Colonial燃油产品管道遭遇网络攻击体现了关键基础设施的安全风险，尤其是突显了确保较旧的运营技术系统所面临的安全挑战……

Colonial Pipeline是美国最大的炼油产品管道,也是向东海岸和南部一些州供应汽油和喷气燃料的主要供应商。

关键的基础设施对于现代社会和经济的运转至关重要，但是这些系统通常没有得到适当的保护或不易于访问和利用，因此仍然是不法分子攻击的主要目标。尽管人们对运营技术(OT)网络风险的严重性的意识正在提高，但事实是，OT环境仍然很脆弱。

在今年的前几个月中，我们已经看到有关该行业被利用的多个漏洞的消息，例如美国佛罗里达州的水厂违规事件，以及最近对美国最重要的燃料供应商之一Colonial Pipeline遭到勒索软件攻击的事件。

鉴于工业环境中实施的系统和技术的使用寿命长，与运行时间，可靠性和稳定性相比，安全性历来被降为第二优先级。根据Ponemon Institute的报告，世界上56%的天然气、风能、水和太阳能公用事业每年至少发生一次关闭或运行数据丢失，这不足为奇。由于许多组织没有为关键系统的远程管理做好准备，因此这一数字可能已经因大流行而增加。实际上，尽管领导者同意远程访问的重要性，但Claroty去年报告说，有26%的组织在为此苦苦挣扎，而22%的组织没有适用于OT的足够安全的安全远程访问解决方案。

随着OT环境在面临新的潜在中断的情况下不断发展，现在是领导者应优先考虑安全并了解其影响的时候了，以便他们可以采取行动保护其组织和国家的关键基础设施。

了解新旧格局

在过去的几年中，我们看到了OT和基于IT的安全基础设施和流程之间的融合。但是，正如我们在Colonial管道攻击中所看到的那样，这些集成的生态系统已经变得更加难以保护，从配置错误、易受攻击的硬件/软件组件和不良的网络安全实践到缺乏对连接资产的可见性和不良的网络分段性。

除了OT-IT环境融合之外，医疗卫生事件还促使许多组织改变其网络安全流程，以适应远程工作的新需求。但是，对手很快意识到，以家中的工作人员为目标为进入OT网络提供了一条可行的途径，并转向利用在家工作，利用未打补丁的虚拟专用网络(VPN)系统，IT和OT环境互连以及利用旧版Windows和OT中的漏洞系统。

OT已迅速成为积极进取和资源丰富的威胁参与者的主要目标，他们不断重新设计其策略以渗透新的增强安全措施。实际上，到2020年，OT中的可利用漏洞显着增加。与2019年相比，去年ICS-CERT通报增加了32%以上，其中超过75%的通报是关于“高”或“关键”严重性漏洞的。威胁参与者还使用勒索软件活动来针对OT环境，因为他们了解这些环境的任务关键性。例如，如果关闭了运送美国东海岸45%的燃料的管道，则每天要导致管道运营商造成数百万美元的损失。

OT基础设施技术的特殊性和关键任务特性意味着大多数安全和威胁情报解决方案都无法洞悉潜在的漏洞，更不用说防御攻击的能力了。

预防和减轻风险

那么，如何在当今的OT环境中增强安全性呢?为了保护、预防和减轻风险，组织可以采取几个重要步骤来改善其安全状况。

• 实施风险管理程序：OT是围绕复杂的系统构建的，而这些系统通常在传统资产管理系统中无法正确跟踪。设计有效的OT安全计划需要一个风险模型，该模型专门映射这些系统的功能需求，同时提供对折衷方案在现实世界中潜在后果的整体印象。作为该计划的一部分，利用Purdue模型的组织应确保记录级别之间的流量，特别是当流量跨越一个以上Purdue级别时。
• 制定网络事件响应计划：如果我们应该从COVID-19大流行中学到一些东西，那就是我们需要为任何事情做好准备。需要一项全面的网络事件响应计划，包括主动和被动措施，以帮助防止事件发生，并更好地允许组织在发生事件时做出响应。确保打印响应计划并随身携带。如果存储您的事件响应计划的系统由于攻击而被加密或不可用，该怎么办?
• 保护第三方远程访问：组织经常依赖第三方供应商来补充其业务;但是，许多公司没有统一的网络安全政策和做法。许多OT站点甚至都有第三方供应商定期通过远程访问技术进行维护，这在操作链中造成了可利用的弱点。建立一个供应链管理计划，以审查外部供应商的安全标准并更好地控制第三方访问，对于降低第三方引入的风险至关重要。
• 增强系统监控程序：仅凭一个坚固的外围网络已远远不够。确保OT系统免受现代威胁的威胁，需要精心计划和实施良好的策略，使防御团队能够快速有效地发现，应对和应对对手。至少，企业的IT和OT域应在物理和逻辑上分开，必须对网络进行分段，并且网络的关键部分应与不受信任的网络(尤其是Internet)隔离。部署监控工具，例如专门为OT环境设计的无源入侵检测系统(IDS)，也很重要。被动系统是关键，因为主动系统可能会出现误报检测，从而可能导致关键系统停机。
• 制定知情的安全控制措施：要建立所需的控制措施，我们必须从资产清单入手。确定资产后，组织至少需要实施设备和系统供应商提供的安全功能。但是，为处理一些关键漏洞，我们建议打开应用通用工业协议(CIP)安全控制(一种相当通用的标准)的安全功能。许多PLC供应商还在其设备上配备了物理开关，以防止更改PLC的配置，应正确使用这些开关。我们看到许多工厂和OT站点始终将这些开关设置为“配置模式”，这允许更改PLC配置(可能由攻击者更改)。这些应该与安全和强化的配置(读/写保护、内存保护等)相辅相成。随着时间的流逝管理控制可能会令人生畏，并且OT系统升级之间的时间间隔可能长达数年，因此组织需要有效的变更管理计划。该程序应能够识别可用于补救无法立即修补的关键漏洞的补偿性控制。这些控件可以包括主机监视系统，该主机监视系统可在对人机界面(HMI)、工程工作站或PLC进行未经授权的更改时检测并发出警报。
• 建立审核和安全评估：最后，许多因素会影响系统在其整个生命周期中的安全性，因此定期测试和验证系统至关重要。及时的审核和评估有助于消除攻击者可以利用的“最小抵抗路径”。