输油管道、水处理厂和铁路系统有什么共同点?它们都依赖于操作技术(OT)环境，它们都是网络攻击的受害者，这些网络攻击事件成了全球头条新闻。

Colonial管道、Oldsmar水处理厂和伊朗铁路事件都因其对现实生活产生严重影响使人感到震惊。但新闻只告诉了我们事件，多数企业没有注意到的是，OT、IOT、AIOT中的应用软件，大多数基于开源框架，开源框架的源代码、叠加的自研源代码。都需要进行安全漏洞测试。

在每个事件中，都有关键的OT安全教训需要学习，以便其他机构可以避免重蹈覆辙。

Colonial Pipeline：网络分割的一课

Colonial Pipeline 勒索软件攻击是2021年最重大的攻击之一，因为它引发了汽油短缺危机。当Colonial Pipeline 首席执行官约瑟夫·布朗特 (Joseph Blount)在美国国会作证时，人们发现这次袭击是完全可以避免的。Blount承认，Darkside 勒索软件组织是通过不需要多因素身份验证的VPN获得访问权限。

尽管Darkside控制了Colonial Pipeline的IT系统，但网络分割限制了此次攻击对Colonial Pipeline运营的影响。一旦Colonial Pipeline知道其IT业务受到影响，它选择主动将OT系统离线，以防止攻击蔓延。

随着IT和OT网络不断融合，企业需要了解这些网络是如何连接的，并采取适当的步骤来保护高风险资产。例如，现场设备没有理由与IP安全摄像机进行通信。

通过更好地了解IT和OT网络如何连接和通信，安全团队可以更快地响应威胁。

这种方法需要网络监控和执行工具来识别当前的网络通信，检测威胁和违反，并执行分割规则。检测到的威胁可以转发到SIEM/SOAR系统进行调查或触发自动响应操作。

佛罗里达州奥尔兹马的水处理厂：可见度的教训

今年2月，水处理厂员工注意到他们电脑屏幕上的氢氧化钠含量迅速上升。有人远程访问了系统，但员工阻止黑客横向进入其他IT基础设施。据报道，这次事件中使用的攻击载体是一个名为TeamViewer的远程连接工具。

随着开始居家办公，远程访问的使用有所增加，因此企业需要确保只允许经批准的远程访问连接，并持续监控VNC、SSH、RDP等通信。

Oldsmar水处理厂由于其员工的警觉而能够防止攻击造成更多损害，但类似处理厂中的许多其他OT系统可能缺乏安全团队识别这些攻击所需的可见性。

随着OT环境进行数字化转型，必须保持对这些联网设备的可见性。可见性解决方案可以帮助企业识别他们的资产、它们在网络上的部署位置、它们是否连接到Internet 以及如何控制它们。可见性解决方案甚至可以帮助识别漏洞，以及恶意行为者如何利用这些漏洞破坏系统运营。

伊朗铁路：供应链漏洞管理的一课

今年7月，由于一个名为Indra的黑客组织渗透到IT系统并传播名为MeteorExpress的恶意软件，伊朗铁路公司不得不关闭其铁路系统。伊朗一直没有透露这次袭击的细节，导致安全研究人员形成了他们自己的假设。

培训系统依赖于与IT系统集成的各种关键OT系统。这包括从信号解决方案到传感器和制动单元设备的所有内容。所有这些都连接到网络，其中许多还包括软件，使这些系统和设备能够收集数据，并将数据发回操作中心。为了实现这种通信，连接的设备依赖于一种叫做TCP/IP堆栈的软件。

Forescout的研究显示，在超过12个TCP/IP协议栈实现中存在近100个漏洞。这些漏洞如果被利用，将允许黑客使系统和设备脱机，包括火车监控系统中的一个特定漏洞。这一切都表明，伊朗铁路事故同样有可能发生世界各地。

当谈到保护第三方软件的共同责任时，企业应该更加积极地对软件供应商进行评估。理想情况下，行业应该鼓励具有安全软件设计生命周期和漏洞利用缓解的供应商，在开发期间通过静态代码检测可以帮助开发人员减少30%-70%的安全漏洞，在上线前提高软件安全性，筑牢网络安全基础。

在被迫做出反应之前先积极主动

在IT/OT融合、网络系统透明度和第三方供应商安全评估方面，关键基础设施的运营商需要更加积极主动。随着对关键基础设施的攻击增加，当前政府机构的审查和监管也随之增加。

在网络安全防御上，现在采取行动的企业将不必或更少担心因触犯法规而受到惩罚。通过对网络进行分段、提高企业网络系统的可视化程度和提高对第三方软件安全风险评估，可以更好地做好准备，以最大限度地减少未来发生类似事件的可能性降低网络安全事件影响。

参读链接：

https://www.helpnetsecurity.com/2021/10/29/ot-security-lessons/

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！