美国联邦调查局(FBI)和网络安全与基础设施安全局(CISA)最近发布的指导意见指出,运营技术(OT)环境正面临一种紧迫且不断演变的威胁。在联合安全通告中,这两个机构警告称,与伊朗有关联的威胁行为者一直在积极利用美国关键基础设施领域(包括供水和污水处理系统、能源以及政府设施)中连接互联网的可编程逻辑控制器(PLC)。 该咨询文件(编号AA26-097A)揭示了一种业界长期怀疑、如今已在实际事件中得到验证的模式:这些攻击者不再依赖软件漏洞或零日漏洞利用来影响工业环境,而是利用合法访问路径、原生工业协议和标准工程工具直接与控制系统交互。
暴露的控制路径,而非漏洞
对运营技术(OT)环境而言,主要风险在于暴露的控制路径,而非未修补的漏洞。围绕漏洞识别、系统修补和恶意行为监控而构建的传统策略依然重要,但最新的安全建议明确指出:如果攻击者能够进入您的运营技术环境,他们就能在其中肆意活动。
在多起已观察到的案例中,攻击者能够通过44818、2222、102和502等标准工业通信端口直接连接到面向互联网的PLC。他们利用市面上常见的工程软件,与这些设备建立了有效的会话,并像授权操作员一样与之交互。
“可访问”与“易受攻击”之间的区别标志着一种根本性的转变。问题不再仅仅在于系统是否易受攻击,而在于它是否可访问。如果可以通过网络访问某个控制系统,那么该系统就可以被操控。而一旦能够被操控,就可能遭到破坏。
现代OT攻击是如何实施的
该安全公告中概述的攻击模式遵循一条简单的路径:
- 初始访问:PLC 或 OT 系统直接或通过 VPN 或跳转主机等远程访问路径暴露于外部网络
- 通过合法途径进行交互:在此基础上,攻击者会利用Studio 5000 Logix Designer等合法工程工具向设备发起连接。使用工程工作站、厂商工具或原生协议(例如Modbus、EtherNet/IP)
- 执行:
- 控制逻辑的修改
- 项目文件的上传/下载
- 向物理进程发出命令
- 影响:运营中断、安全风险及潜在财务损失
这种方法之所以有效,是因为它绕过了许多传统的安全控制措施。在协议或工具层面上,并没有任何本质上的“恶意”行为会触发检测。
传统控制手段已不再足够
如今,大多数运营技术(OT)环境都依赖于防火墙、虚拟专用网络(VPN)、网络分段策略以及远程访问控制的组合。尽管这些措施必不可少,但它们存在固有的局限性:
- 防火墙的正常运行依赖于正确的配置和规则管理;此外,其设计本身也允许必要的协议通过。
- VPN 和远程访问依赖于凭据的完整性
- 检测/监控系统在连接建立后开始运行
在CISA指出的这些案例中,攻击者无需以传统方式绕过这些安全控制措施。他们只是利用了已存在的访问权限。
正因如此,该建议特别强调要消除不必要的风险暴露并加强网络分段。
结合分区与确定性隔离
细分一直是推荐的最佳实践,但并非所有细分都具有同等效果。
通过软件和策略强制实施的逻辑分段虽能降低风险,但无法彻底消除风险。配置错误、凭证泄露或间接访问路径仍可能在 IT 环境与 OT 环境之间建立意外的连接。
在高风险环境中,需要的是确定性隔离。
通过单向通信消除攻击路径
一种更稳妥的做法是彻底禁止任何入站访问。
数据二极管可在网络之间强制实施基于硬件的单向通信。这使得运营数据能够流出控制环境,用于监控、分析或合规目的,同时从技术上确保任何数据、命令或连接都无法回流。
就CISA所描述的攻击模式而言,这会产生直接影响:
- 远程命令无法发送至PLC
- 任何工程工具均无法从外部网络连接
- 任何恶意软件或未经授权的流量都无法进入控制环境
这不仅仅是检测或阻止恶意活动的问题,而是要彻底切断其途径。
遵循CISA的建议
CISA的缓解指南强调了三项核心措施:
- 将OT资产从直接暴露于互联网的环境中移出
- 加强IT网络与OT网络之间的隔离
- 限制和控制远程访问
单向通信架构通过确保关键控制系统无法被访问——即使上游网络遭到入侵——从而以更高的保障级别落实了这些建议。
重新审视OT Security:从防御转向设计
咨询文件 AA26-097A 指出,防御性假设必须随着其应对的威胁而不断演进。如果攻击者不再需要利用漏洞,那么仅关注检测和预防就远远不够。工作重点必须转向能够消除整类风险的架构控制措施。使运营技术(OT)系统无法从外部网络访问,便是此类控制措施之一。
安全至上
美国网络安全与基础设施安全局(CISA)最新发布的公告强调了一个组织已无法忽视的现实:
- 在职业治疗环境中,接触即风险
- 随着攻击者越来越多地利用合法访问权限和系统原生功能,最有效的防御措施不仅是加强监控或制定更严格的策略,而是彻底消除不必要的网络连接。
- 将运营技术(OT)环境设计为“不可访问”已不再仅仅是一种理论上的最佳实践,而是正逐渐成为确保运营韧性的实际要求。
