MESA网络安全工作组主席
今年2月,我的COVID-19检测呈阳性。这是怎么发生的?我保持社交距离,戴着口罩,极大地限制了与他人的互动,经常洗手,并认为自己是在保护自己。我认为我有理由“与外界脱节”。事实证明,我不是。
您可能认为您的制造系统或工业控制系统类似地“断开”且安全。但是,您可能不知道有多少因素与您的假设背道而驰,从而威胁到您的系统。
这些因素是什么?以下是一些可能导致网络攻击发生的系统反向通道。
- 几乎在任何时候,只要将设备连接到网络上任何位置的USB端口,都可能会断开连接。如果控制装置或制造网络上的任何USB端口都处于打开状态,那么连接一台设备甚至只是为其充电都会突破这一障碍。您不再断开连接。
- 网络中是否有使用无线的设备?如果是这样,除非对接入进行严格管理,否则无线网络可能会断开连接。有时,设备被添加到网络中(可能是临时的),并且它们启用了无线功能。您是否曾将笔记本电脑连接到断开的网络上工作,并在笔记本电脑上启用无线功能?无线的使用可以打破这种脱节。
- 您的控制系统是否与其他网络共享交换机?这有时是为了方便、节约成本,或者由IT部门(可能没有意识到他们正在断开连接)或者使用VLAN来完成的。与其他网络共享交换机可以断开连接。
- 即使您连接的工作站未主动连接到无线网络,它也可能最近已连接(和/或感染)。毕竟,您将如何在断开连接的网络中获得软件更新或新配置?将笔记本电脑等外部设备连接到断开连接的网络可能会断开连接。
- 建立远程访问控制或制造系统的方法并不罕见,尤其是在大流行期间。这些连接存在的知识可能会被密切掌握,并且只有在需要时才会被激活。无论如何,这些远程访问技术代表了断开连接模式的突破。
- 也许所谓的断开连接实际上是“轻微”连接。制造或控制网络可能只有一个由防火墙保护的单一访问点,该防火墙被严格锁定,以用于绑定流量。通过防火墙设备(即使是一个严格控制的设备)实际连接,也不会断开连接。此外,如果您使用的是通用有状态防火墙,请同时注意入站和出站防火墙规则。如果您锁定了入站请求,但未锁定出站请求,则可能会与电子邮件或网站建立内部连接,在这些电子邮件或网站上可能会遇到恶意软件并将其引入断开连接的网络。
这并不是说你必须找到并消灭所有这些秘密渠道。只是要知道它们经常存在,并相应地评估你的风险。你可以坚持“这不会发生在我身上”,但不要相信这是因为你与外界脱节的神话。
本文中的公司
