報(bào)告稱：美國基礎(chǔ)設(shè)施工業(yè)控制系統(tǒng)安全漏洞超600個(gè)

　　近日，美國工控系統(tǒng)網(wǎng)絡(luò)應(yīng)急響應(yīng)小組(ICS-CERT)在其最新的安全報(bào)告中指出，目前包括電站在內(nèi)的美國關(guān)鍵基礎(chǔ)設(shè)施正處于危險(xiǎn)之中，而且由于這些關(guān)鍵基礎(chǔ)設(shè)施普遍連接到互聯(lián)網(wǎng)，導(dǎo)致這些關(guān)鍵基礎(chǔ)設(shè)施工業(yè)控制系統(tǒng)中出現(xiàn)了超過600個(gè)IT安全漏洞。據(jù)ICS-CERT報(bào)告顯示，相關(guān)漏洞還涉及供水、能源和石油等行業(yè)。　　
 

　　據(jù)悉，該報(bào)告涵蓋了美國工控系統(tǒng)網(wǎng)絡(luò)應(yīng)急響應(yīng)小組在2015年針對(duì)全美基礎(chǔ)設(shè)施發(fā)布的112項(xiàng)評(píng)估，以響應(yīng)該機(jī)構(gòu)“預(yù)防、保護(hù)、緩解和響應(yīng)關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)威脅和通信中斷”的提議。
　　
　　這些評(píng)估包括了46項(xiàng)結(jié)構(gòu)設(shè)計(jì)評(píng)估、28項(xiàng)網(wǎng)絡(luò)架構(gòu)認(rèn)證和有效性檢測(cè)，其直接來源是關(guān)鍵基礎(chǔ)設(shè)施的運(yùn)營商和擁有者。此外還有38個(gè)網(wǎng)絡(luò)安全評(píng)估工具的測(cè)試，包括關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營者的自我評(píng)估。工控應(yīng)急小組并沒有保留這些測(cè)試數(shù)據(jù)。
　　
　　調(diào)查顯示，目前已發(fā)現(xiàn)的漏洞數(shù)量高達(dá)638個(gè)，其中最常見的是“邊界保護(hù)”方面的漏洞，工控應(yīng)急小組表示這將導(dǎo)致非常嚴(yán)重的后果。
　　
　　調(diào)查人員稱，“邊界防護(hù)將會(huì)有效地減緩攻擊進(jìn)程，并讓面向非法活動(dòng)的檢測(cè)、分析和警報(bào)更加簡單，支持運(yùn)營和事件響應(yīng)人員?！蓖瑫r(shí)，“缺乏強(qiáng)有力的保護(hù)，攻擊者將更容易滲透進(jìn)關(guān)鍵資產(chǎn)的網(wǎng)絡(luò)邊界，訪問高價(jià)值信息并操縱由工業(yè)控制系統(tǒng)管控的設(shè)備。”
　　
　　另一個(gè)巨大問題是“最小運(yùn)行環(huán)境”，其含義是通過將雇員能夠訪問到的系統(tǒng)限制到他們的工作需要上，減少風(fēng)險(xiǎn)。工控應(yīng)急小組表示，在這方面也發(fā)現(xiàn)了很多的問題。
　　
　　報(bào)告指出，“比如白名單使用較少、部署不安全的、過時(shí)的或者存在漏洞的操作系統(tǒng)服務(wù)，在系統(tǒng)運(yùn)行不需要通訊端口時(shí)依然讓它們保持打開狀態(tài)。”
　　
　　因此，為了強(qiáng)化安全，有必要關(guān)閉所有非必需端口、服務(wù)和應(yīng)用會(huì)縮小工業(yè)控制系統(tǒng)的攻擊界面，并提升監(jiān)控、分析必要通訊流量的能力。
　　
　　報(bào)告同時(shí)揭示了可能會(huì)對(duì)關(guān)鍵基礎(chǔ)設(shè)施造成威脅的新型IT趨勢(shì)，包括虛擬機(jī)和遠(yuǎn)程控制工具的安全配置不合理、自帶設(shè)備辦公策略的崛起等。
　　
　　報(bào)告中指出，“使用自帶辦公設(shè)備訪問個(gè)人電子郵件、網(wǎng)頁和社交媒體應(yīng)用對(duì)于工業(yè)控制系統(tǒng)而言存在天然風(fēng)險(xiǎn)。機(jī)構(gòu)必須考慮風(fēng)險(xiǎn)和合適的措施，比如移動(dòng)設(shè)備管理系統(tǒng)，來將風(fēng)險(xiǎn)控制到可接受的級(jí)別。”
　　
　　同時(shí)，關(guān)鍵基礎(chǔ)設(shè)施擁有者和運(yùn)行者更加依賴云服務(wù)的趨勢(shì)也會(huì)成為未來的問題之一。因此報(bào)告也提到，“機(jī)構(gòu)必須確保工業(yè)控制系統(tǒng)架構(gòu)中處于外界的部分擁有與工業(yè)控制系統(tǒng)本身相同的安全性?！?BR>　　
　　“機(jī)構(gòu)必須考慮到工業(yè)控制系統(tǒng)運(yùn)行信息完整性、安全性和保密性，以及與恢復(fù)、事件管理、故障切換、診斷支持、監(jiān)控和其它依賴云端服務(wù)提供的特殊支持的運(yùn)行和功能細(xì)節(jié)。”
　　
　　而該評(píng)估包括了對(duì)多個(gè)領(lǐng)域的調(diào)查，因此顯示了問題的深度和廣度，如下圖所示。　　
 

　　美國不同行業(yè)在關(guān)鍵基礎(chǔ)設(shè)施工控系統(tǒng)曝出的漏洞占比

　　
　　2015年的一份報(bào)告警告稱，對(duì)美國電網(wǎng)和相關(guān)設(shè)施的網(wǎng)絡(luò)攻擊可能對(duì)全國造成最高1萬億美金的經(jīng)濟(jì)損失。
　　
　　ICS-CERT解釋，考慮到對(duì)國家的重要性，與關(guān)鍵基礎(chǔ)設(shè)施相關(guān)的機(jī)構(gòu)必須盡一切努力，對(duì)運(yùn)行操作的系統(tǒng)部署更為強(qiáng)大的安保措施。
　　
　　報(bào)告總結(jié)到，“保護(hù)國家的關(guān)鍵基礎(chǔ)設(shè)施對(duì)于確保公眾信心、保護(hù)安全、財(cái)富和生命安全至關(guān)重要。我們的許多關(guān)鍵基礎(chǔ)設(shè)施依賴于自動(dòng)控制系統(tǒng)來確保工業(yè)流程的效率和安全，因此機(jī)構(gòu)進(jìn)行安全評(píng)估時(shí)十分有必要的，這可以幫助他們理解如何有效防止設(shè)施受到網(wǎng)絡(luò)威脅侵害。”
　　
　　安全研究專家David Emm指出，針對(duì)工業(yè)控制系統(tǒng)環(huán)境下手的攻擊者數(shù)量增長無疑意味著可利用的漏洞數(shù)量和類型也會(huì)同時(shí)增長。“2009年以來，被攻擊者試探和攻破的系統(tǒng)有所增多，因此該數(shù)字將會(huì)開始上升?！?BR>　　
　　然而，由于黑客很有可能曾經(jīng)訪問過美國大型企業(yè)的核心系統(tǒng)，工業(yè)控制系統(tǒng)環(huán)境中存在如此多的漏洞無疑為黑客針對(duì)關(guān)鍵工控系統(tǒng)進(jìn)行攻擊，提供了充分的條件。
　　
　?。ㄔ瓨?biāo)題：工控設(shè)施安全不容忽視?美曝出漏洞超600）