压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

從伊朗的震網(wǎng)到烏克蘭的停電，這類針對數(shù)據(jù)采集和監(jiān)視控制系統(tǒng)（Supervisory Control And Data Acquisition，以下簡稱SCADA系統(tǒng)）的威脅，讓我們清楚地認識到，其對關(guān)鍵基礎(chǔ)設(shè)施的危害。

可以說，世界上各種關(guān)鍵的基礎(chǔ)設(shè)施部門都有SCADA系統(tǒng)運行，因此對攻擊者極具吸引力。攻擊者可以使用他們對SCADA系統(tǒng)的訪問來收集諸如設(shè)施布局、關(guān)鍵閾值或設(shè)備設(shè)置等信息，以備在以后的攻擊中使用，造成大規(guī)模破壞，包括中斷服務(wù)或觸發(fā)威脅生命的爆炸等恐怖事件。

如今，工廠員工已經(jīng)不堪重負于現(xiàn)有資產(chǎn)的安全衛(wèi)生任務(wù)，且缺乏足夠的寬帶可用于協(xié)調(diào)來自眾多不同OEM（原始設(shè)備制造商）的安全補丁。

根據(jù)跨國企業(yè)趨勢科技（Trend Micro）最新發(fā)布的一份調(diào)查報告顯示，安全研究人員發(fā)現(xiàn)，數(shù)據(jù)采集與監(jiān)控系統(tǒng)（SCADA）系統(tǒng)2018年上半年的漏洞幾乎是2017年上半年的兩倍。

在這樣的工業(yè)控制系統(tǒng)中發(fā)現(xiàn)202個安全漏洞并不一定是壞事，因為這些供應(yīng)商正在參與漏洞懸賞計劃，通過向安全研究人員支付酬金的方式，讓這些研究人員幫助他們發(fā)現(xiàn)自己軟件或硬件中存在的可能被惡意行為者利用的安全漏洞?，F(xiàn)在，經(jīng)由安全研究人員發(fā)現(xiàn)并上報這些漏洞，可以幫助供應(yīng)商在漏洞被濫用前及時完成修復(fù)工作，避免形成大規(guī)模損害。

目前，趨勢科技公司正運行著世界上最大的漏洞懸賞項目之一——“零時差漏洞懸賞計劃”（Zero Day Initiative，簡稱ZDI）。而在其2018年中期安全綜述報告中，該公司指出，在過去的四年里，漏洞從披露到公布的平均時間并沒有得到改善。雖然有一些供應(yīng)商能在一周內(nèi)處理被披露的SCADA系統(tǒng)漏洞，但在2015-2017期間的該類漏洞的平均處理時間大約為150天。

專家還指出，一些規(guī)模較小的供應(yīng)商（比如Cogent Real-Time Systems和Trihedral Engineering）修補漏洞的速度高于平均值，而規(guī)模較大的公司（如ABB公司和通用電氣）的平均響應(yīng)時間則超過220天。

說了這么多，那么究竟什么是SCADA系統(tǒng)呢？

所謂SCADA系統(tǒng)，即以計算機為基礎(chǔ)的DCS與電力自動化監(jiān)控系統(tǒng)，通常用于本地或遠程控制工業(yè)過程，以及監(jiān)控和處理實時數(shù)據(jù)。自NIS指令（旨在提高歐盟網(wǎng)絡(luò)安全性和響應(yīng)能力）于5月生效以來，SCADA系統(tǒng)的安全性以及工業(yè)控制系統(tǒng)的安全性都受到了更嚴格的審查。

報告進一步指出，在安全研究人員發(fā)現(xiàn)的202個SCADA系統(tǒng)安全漏洞中，有超過一半的漏洞存在基于網(wǎng)絡(luò)的HMI（人機界面）軟件Advantech WebAccess中。

該軟件是100％基于網(wǎng)絡(luò)的工業(yè)物聯(lián)網(wǎng)（IIoT）平臺，具有用于開發(fā)物聯(lián)網(wǎng)應(yīng)用的開放接口。它還可以充當從地面設(shè)備收集數(shù)據(jù)并通過MQTT發(fā)布/訂閱將數(shù)據(jù)傳輸?shù)皆茟?yīng)用程序的網(wǎng)關(guān)。

此處將Advantech單獨列出來可能不太公平，因為Advantech公司事實上也參與了一個令人尊敬的漏洞懸賞計劃，這表明該公司至少愿意與安全研究人員合作，通過在其系統(tǒng)中尋找漏洞來彌合差距，改進自身產(chǎn)品，為用戶提供更強大的安全性和更完善的使用體驗。

但不得不說的是，攻擊者滲入SCADA系統(tǒng)的方式多種多樣，其中之一就是利用HMI（人機界面）中普遍存在的軟件漏洞。所謂人機界面（HMI），可以將數(shù)據(jù)從計算機顯示到人，并接受從操作員到機器的命令。通過此接口，操作員可以監(jiān)視和響應(yīng)系統(tǒng)上顯示的信息。

操作員能夠通過HMI控制SCADA系統(tǒng)，盡管人們普遍認為，SCADA的HMI運行在被隔離的受信網(wǎng)絡(luò)中，但情況并非總是如此，HMI如今儼然已經(jīng)成為SCADA系統(tǒng)中的主要攻擊目標。

趨勢科技ZDI小組審查了SCADA HMI當前的安全狀態(tài)，發(fā)現(xiàn)大多數(shù)這些漏洞都包含：內(nèi)存損壞、認證憑證管理、缺少身份驗證/授權(quán)和不安全的默認值以及代碼注入等方面，所有這些都是通過安全開發(fā)實踐可以預(yù)防的。

威脅行為者已經(jīng)從“純粹的偵察”行為發(fā)生變化

趨勢科技“零時差漏洞懸賞計劃”（ZDI）已經(jīng)在2018年的前半年發(fā)布了超過600條安全公告。基于這些不斷增加的公告，ZDI能夠預(yù)測威脅行為者在實際攻擊中可能會使用的漏洞類型。

在今年的安全公告中，ZDI警告稱，SCADA系統(tǒng)今年上半年披露的安全漏洞數(shù)量是去年同期的2倍。負責(zé)運行這些SCADA環(huán)境的IT安全經(jīng)理必須對這種不斷增長的威脅趨勢保持警惕，特別需要注意的是，威脅行為者已經(jīng)從最初的“純粹性偵察”轉(zhuǎn)變?yōu)榘l(fā)動破壞性攻擊。

在關(guān)鍵基礎(chǔ)設(shè)施中運營的企業(yè)通常會參與持續(xù)的“紅藍對抗（即攻防對抗）”以及漏洞懸賞計劃，以便及時發(fā)現(xiàn)并阻止系統(tǒng)中存在的安全漏洞。例如，在今年早些時候于倫敦舉辦的計算機商業(yè)論壇會上，意大利公用事業(yè)公司Enel的首席信息官Yuri Rassega就曾表示，他的公司每年都會對關(guān)鍵資產(chǎn)進行“大約400次深度漏洞測試”。

一場艱巨的挑戰(zhàn)

《2018年SANS工業(yè)物聯(lián)網(wǎng)安全調(diào)查報告》描繪了運營技術(shù)（OT）領(lǐng)域的安全環(huán)境現(xiàn)狀。該報告稱全球大多數(shù)組織正在考慮將其連接設(shè)備數(shù)量增長10％至25％。這將導(dǎo)致連接到工業(yè)物聯(lián)網(wǎng)（IIoT）設(shè)備的系統(tǒng)數(shù)量每三到七年翻一番。因此，網(wǎng)絡(luò)復(fù)雜性將增加，對帶寬的需求將會增加，對熟練員工的需求也會增加。

安全專家表示，此外，缺乏對開發(fā)流程和復(fù)雜供應(yīng)鏈的控制會加劇終端用戶的擔(dān)憂。管理端點安全更新和補丁將成為另一項艱巨的挑戰(zhàn)。工廠員工已經(jīng)不堪重負現(xiàn)有資產(chǎn)的安全衛(wèi)生任務(wù)，且缺乏足夠的寬帶可用于協(xié)調(diào)來自眾多不同OEM（原始設(shè)備制造商）的安全補丁。同時，很少有工廠擁有實現(xiàn)OEM直接管理所需的安全遠程訪問能力。

趨勢科技（Trend Micro）最新調(diào)查報告原文地址：

https://www.zerodayinitiative.com/advisories/upcoming/