美國國土安全部ICS-CERT本周發(fā)布了關于工業(yè)控制系統(tǒng)（簡稱ICS）的三項安全公告，再次強調基礎設施與工業(yè)網(wǎng)絡當前所面臨的嚴重安全威脅。

在最近一篇匯總ICS當前威脅形勢的博文當中，F(xiàn)ortinet公司的Ruchna Nigam強調指出：“大多數(shù)工業(yè)控制系統(tǒng)來自不同供應商且運行著專有操作系統(tǒng)、應用程序以及協(xié)議（包括通用電氣、羅克韋爾、DNP3以及Modbus）。結果就是，基于主機且面向IT部門開發(fā)的安全方案幾乎根本不適用于ICS。”

這無疑使得ICS的安全性更為薄弱，而且需要完全由供應商負責找到并解決安全漏洞。此次發(fā)布的三項公告所援引的全部已發(fā)現(xiàn)漏洞皆由供應商獨立識別并報告——然而，我們卻很難驗證其修復手段是否真正解決了問題。

最 近曾發(fā)現(xiàn)羅克韋爾IAB安全漏洞的Ivan Sanchez對此感到相當震驚。在日常工作當中，他不斷搜索并發(fā)現(xiàn)新的ICS安全漏洞。就在去年，他發(fā)布報告指出，單是羅克韋爾公司一家的產(chǎn)品就存在超 過150項風險問題。一般來講，在報告相關問題之后，相關企業(yè)都會向他做出進一步咨詢。

“在95%的情況下，企業(yè)會請求我重新進行測試，然后再發(fā)布最終公告意見，”Sanchez在接受采訪時指出。“我認為企業(yè)應當詢問相關安全漏洞的具體細節(jié)，而非對只對當前發(fā)現(xiàn)的問題表示‘感謝’。”

公告ICSA- 16-056-01描述了羅克韋爾自動化公司旗下集成化架構構建工具（簡稱IAB）應用中的一項內(nèi)存訪問沖突錯誤。一旦被成功利用，其將允許攻擊者以等同 于IAB工具的權限執(zhí)行惡意代碼。其只能由本地用戶加以利用，而且目前已經(jīng)得到修復。不過在安裝最新版本之前，仍然建議用戶避免利用IAB.exe打開任 何非受信項目文件；另外，應以‘用戶’角色運行全部軟件，而非以‘管理員’角色運行。

公告ICSA-16-061-03描述了一項基于cookie的安全漏洞，其允許遠程攻擊者通過EG2 Web Control對Eaton Lighting Systems進行配置。Eaton方面已經(jīng)修復了這項漏洞，但仍需時間將其推廣至全部系統(tǒng)當中。

公告ICSA-16-096-01描述了Pro-face旗下GP-Pro EX HMI軟件中的四項安全漏洞：其一導致信息泄露，兩項屬于緩沖區(qū)溢出，另一項則為硬編碼憑證問題。目前四項漏洞皆已得到修復。

一系列強有力的證據(jù)表明，目前ICS安全問題要遠比Fortinet博文中的陳述更加可怕。

事實上，Ivan Sanchez在采訪中表示，“ICS業(yè)界必須改進自身代碼質量并引入安全與審計控制機制。我已經(jīng)對三成已經(jīng)發(fā)現(xiàn)的問題進行了公布，而該行業(yè)還沒有充足的時間將其全部修復——因此我得說，這絕對是個大麻煩。”

盡管問題的客觀性已經(jīng)成為共識，但就目前而言其很大程度上仍只是種潛在問題。

《化工設施安全新聞》作者Patrick Coyle解釋稱，“一方面，幾乎每一套控制系統(tǒng)當中都存在著大量安全漏洞，我們需要對其認真評估并阻止一切將其作為目標的入侵活動。而在另一方面，這些 ICS控制系統(tǒng)實在太過復雜，組織起有效的進攻方案需要極為豐富的ICS相關專業(yè)知識。”

他預計未來攻擊活動將持續(xù)增加，但這種增加主要體現(xiàn)在質量而非數(shù)量層面。“我認為我們將看到更多指向ICS的低效攻擊行為。正如Verizon報告的水力系統(tǒng)入侵事件一樣，攻擊者僅僅是隨意修改了設定值，但其很快被發(fā)現(xiàn)，而安全系統(tǒng)或警報操作員則輕松解決了問題。”事實上，那些蓄謀已久的惡意活動才最為可怕。

不過他提醒稱，“我最擔心的問題在于，一部分惡意人士可能會利用勒索軟件鎖定關鍵性基礎設施。這并不需要什么高深的專業(yè)知識，只要能夠侵入該系統(tǒng)即可。”