能够对工业互联网中的工程师站、操作站、SCADA服务器等工控主机进行全面的安全防护。它支持多种白名单机制,以解决白名单部署痛点。同时,工业主机卫士还具备多种功能,如端口管控、敏感行为管控、文件/目录完整性保护等,以综合防护手段提升工控主机的安全性。
3.实施统一监管和安全管理:可以通过采用专业的USB接口管控软件和技术手段。工控系统往往分布广泛,设备众多,管理难度大。通过实施统一监管和安全管理,可以提高管理效率,降低安全风险。六方云提供统一监管平台系统,可实现对终端的综合管理,如白名单批量下发扫描、追加,日志集中审计管理,攻击态势综合分析等。这有助于管理人员及时掌握安全风险,提升安全事件处置效率。同时,六方云的产品还支持远程运维管理主机、组态信息管理等功能,为系统的全局可控性提供有力保障。
4.加强USB等外设接口的管理:六方云移动介质检查站能够对接入的USB设备进行病毒查杀,确保设备中不含有恶意程序。同时,通过授权管理机制,只有经过授权和认证的USB设备才能被允许接入系统,有效防止了未授权或携带病毒的USB设备对系统造成威胁。还实现了对USB设备数据交换的安全控制。通过区分安全和普通区域,提升了内外数据交换过程的保密性。同时,对USB设备的读写行为进行审计和记录,确保数据交换过程的安全性和可追溯性。
5.定期进行安全审计和漏洞扫描:定期进行安全审计与漏洞扫描是强化系统安全防护的关键措施。六方云工业审计系统,运用旁路部署与四维一体威胁检测技术,能实时监控工业网络,精准识别异常流量与风险行为,并即时告警。而六方云工业漏扫,则依据国家标准与行业规范,全面扫描系统脆弱性,包括资产发现、漏洞检测、报表生成及分布式管理,确保系统隐患无所遁形。两者结合,有效降低攻击风险,提升工控网络安全水平。
6.培训员工:提高员工对工控网络安全的认识和重视程度,通过培训和教育增强他们的安全意识和防范能力。
工控网络的防护至关重要,它不仅关乎生产效率与数据安全,更是防止潜在网络攻击、保障关键基础设施稳定运行的关键所在。通过实施全面的安全策略和部署,可以显著降低安全风险,确保工控系统的持续可靠运行。