工业控制系统的网络安全挑战

关键要点

工业控制系统ICS因其设计特点而易受网络攻击，可能导致严重后果。与 IT 系统不同，ICS 不具备内建的网络安全韧性，主要关注可靠性和功能。虽然某些层面上可应用零信任架构，但在实际操作中面临许多挑战，如身份与访问管理IAM。企业需要全面了解其资产并持续监控，以实现安全防护和网络分割。重构控制系统需要巨额投资，且实施过程漫长。

近年来，安全专家已经意识到，工业控制系统ICS在设计上使其特别容易受到网络攻击。与旨在管理数据和信息的 IT 系统不同，这些 ICS 系统桥接了数字世界与物理世界，旨在“移动分子”。一旦遭遇网络攻击、被破坏或中断，这些系统所造成的后果对现实世界、物理环境和社会结构都有潜在的灾难性影响。

尽管整体 ICS 的某些组件与 IT 资产有些相似，但多年来 ICS 的设计和部署并未被要求包括网络安全韧性。传统的功能和安全关注点主要有两方面：

确保基本功能：确保控制系统经过精心设计和部署，以安全完成特定任务。可靠性：确保正常运行和可用性，控制系统的故障或失效可能导致数百万美元的损失，因此设计系统以确保其可靠性比传统的“IT”计算机网络更加重要。

从功能角度看，尽管整个系统划分为“层级”参见 ISA/IEC 62443、ISA 99 和 Purdue 模型和“控制回路”，但这些网络在大多数情况下都显得“平坦”，并且不便于采用零信任架构策略。

对于这些相同的功能要求，OT 系统十分信任。如果安全团队发出一个有效的指令，系统按照预期的协议将完全执行。这意味着一旦进入网络，安全专家可以通过几乎任何设备向控制系统发出指令，而这些系统既不对指令来源进行身份验证，也不验证指令本身。这种指令和控制的自由对于仅关注可靠性而不考虑网络攻击威胁的团队来说是非常理想的。他们可以在系统内构建冗余，并在出现问题时利用多个入口。

然而，这种指令和控制的自由在考虑网络攻击时增加了显著风险。一旦攻击者进入网络并理解控制系统的运作方式，他们便可以几乎随心所欲地操控这些系统。

那么，为何零信任，这在 IT 领域中如此普遍的能力，不适用于 ICS 呢？

虎跃加速器

零信任安全框架要求所有用户和关键系统实体，无论在组织网络内外，都需要经过身份验证、授权，并不断验证安全配置和状态，才能被授予或保持对应用程序和数据的访问。零信任在基本功能上严重依赖身份与访问管理IAM属性。虽然 IAM 在 ICS 的某些层面上有所应用，但不幸的是，这种能力并非所有 ICS 组件所固有。通常，使用 IAM 凭证与安全控制过程的直觉相悖。

工业控制系统的管理者需要开始考虑零信任