OT网络安全破局之思考系列（一）

系列（一）

迈向工业网络底层的勇气，看清深层工业网络的能力

雷军在2023年度演讲中总结到，只有认知的突破，才能带来真正的成长。

认知突破的前提，是深入的思考。思考是人类心智成长的必需品。

如果把2010年当作中国工业控制系统网络安全的元年，到现在也不过14年时间。14年间，威胁驱动、事件驱动、合规驱动、数据驱动、情报驱动、价值驱动、风险驱动，等等，未有改变移植、模仿IT网络安全的套路，带有IT安全基因的OT网络安全解决方案，如今日薄西山、气数已尽、前路茫茫！

工业网络安全的挑战很像探索海洋的挑战。在海洋浅表附近，光线充足，安全无处不在。有了一些基本的、便宜的、广泛可用的设备，浮潜者或潜水员可以安全地很好地了解水面下的情况。

然而，随着深度的增加，挑战和风险急剧增加。光线会逐步消失，探险者必须自己带着照明设备才能看见。压力增加，温度下降，这意味着潜水员必须换掉普通潜水服，使用更坚固的设备，以保护他们的身体免受环境和潜在危险海洋生物的伤害。探索深海不仅仅是找到一种呼吸的方式，需要更加系统的规划、熟练的技能和专门的设备，才可能在不同于其他任何环境的海洋中保证安全。

一、深层工业网络安全的复杂性

普渡模型企业参考体系结构(PERA)定义了一组集成工业控制系统和业务网络的最佳实践。它提出了一个6级架构（如果考虑扩展到云，即为7层），在工业企业的不同功能层之间建立隔离，并在它们之间有明确的边界。

模型的顶部(第3-5层)主要表示标准的IT基础设施：WEB和电子邮件服务器、工作站和应用程序服务器，它们完全属于标准的IT管理实践。

Purdue Level 2标志着从IT到OT的过渡。从第2级开始，可以看到OT环境中独有的一套新的网络协议和设备的转变:

2级包含本地人机界面HMI，专门用于监视和监督控制ICS设备。该级的时延在秒级；

1级集合了嵌入式硬件和可编程逻辑控制器(PLC)，设备主要有批量控制、离散控制、驱动控制、连续过程控制和功能安全控制，提供对工业过程的自动控制。该级的时延要求在毫秒到秒级。

0级完成所有繁重的工业工作，从旋转离心机到测量和报告温度等等，主要设备有传感器、驱动器、执行器、机器人。该级几乎接近实时，毫秒到实时。

为了保护工业流程免受未经授权的访问、操作中断和数据盗窃，保护这些敏感资产至关重要。

部署在2级及以下级别的任何解决方案的有效性都需要对驱动工业流程的嵌入式硬件、软件和专有网络协议有深刻理解的技术和人员。它还需要充分了解工业流程本身，以避免干扰生产。

二、深层工业网络成为攻防对抗的焦点

工业网络中的网络弹性需要类似水平的洞察、预见和规划。OT网络的更深层，特别是在普渡模型（Purdue ）Level 2级以下，引入了许多独特的专有网络协议、嵌入式系统。遗憾的是，在这个级别上保障网络弹性通常需要的成本和复杂性使得许多安全企业避而远之。目前大多厂商仍然专注于普渡3级及以上的解决方案，对于工业网络最深层、最敏感的地方，基本无视其弱保护或根本没有保护的现实。

1、防御保障最弱之处

0级和1级设备通常是控制系统网络安全中忽视的部分，但它们可能会产生一些最重大的影响。不幸的是，与所有控制系统一样，这里没有网络安全、身份验证、网络日志或其他工具可以帮助确定传感器是否已被远程入侵。控制系统通常是实时的，即在毫秒级时间上运行。因此，许多控制系统现场设备的安全性和身份验证升级受到计算开销的限制。此外，IT网络安全的传统手段——比如打补丁、网络日志管理和使用杀毒软件——并不直接适用于许多控制系统现场设备，因为许多类似设备不使用商用现货(COTS)操作系统。例如，许多变频驱动器不能容纳杀毒软件或黑名单和白名单功能。过程传感器不使用COTS操作系统，而且许多传感器都有内置的后门以供维护。0级和1级现场设备使用远程校准和维护工具，具有直接的互联网连接和最低的网络安全功能。这些维修后门是无法绕过的。资产所有者无法禁用这些维护后门。

2、OT漏洞集中之处

工业深层的OT/ICS漏洞态势更是连年恶化。2021年Dragos的年度报告显示，76%的漏洞集中在OT网络的L3-L0层，其中L1-L0层的占21%，L3-L2层的占56%。到了2022年，OT网络的深层（L3-L0）漏洞已占据总体漏洞的83%。其中L3-L2层的占65%，L1-L0层的占18%。

3、攻防研究聚焦之处

从攻击态势来看，复杂的网络威胁行为者越来越多地把攻击目标聚焦于OT环境。特别是俄乌战争以来，这种专门攻击OT系统的技术和案例发展迅速。

2022年8月，知名工业网络安全公司Claroty旗下的Team82研究团队开发了一种称为Evil PLC攻击的新技术，其中PLC被武器化并用于突破和控制工程师站。在工程师站上立足的攻击者可以访问连接该机器的OT网络上的任何其他设备，包括其他PLC。

2023年1月，匿名者旗下的GhostSec黑客组织声称它对RTU（远程终端单元）进行了“有史以来第一次”勒索软件攻击，RTU是一种通常部署在工业控制系统 (ICS) 环境中的小型设备。据行业专家研判，可信度很高。

4、新兴技术爆发之处

2023年2月，Forescout Technologies的Vedere实验室发布了其关于深度横向移动的重磅研究报告，首次系统披露了攻击者如何在OT网络的控制器级别(普渡模型的1级)的不同网段和不同类型网络之间的横向移动，这颠覆了将普通计算机终端作为跳板的移动模式。

2022年6月，Vedere实验室还详细介绍了一种新的攻击方法，称为物联网勒索软件(Ransomware for IoT)或R4IoT。勒索软件利用物联网设备进行初始访问，以IT设备为目标部署勒索软件和加密货币，并利用糟糕的OT安全实践对业务运营造成物理中断。通过损害物联网、IT和OT资产，R4IoT超越了通常的加密和数据泄露，导致业务运营的物理中断。

2023年8月，康奈尔大学发布一项关于OT网络安全的研究成果，提出了一种称为DM-PLC（ Dead Man的PLC）的攻击方法，仅使用现有功能，将整个环境视为受勒索的实体，所有资产不断相互轮询，以确保攻击不被篡改。DM-PLC表明，攻击对手可以通过简单地使用针对受害者的现有通信和安全功能来勒索整个OT环境。

三、深层工业网络安全的主要挑战

工业网络的深层带来了技术和运行方面的限制和挑战，这些限制和挑战在典型的IT环境或工业网络的更高层中几乎不会出现。

1、技术挑战

（1）深层OT带来模糊的可见性

运营者经常面临的挑战是获得对工业网络更深层次的良好可见性。2级及以下级别的网络设备通常不提供SPAN端口或其他接口，而这正是传统安全方法获得流量的方法，通常被用于在普渡模型的更高级别上获得可见性。

（2）棕色地带网络的复杂性

棕色地带OT网络由复杂的工业技术相互连接的集合组成。现有的控制器和网络基础设施可能在几年甚至几十年前就已经部署在运行了。这些解决方案几乎没有考虑到安全性，因为它们是在一个具有非常不同的威胁环境的时间框架内部署的。在不影响操作的情况，理解并厘清其错综复杂的通信链路，基于此实现分段或隔离，这是一个巨大的难题，成本高昂且几无成功的可能。

（3）遗留老旧系统漏洞的伴随性

工业设备的预期寿命很长，通常为15年或更长。OEM厂商通常不会无限期地提供软件/固件更新;最终有一天，安全补丁将不再可用。这并不能阻止攻击者的热情探索，他们总是在寻找新的和未修补的漏洞。这就产生了一类新的“永久”漏洞。这些漏洞无法修补。

（4）替代安全解决方案时间的敏感性

网络延迟是工业网络中的一个主要问题，因为它可能会破坏关键进程。面对秒级、毫秒级和实时的要求，延迟可能会影响工业系统中的决策速度，这可能对安全和保障产生严重影响。

2、运行挑战

（1）OT团队与IT网络领域知识的障碍

OT网络由专注于生产和正常运行时间的工业工程师管理和操作。这些团队对其流程和设备具有广泛的领域知识，但通常没有多少经验或时间来处理IT流程或网络安全问题。用于保护深度OT环境的解决方案必须易于OT团队部署、操作和维护，而无需专门的网络工程师或IT技术专家。

（2）OT团队与IT团队工作职能重心的差异

OT团队的主要关注点是最大限度地提高产量，确保他们所管理的工厂继续以最佳效率全天候运行。用于修复系统、部署更新和恢复的标准IT流程可能会干扰操作，并且通常在OT环境中不可用。例如，部署安全补丁可能涉及重新启动系统，导致生产停机，其成本远远大于相关的网络风险。

（3）工业网络安全风险与过程安全风险的挑战

强调以工业网络安全风险为中心的OT网络安全，但同时必须保证安全风险的底线是过程安全风险，即网络安全风险不能大于过程安全风险。OT网络安全风险必须小于或等于特定影响水平的过程功能安全风险。过程功能安全设定了工业企业的风险容忍度，OT网络安全需要满足这个风险容忍度。系统故障、随机故障、网络攻击是当前过程安全风险的三大源头。

四、深层工业网络安全综合解决方案画像

需要一种保深层护工业网络的新方法或解决方案，赋予OT实现网络弹性所需的能力。遵循“知工业、熟业务、聚目标、择路径、炼方法、控风险、强弹性”的总体原则，其最直接的目标是保护工业流程免受未经授权的访问、操作中断、数据泄露和黑客侦察攻击。该解决方案对OT网络深处的敏感资产、数据、信号实现可见、可管、可防、可控，而不会出现传统IT解决方案的操作摩擦或中断。同时，涉及的技术或产品要在合适的集成点无缝地连接到关键的IT安全工作流。基本特征简单归纳为：工业级设备、OT专属技术、功能专精、便捷部署、零化扰动、提供深层网络保护、助力弹性工程、利于安全文化建设。