由于与伊朗的紧张关系，ICS 安全成为焦点

鉴于美国和伊朗之间的紧张局势加剧，组织连接工业基础设施的企业应该保持警惕。

“[伊朗将军 Qasem] Soleimani 被暗杀的潜在网络影响是深远的，”网络安全公司 Cynamics 的首席执行官兼联合创始人 Eyal Elyashiv 警告说。

行业观察人士表示，两国最近发生的问题整体上加剧了网络风险。趋势科技基础设施战略副总裁比尔马利克表示：“虽然趋势科技没有关于具体攻击计划的内部信息，但政治紧张局势加剧会推动网络攻击是有道理的。

暗杀事件发生后，几位网络安全专家以及美国政府官员就伊朗附属对手构成的 ICS 安全风险发出警告。

其他人则指出了旨在分散注意力而不是迅速报复的小型网络攻击的可能性。 Virtru 首席社会科学家安德里亚·利特·林巴戈 (Andrea Little Limbago) 博士说，美国和伊朗之间爆发全面网络战的前景“不应成为默认假设”。伊朗的“网络活动——从破坏性攻击到虚假信息——已经普遍存在一段时间了。这并不新鲜，也与本周的事件无关，”她说。

在过去十年中，伊朗的网络能力得到了显着扩展。网络安全专家将针对美国和其他目标的一系列攻击——从对美国银行的拒绝服务攻击到针对沙特阿美系统的定制恶意软件——归因于伊朗行为者。同样与 ICS 安全相关的是，2015 年的报道称伊朗黑客渗透了美国电网。

“美国官员应该非常关注伊朗的网络能力和影响力，”Elyashiv 说。

尽管一些说法表明两国之间的紧张局势有所缓解，但国土安全部 (DHS) 1 月 4 日发出的警报警告称，伊朗至少可以发起“对美国关键基础设施具有暂时破坏性影响的攻击”。

同样，美国网络安全和基础设施安全局警告说，针对“金融、能源和电信组织的战略目标以及对工业控制系统和运营技术的兴趣增加”的攻击和网络间谍活动的风险可能会增加。

伊朗演员有针对美国网站的历史。 2016 年，美国司法部公开起诉，指控伊朗伊斯兰革命卫队的七名伊朗承包商对几家银行和纽约的一座大坝进行网络攻击。根据国土安全部的警告，美国还指责与伊朗有关的行为者“对基础设施目标进行侦察和计划，并对一系列美国目标进行网络攻击”。

这种瞄准扩展到工业领域。据 Cyber​​scoop 称，一个名为 Advanced Persistent Threat 33 的黑客组织与伊朗有关联，其目标是国防、交通和能源部门。

Limbago 认为，现在认为伊朗会在短期内优先利用 ICS 安全漏洞还为时过早。 “如果紧张局势进一步升级，情况可能会发生变化，但鉴于目前的水平，伊朗持续的网络活动将继续在被认为是灰色地带（不会升级为战争）]，”她说。 “虽然 ICS 肯定是一个问题，但伊朗明白对关键基础设施的破坏性攻击可能会导致升级和报复。”

同样，中央情报局反恐中心前执行主任卡罗尔·罗莉·弗林 (Carol Rollie Flynn) 预计伊朗将进行规模较小的网络攻击。 “他们不希望我们报复他们。他们以前有过这种感觉，”她告诉

林巴戈说，另一种可能性是，伊朗行为者可以针对缺乏明确的 ICS 联系的私营部门组织。这种策略是有先例的。 2015 年，时任国家情报总监的詹姆斯克拉珀表示，伊朗可能是袭击金沙赌场的幕后黑手，这是对其首席执行官谢尔登阿德尔森的反伊朗言论的报复。 “更符合他们之前模式的可能是针对与行政部门相关的私营部门组织，这些组织可能会造成财务损失，但无法团结美国公众和分裂的政府做出回应，”林巴戈说。

伊朗网络战略的另一个核心要素是虚假信息行动，林巴戈将其归类为“极其多产和全球性的”。 “这些活动肯定会继续下去——无论是在国内建立亲政府的支持，还是在全球建立反美情绪，”林巴戈补充道。

管理网络风险

无论最近的紧张局势如何，这种情况都为拥有工业基础设施的组织提供了一个机会来评估他们的连接设备。 “我们再次建议工业控制系统所有者和运营商审查他们的技术清单，评估他们的漏洞，尽可能应用此类控制来减少他们的攻击情况，”马利克说。

鉴于工业组织对正常运行时间的关注，工业环境（包括关键基础设施环境中的环境）通常使用过时、未打补丁的硬件和软件。 “组织必须超越目前用于保护关键基础设施的过时系统，因为最近的历史清楚地表明它们很容易受到损害，”Elyashiv 说。

虽然网络卫生至关重要，但 AssetLink Global LLC 总裁兼首席执行官 David Goldstein 强调，组织也应关注物理安全。 “[IIoT] 安全问题的答案并不完全在于硬件和软件，”Goldstein 说。

具有讽刺意味的是，物理访问的主题是十年前针对伊朗核离心机的 Stuxnet 攻击的核心要素。在 Stuxnet 活动中，据称代表美国和以色列政府工作的双重间谍在纳坦兹核浓缩设施的气密中央网络上安装了恶意软件。结果，该设施内大约 1,000 台核离心机最终被摧毁。

Goldstein 说，Stuxnet 事件不仅说明了访问控制的重要性，还说明了信任的重要性。 “你和谁一起工作，你信任谁，谁有凭据进入你的系统，谁有物理访问权限？”他问道：“随着物联网系统融入一切，参与者和合作伙伴之间的信任将随着时间的推移变得越来越重要，”他解释说。

随着物联网技术在工业环境中取得进展，熟悉工业控制系统世界的网络专家短缺。 “大多数安全分析师和顾问将相同的技术应用于 [工业] 物联网系统，就像他们对常规办公 IT 网络所做的一样，”戈德斯坦说。根据 Goldstein 的说法，考虑到专有协议的数量，在这种环境中执行软件更新的困难构成了“非常大的漏洞”。

美国国防部和 MITRE Corp. 等组织正在帮助缩小与 ICS 框架（如 MITRE ATT&CK ICS 框架）之间的差距。 “这份文件为 ICS 的制造商、所有者和运营商提供了一种方法，可以讨论可能的攻击场景，并在整个工业领域一致地报告漏洞，”马利克说。 “任何组织都应强烈考虑使用该框架来阐明 [其] ICS 安全态势。”

马利克还强调要接受一个简单的事实，即网络安全更多的是旅程而不是目的地。 “假设这种紧张局势加剧的时间框架是短期的，那么 ICS 制造商几乎无法迅速加强其当前的生产 [安全态势]，”他说。

Malik 确实注意到 ICS 供应商需要解决的一个漏洞：他们偶尔会在现场访问他们的技术以进行维护操作和故障诊断。 “这些维护链接可以作为攻击媒介，”他说。

Malik 建议供应商采取各种措施来保护客户数据。其他重要的考虑因素包括在可能的情况下加密流量并确保软件更新是安全的。 “如果一个客户的一个小问题导致制造商对其所有技术进行修复，而这些技术本身却携带恶意软件，那将是一场悲剧，”马利克说。