【編者按】制造業(yè)面臨的網(wǎng)絡(luò)風(fēng)險在逐年增加，主要表現(xiàn)為影響工業(yè)過程的破壞性網(wǎng)絡(luò)攻擊、信息收集和過程信息竊取以及針對工業(yè)控制系統(tǒng)（ICS）的新型攻擊,。以網(wǎng)絡(luò)攻擊為驅(qū)動的制造業(yè)生產(chǎn)過程破壞越來越普遍,。近日工業(yè)網(wǎng)絡(luò)安全公司Dragos發(fā)布了《制造業(yè)網(wǎng)絡(luò)威脅展望》，詳細(xì)梳理了造成信息收集和處理信息竊取的入侵行為,，以及針對工業(yè)控制系統(tǒng)（ICS）和工業(yè)物聯(lián)網(wǎng)（IIoT）設(shè)備的攻擊；針對制造組織的ICS威脅最新觀察結(jié)果及詳盡的分析，并提出了實(shí)用的防御建議,。

　　一、主要發(fā)現(xiàn)

　　制造業(yè)面臨的網(wǎng)絡(luò)風(fēng)險正在增加,，主要原因是破壞性的網(wǎng)絡(luò)攻擊影響工業(yè)過程,，入侵導(dǎo)致信息收集和過程信息盜竊，以及針對工業(yè)控制系統(tǒng)（ICS）的新活動,。Dragos目前公開跟蹤了五個以制造業(yè)為攻擊目標(biāo)的組織：CHRYSENE,、PARISITE、MAGNALLIUM,、WASSONITE和XENOTIME,，以及各種能夠?qū)嵤┢茐牡睦账鬈浖顒印?/p>

　　制造業(yè)依靠ICS來實(shí)現(xiàn)規(guī)模化,、功能化,，并確保一致的質(zhì)量控制和產(chǎn)品安全。制造行業(yè)作為國家關(guān)鍵基礎(chǔ)設(shè)施,，生產(chǎn)關(guān)鍵材料,、制成品和藥品，是事關(guān)國計(jì)民生的重要領(lǐng)域,。由于設(shè)施和操作的相互關(guān)聯(lián)性,，對制造行業(yè)的攻擊可能會對整個供應(yīng)鏈產(chǎn)生連鎖反應(yīng)，而供應(yīng)鏈依賴于及時和精確的生產(chǎn)來保障產(chǎn)品,、健康和安全以及國家安全,。

　　勒索軟件運(yùn)營商正在采用具有ICS感知的功能，能夠停止與工業(yè)相關(guān)的過程,，并造成潛在破壞性影響,。Dragos還沒有觀察到規(guī)模或復(fù)雜程度與針對沙特阿拉伯和烏克蘭的能源運(yùn)營的破壞性惡意軟件攻擊TRISIS和CRASHOVERRIDE中使用的規(guī)?；驈?fù)雜程度相同的針對制造業(yè)運(yùn)營商的ICS特定惡意軟件,。然而，已知的和持續(xù)存在的制造業(yè)威脅可能會對運(yùn)營產(chǎn)生直接或間接的影響,。對截至2020年10月的威脅情況以及未來隨著對手及其行為的可能演變,，報告總結(jié)了以下特點(diǎn)：

　　 具有破壞工業(yè)過程能力的勒索軟件是對制造運(yùn)營的最大威脅,。攻擊者越來越多地在勒索軟件中采用ICS感知機(jī)制，這可能會中斷運(yùn)營,；

　　 Dragos公開跟蹤了五個針對制造業(yè)的活動組織,；

　　 制造業(yè)過程中斷對供應(yīng)鏈的影響會波及企業(yè)以及其他地方的運(yùn)營；

　　 知識產(chǎn)權(quán)盜竊對于制造商而言仍然是高風(fēng)險,；

　　 相互連接的企業(yè),、運(yùn)營和過程控制網(wǎng)絡(luò)日益融合，導(dǎo)致了日益嚴(yán)重的威脅,。

　　二,、以制造業(yè)實(shí)體為攻擊目標(biāo)的組織

　　（ 一 ） CHRYSENE圖片

　　CHRYSENE的攻擊目標(biāo)為制造業(yè),、石化,、石油和天然氣以及發(fā)電行業(yè)。攻擊目標(biāo)已超出該組織最初對波斯灣地區(qū)的關(guān)注,，而且該組織在多個地區(qū)仍然保持活躍,。

　　相關(guān)組織：APT 34、GREENBUG,、OilRig

　?。?二 ） MAGNALLIUM圖片

　　Magnalium至少從2013年就開始攻擊能源、航空航天等行業(yè),。盡管Magnalium沒有專門針對制造業(yè),，但化學(xué)制造過程屬于該組織的攻擊目標(biāo)范疇。該活動組織最初的攻擊目標(biāo)是設(shè)在沙特阿拉伯的公司,，但后來將目標(biāo)擴(kuò)大到包括歐洲和北美的實(shí)體，包括美國電力公司,。MAGNALLIUM缺乏專門針對ICS開展攻擊的實(shí)力,，但該組織仍專注于最初的IT入侵。

　　相關(guān)組織：PARISITE,、APT 33,、Elfin

　　（ 三 ） PARISITE圖片

　　Parisite自2017年開始運(yùn)營,，面向制造業(yè),、電力公用事業(yè)、航空航天,、石油和天然氣行業(yè)以及政府和非政府組織,，攻擊北美、歐洲和中東等地區(qū)目標(biāo),。

　　相關(guān)組織：MAGNALLIUM, Fox Kitten, Pioneer Kitten

　?。?四 ） WASSONITE圖片

　　WASSONITE的攻擊目標(biāo)是印度（以及可能的韓國和日本）的制造業(yè),、發(fā)電、核能和研究機(jī)構(gòu),。該組織的運(yùn)營依賴于DTrack惡意軟件,、憑據(jù)捕獲工具，利用系統(tǒng)工具進(jìn)行橫向移動,。WASSONITE至少從2018年開始運(yùn)營,。

　　相關(guān)組織：Lazarus Group，COVELLITE

　?。?五 ） XENOTIME圖片

　　XENOTIME對多家ICS供應(yīng)商和制造商造成了威脅,，構(gòu)成了潛在的供應(yīng)鏈威脅。XENOTIME以TRISIS攻擊而聞名,，該攻擊導(dǎo)致2017年8月在沙特阿拉伯的一家石油和天然氣設(shè)施遭到破壞,。2018年，XENOTIME的業(yè)務(wù)范圍擴(kuò)大到北美和亞太地區(qū)的電力公司,，歐洲,、美國、澳大利亞和中東的石油和天然氣公司,。攻擊目標(biāo)還包括控制系統(tǒng)設(shè)備,，超越了2017年事件所針對的Triconex控制器。

　　相關(guān)組織：Temp.Veles

　　三,、工業(yè)控制系統(tǒng)（ICS）惡意軟件

　　目前,，有兩個攻擊組織XENOTIME和ELECTRUM被證明有能力利用專門針對ICS進(jìn)程的惡意軟件（TRISIS和CRASHOVERRIDE），并破壞ICS進(jìn)程,。盡管Dragos尚未觀察到有惡意軟件家族會擾亂制造運(yùn)營,，但這些攻擊者可能會在開發(fā)此類惡意軟件的過程中將目標(biāo)鎖定在制造公司，即使它們不是最終目標(biāo),。

　　例如,，2016年惡意軟件CRASHOVERRIDE在烏克蘭的一個輸變電站中專門針對西門子SIPROTEC保護(hù)繼電器和ABB設(shè)備進(jìn)行破壞。Dragos觀察到,，一些大型制造公司可能會在現(xiàn)場有自己的電力運(yùn)營部門,，其中包含相同的設(shè)備。從理論上講,，如果使用相同的設(shè)備,，攻擊者可以將制造業(yè)作為針對關(guān)鍵基礎(chǔ)設(shè)施（如電力公司）的破壞性攻擊的“試驗(yàn)場”。Dragos估計(jì),，由于總體上較復(fù)雜的網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施和較少的政府監(jiān)督,，制造業(yè)可能成為攻擊者更具吸引力的目標(biāo)。

　　最臭名昭著的ICS惡意軟件Stuxnet也針對制造業(yè),。2010年首次發(fā)現(xiàn)該蠕蟲病毒的攻擊目標(biāo)是伊朗擁有的負(fù)責(zé)控制鈾濃縮離心機(jī)的可編程邏輯控制器（PLC）,。這種網(wǎng)絡(luò)攻擊在當(dāng)時是史無前例的,，它是第一次對計(jì)算機(jī)系統(tǒng)造成物理破壞的攻擊。

　　四,、針對制造業(yè)的威脅

　?。?一 ） 勒索軟件

　　制造業(yè)最常見的威脅是勒索軟件。Dragos觀察到,，在過去兩年中,，影響ICS環(huán)境和操作的非公開和公共勒索軟件事件數(shù)量顯著增加。今年,，Dragos確定了采用ICS感知功能的多種勒索軟件,，包括能夠在環(huán)境中停止工業(yè)過程的能力，其活動可以追溯到2019年,。EKANS,、Megacortex和Clop只是包含這類代碼的少數(shù)勒索病毒軟件。EKANS和其他關(guān)注ICS的勒索軟件對工業(yè)操作構(gòu)成了一種獨(dú)特的,、特定的風(fēng)險,，此前在勒索軟件操作中沒有觀察到這種風(fēng)險。

　?。?二 ） 暴露于互聯(lián)網(wǎng)上的資產(chǎn)

　　暴露于互聯(lián)網(wǎng)上的工業(yè)和網(wǎng)絡(luò)資產(chǎn)對制造業(yè)來說是高風(fēng)險,，因?yàn)檫@些資產(chǎn)有助于攻擊者進(jìn)入受害環(huán)境。針對ICS的威脅組織,，包括PARISITE,、MAGNALLIUM、ALLANITE和XENOTIME,，以前或目前都試圖利用遠(yuǎn)程訪問技術(shù)或登錄基礎(chǔ)設(shè)施,。

　　根據(jù)《2019年Dragos年度回顧報告》，66%的事件響應(yīng)案例涉及對手直接從互聯(lián)網(wǎng)訪問ICS網(wǎng)絡(luò),，100%的組織都有可路由的網(wǎng)絡(luò)連接到其操作環(huán)境中,。最近以色列針對水基礎(chǔ)設(shè)施的網(wǎng)絡(luò)入侵是可編程邏輯控制器（PLC）暴露在開放互聯(lián)網(wǎng)上的結(jié)果。Dragos還響應(yīng)了工業(yè)實(shí)體的勒索軟件事件,，這些企業(yè)利用互聯(lián)網(wǎng)連接的遠(yuǎn)程訪問門戶滲透到運(yùn)營網(wǎng)絡(luò)并部署勒索軟件。

　　2020年7月,，美國國土安全部網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）和國家安全局（NSA）發(fā)布了一份警告,，鼓勵資產(chǎn)所有者和運(yùn)營商立即采取行動，限制OT資產(chǎn)接入互聯(lián)網(wǎng),。根據(jù)該警報,，最近在發(fā)布前觀察到的行為包括：在轉(zhuǎn)向操作技術(shù)（OT）之前，通過魚叉釣魚獲得對信息技術(shù)（IT）的初始訪問,，部署商用勒索軟件來影響IT和OT環(huán)境,，連接到不需要驗(yàn)證的可訪問互聯(lián)網(wǎng)的可編程邏輯控制器（PLC）,，使用常用端口和標(biāo)準(zhǔn)應(yīng)用層協(xié)議與控制器通信并下載修改后的控制邏輯，使用供應(yīng)商工程軟件和程序下載,、修改可編程邏輯控制器上的控制邏輯和參數(shù),。

　　攻擊者很快就可以將面向互聯(lián)網(wǎng)的服務(wù)（包括遠(yuǎn)程桌面協(xié)議（RDP）和VPN服務(wù)）中的漏洞進(jìn)行武器化和利用。2020年夏季發(fā)現(xiàn)的新漏洞會影響關(guān)鍵網(wǎng)絡(luò)基礎(chǔ)設(shè)施服務(wù),，包括F5,、Palo Alto Networks、Citrix和Juniper網(wǎng)絡(luò)設(shè)備,，可能會被針對ICS的攻擊者利用,，這些漏洞可使對手獲得對企業(yè)運(yùn)營的初始訪問權(quán)，之后可能轉(zhuǎn)向工業(yè)運(yùn)營,。

　?。?三 ） ICS漏洞

　　ICS專用設(shè)備和服務(wù)中的漏洞可能給制造環(huán)境帶來風(fēng)險。截至2020年10月,，Dragos的研究人員評估并驗(yàn)證了108個安全建議,，其中包含262個漏洞，這些漏洞會影響制造環(huán)境中的工業(yè)設(shè)備,。Dragos發(fā)現(xiàn),，幾乎有一半的通報都描述了一個漏洞，該漏洞可能導(dǎo)致受到破壞的環(huán)境中可視性丟失和/或失去控制,。

　　在Dragos評估的影響制造業(yè)工業(yè)設(shè)備的漏洞中,，70%需要訪問受害者網(wǎng)絡(luò)才能利用，26%要求攻擊者能夠訪問易受攻擊的設(shè)備本身,，8%的要求攻擊者在局域網(wǎng)上以便于攻擊,。鼓勵資產(chǎn)所有者和運(yùn)營商注意這些漏洞對制造操作的威脅。例如,，可視化或控制裝置丟失會引起安全隱患,，并可能使工人的生命或環(huán)境面臨風(fēng)險。

　?。?四 ） 知識產(chǎn)權(quán)盜竊

　　Dragos高度自信地認(rèn)為,，知識產(chǎn)權(quán)盜竊和工業(yè)間諜活動是制造實(shí)體的主要威脅，尤其是來自國家支持的攻擊者和惡意內(nèi)部人士的威脅,。與過程和自動化功能相關(guān)的知識產(chǎn)權(quán)和商業(yè)秘密的竊取,，可使工業(yè)組織以及感興趣的政府快速發(fā)展關(guān)鍵基礎(chǔ)設(shè)施，包括制造業(yè),。它還可以支持國家資助的間諜活動,，以進(jìn)行政治或國家安全工作。獲得產(chǎn)品的材料規(guī)格可能不足以復(fù)制它們，企業(yè)依賴工程和工業(yè)設(shè)計(jì)原理圖以及基因自動化測序詳細(xì)信息,。根據(jù)Dragos研究人員稱,，攻擊者可能會竊取算法、工程設(shè)計(jì)和編程規(guī)范,，以復(fù)制整個生產(chǎn)過程,，而不僅僅是物質(zhì)產(chǎn)品和服務(wù)的輸出。

　?。?五 ） 第三方/供應(yīng)鏈

　　自2017年以來,，作為威脅受害者的第一步，多種威脅已轉(zhuǎn)移到危害供應(yīng)商,、托管服務(wù)提供商（MSP）和外部網(wǎng)絡(luò)服務(wù),。攻擊者可以濫用現(xiàn)有的信任關(guān)系和互聯(lián)性，以獲得對敏感資源的訪問權(quán),，在某些情況下還包括ICS系統(tǒng),，幾乎都不可能被發(fā)現(xiàn)。

　　此類活動的最新案例包括：DYMALLOY和ALLANITE組織針對幾個原始設(shè)備制造商和供應(yīng)商進(jìn)行了攻擊,，針對電力部門實(shí)施了后續(xù)網(wǎng)絡(luò)釣魚攻擊,；針對幾家原始設(shè)備制造商和供應(yīng)商的XENOTIME；APT10進(jìn)行了一場廣泛的黑客攻擊,，劫持了MSP及其客戶之間的連接,，其中包括制造企業(yè)。

　　承包商,、供應(yīng)商和其他第三方人員通?？梢灾苯釉L問操作環(huán)境進(jìn)行更新、檢查或新設(shè)備安裝等活動,。攻擊者有可能將這些個人使用的設(shè)備作為進(jìn)入其最終目標(biāo)的接入點(diǎn),。企業(yè)資源規(guī)劃（ERP）供應(yīng)商還提供了潛在的感染媒介，如果沒有適當(dāng)?shù)母綦x和安全控制,，這些媒介可以彌合IT和OT之間的鴻溝,。ERP服務(wù)需要訪問操作資產(chǎn)以監(jiān)視和存儲與生產(chǎn)、供應(yīng)鏈,、庫存和安全相關(guān)的信息,。它們應(yīng)該集成到企業(yè)功能中，如合規(guī)或財務(wù),。最近的漏洞暴露突出了這些系統(tǒng)的威脅和潛在的利用,。2020年7月，主要的ERP供應(yīng)商SAP發(fā)布了影響SAP NetWeaver Application Server（AS）Java組件的嚴(yán)重漏洞的詳細(xì)信息和修補(bǔ)程序,，該漏洞影響了眾多SAP業(yè)務(wù)解決方案，包括ERP,。攻擊者可以利用該漏洞控制受信任的SAP連接,。

　　制造業(yè)實(shí)體是全球供應(yīng)鏈的一部分,，支持多個其他行業(yè)，這使得它們成為對手攻擊電力公用事業(yè)或制藥等行業(yè)的跳板,。一些制造業(yè)公司的活動延伸到多個垂直行業(yè),。汽車制造商大眾汽車于2019年成為可再生能源供應(yīng)商，旨在與能源公司在電池儲能和管理方面展開競爭,。

　　利用第三方連接可使攻擊者進(jìn)行間諜活動,、偵察和數(shù)據(jù)竊取操作，以預(yù)先做好準(zhǔn)備以展開破壞性O(shè)T攻擊,。由于制造業(yè)公司在各個行業(yè)垂直領(lǐng)域的相互關(guān)聯(lián)關(guān)系,，資產(chǎn)所有者和運(yùn)營商應(yīng)意識到所有ICS實(shí)體面臨的威脅，并將ICS特定威脅情報納入安全運(yùn)營和風(fēng)險管理,。

　　五,、IT/OT融合

　　（ 一 ） 網(wǎng)絡(luò)隔離

　　制造商的網(wǎng)絡(luò)安全成熟度取決于行業(yè),、監(jiān)管要求,、地理位置和各種其他因素。然而,，在制造環(huán)境中存在“扁平網(wǎng)絡(luò)”并不罕見,。這是因?yàn)槠髽I(yè)和運(yùn)營部門之間共享網(wǎng)絡(luò)連接。這使得攻擊者更容易跨越IT和OT邊界,，并從IT接入點(diǎn)進(jìn)入后攻擊制造業(yè)務(wù),。

　　如果企業(yè)和運(yùn)營部門之間確實(shí)存在隔離，利用跳轉(zhuǎn)主機(jī)和訪問限制,，那么制造工廠通常利用所有制造工廠的相同廣域網(wǎng)（WAN）連接,。如果攻擊者能夠進(jìn)入一個設(shè)施的運(yùn)營，則可能會危及整個公司的運(yùn)營,。

　　扁平網(wǎng)絡(luò)結(jié)構(gòu)的危險在2017年得到了廣泛證明,。那一年，WannaCry和NotPetya蠕蟲勒索軟件和惡意軟件攻擊全球,，破壞了眾多制造商的運(yùn)營,。這些蠕蟲利用舊版本的Microsoft服務(wù)器消息塊（SMB）協(xié)議中的漏洞和連續(xù)的憑據(jù)竊取和重用進(jìn)行傳播。由于IT和OT之間存在較弱的隔離,、環(huán)境之間的維護(hù)互連以及缺乏訪問限制進(jìn)行互連,，惡意軟件在工業(yè)運(yùn)營中緩慢蔓延，造成了數(shù)十億美元的損失,。盡管WannaCry和NotPetya事件給全球制造商敲響了警鐘,，但三年后，不當(dāng)?shù)木W(wǎng)絡(luò)隔離仍然是一個問題。

　?。?二 ） Wi-Fi連接

　　除了與互聯(lián)網(wǎng)連接的過程自動化和其他“智能”制造過程外,，運(yùn)營商還采用了支持Wi-Fi的機(jī)床和診斷設(shè)備?；ヂ?lián)網(wǎng)連接工具連接到歷史數(shù)據(jù)庫,，用于質(zhì)量保證、監(jiān)管和物流等目的,。通常,，這些工具連接到企業(yè)或運(yùn)營資源，可以用作網(wǎng)絡(luò)接入點(diǎn),，或在旨在破壞生產(chǎn)和阻礙運(yùn)營的攻擊中成為攻擊目標(biāo),。物流應(yīng)用程序和服務(wù)使制造資產(chǎn)的移動部件（如車輛、司機(jī)和貨物）能夠與倉庫或人力資源等靜態(tài)資產(chǎn)進(jìn)行通信和交互,。員工和承包商使用帶有Wi-Fi連接的移動和桌面硬件來使用應(yīng)用程序和服務(wù),，并定期訪問企業(yè)網(wǎng)絡(luò)，有時還訪問運(yùn)營網(wǎng)絡(luò),。

　　物流技術(shù)可以確保供應(yīng)鏈的及時,、精簡，但對任何中斷都非常敏感,。如果物流網(wǎng)絡(luò)中的一臺設(shè)備受到威脅,，則惡意軟件或?qū)κ挚赡軙⒉嫉皆撛O(shè)備所連接的所有網(wǎng)段。時間敏感的小事故可能意味著制造業(yè)運(yùn)營的嚴(yán)重破壞,，并影響客戶,、產(chǎn)品和服務(wù)。

　?。?三 ） 缺乏可見性

　　隨著制造業(yè)務(wù)的聯(lián)系日益緊密,，這些環(huán)境中仍然缺乏對過程、資產(chǎn)和連接的可見性,。很難抵御運(yùn)營商看不到的威脅,。

　　根據(jù)Dragos 2019年度回顧報告，81%的Dragos服務(wù)團(tuán)隊(duì)合作的組織對ICS/OT網(wǎng)絡(luò)的可見性極為有限或根本沒有,。從事件響應(yīng)活動中觀察發(fā)現(xiàn),，沒有用于事件分析的安全性和過程數(shù)據(jù)聚合實(shí)例，而需要手動檢索日志和分布式分析,。

　　至關(guān)重要的是,，在未來，所有制造部門和運(yùn)營部門（包括工程,、裝配和物流）的資產(chǎn)所有者和運(yùn)營商改善網(wǎng)絡(luò)和主機(jī)可見性,，以識別和抵御日益增長的威脅,。

　　六、防御建議

　　制造企業(yè)都是不同的,，并且網(wǎng)絡(luò)安全機(jī)制,、網(wǎng)絡(luò)體系結(jié)構(gòu)以及它們愿意接受的風(fēng)險也會因行業(yè)而異。例如,，在食品和制藥行業(yè)，已經(jīng)制定了監(jiān)管條例,，以監(jiān)測生產(chǎn)和銷售給公眾的產(chǎn)品的安全性,。但是，為了提高環(huán)境的整體安全性,，所有制造企業(yè)都應(yīng)執(zhí)行以下建議：

　　 進(jìn)行架構(gòu)檢查,，以確定IT和OT網(wǎng)絡(luò)之間的所有資產(chǎn)、連接和通信,。確定非軍事區(qū)（DMZ）以限制飛地之間的流量,。嚴(yán)格檢查并限制公司網(wǎng)絡(luò)和ICS網(wǎng)絡(luò)之間的連接，并將其限制為僅已知的,、需要的流量,。

　　 確保理解網(wǎng)絡(luò)的相互依賴關(guān)系，并進(jìn)行核心分析,，以識別可能破壞業(yè)務(wù)連續(xù)性的潛在弱點(diǎn),。

　　 盡可能實(shí)施多因素身份驗(yàn)證（MFA），尤其是在外圍設(shè)備和登錄門戶,。重點(diǎn)關(guān)注與集成商,、維護(hù)人員、供應(yīng)商人員以及諸如安全設(shè)備之類連接,。如果無法在內(nèi)部設(shè)備上實(shí)現(xiàn)MFA,，請確保對所有憑證使用強(qiáng)且難以猜測的口令。

　　 確保維護(hù)企業(yè)網(wǎng)絡(luò)系統(tǒng)的備份,，并在災(zāi)難恢復(fù)模擬期間測試備份,。制定ICS特定事件響應(yīng)計(jì)劃，并演練如何處理不同的事件,。

　　 被動識別和監(jiān)視ICS網(wǎng)絡(luò)資產(chǎn),，以識別網(wǎng)絡(luò)中的關(guān)鍵資產(chǎn)、阻塞點(diǎn)和外部通信,。

　　 尋找針對制造的對手所使用的威脅行為和已知的戰(zhàn)術(shù),、技術(shù)和程序（TTPs），比如那些映射到ICS的ATT&CK,。

　　 監(jiān)控來自ICS網(wǎng)絡(luò)的出站通信,，以檢測惡意威脅行為,、指標(biāo)和異常情況。了解惡意活動組織表現(xiàn)出的惡意行為,，對于防范至關(guān)重要,。

　　 監(jiān)測和標(biāo)記關(guān)鍵資產(chǎn)。Dragos資產(chǎn)識別允許通過檢測針對資產(chǎn)類型的惡意行為來進(jìn)行特定分析,。

　　 利用特定于行業(yè)的威脅檢測機(jī)制來識別OT中的惡意軟件,，并在網(wǎng)絡(luò)級別加強(qiáng)縱深防御策略，從而使防御者和分析員具有更強(qiáng)大的調(diào)查能力,。

　　 確保公司網(wǎng)絡(luò)已修補(bǔ),，以防止惡意軟件感染進(jìn)入環(huán)境并防止后續(xù)傳播。

　　 確保關(guān)鍵的網(wǎng)絡(luò)服務(wù),，如Active Directory（AD）和托管它的服務(wù)器都受到很好的保護(hù),，并盡可能最大程度地限制對托管設(shè)備的管理訪問。

　　 盡可能評估和限制IT和ICS網(wǎng)絡(luò)之間的共享,。在共享AD環(huán)境中為OT系統(tǒng)創(chuàng)建專用安全組,，并將部署組策略對象（GPO）或其他更改的權(quán)限限制為僅對管理員，以減少攻擊面,。

　　 確保最大程度地將網(wǎng)絡(luò)隔離,。如果無法進(jìn)行隔離，請確保應(yīng)急響應(yīng)計(jì)劃有良好的文檔記錄,，以詳細(xì)說明緊急情況下,，如惡意軟件感染時的隔離工作。例如,，實(shí)施防火墻規(guī)則,，將關(guān)鍵的ICS組件從網(wǎng)絡(luò)中分離出來，這些組件可以根據(jù)環(huán)境的信息安全和功能安全以及任何潛在的惡意活動進(jìn)行激活和停用,。

　　不需要進(jìn)行實(shí)時通信或直接訪問操作的服務(wù)和設(shè)備應(yīng)進(jìn)行虛擬化,。這可以改進(jìn)漏洞管理，并為相互依賴提供更好的安全性,。例如,，工程工作站（EWS）和人機(jī)界面（HMI）操作可以虛擬化。

　　 隔離用于建筑物出入控制（BAC）和供暖,、通風(fēng)和空調(diào)（HVAC）的設(shè)備和服務(wù),。這些服務(wù)可被視為二級或支持系統(tǒng)，對維持安全,、可靠的制造運(yùn)營至關(guān)重要,，并且可以作為試圖破壞制造生產(chǎn)的對手的潛在目標(biāo)。

　　七,、結(jié)論

　　針對制造企業(yè),、導(dǎo)致運(yùn)營中斷的勒索軟件呈現(xiàn)上升趨勢,。互聯(lián)網(wǎng)暴露的資產(chǎn),、供應(yīng)鏈和第三方危害風(fēng)險,，以及互聯(lián)企業(yè)和運(yùn)營網(wǎng)絡(luò)的日益融合，導(dǎo)致了威脅態(tài)勢的不斷惡化,。Dragos繼續(xù)監(jiān)測重點(diǎn)的攻擊組織和針對制造業(yè)務(wù)的威脅,，包括涉及能夠破壞運(yùn)營的ICS勒索軟件。此外,，如Dragos所述,，攻擊者無需專門針對工業(yè)過程，就可實(shí)現(xiàn)跨工廠,、車隊(duì)或自動化過程的廣泛危害破壞?？梢钥隙ǖ氖?，明年制造業(yè)面臨的威脅還將繼續(xù)增加。