近日，美國工控系統網絡應急響應小組(ICS-CERT)在其最新的安全報告中指出，目前包括電站在內的美國關鍵基礎設施正處于危險之中，而且由于這些關鍵基礎設施普遍連接到互聯網，導致這些關鍵基礎設施工業控制系統中出現了超過600個IT安全漏洞。據ICS-CERT報告顯示，相關漏洞還涉及供水、能源和石油等行業。

工控設施安全不容忽視 美曝出漏洞超600個

據悉，該報告涵蓋了美國工控系統網絡應急響應小組在2015年針對全美基礎設施發布的112項評估，以響應該機構“預防、保護、緩解和響應關鍵基礎設施網絡威脅和通信中斷”的提議。

這些評估包括了46項結構設計評估、28項網絡架構認證和有效性檢測，其直接來源是關鍵基礎設施的運營商和擁有者。此外還有38個網絡安全評估工具的測試，包括關鍵基礎設施運營者的自我評估。工控應急小組并沒有保留這些測試數據。

調查顯示，目前已發現的漏洞數量高達638個，其中最常見的是“邊界保護”方面的漏洞，工控應急小組表示這將導致非常嚴重的后果。

調查人員稱，“邊界防護將會有效地減緩攻擊進程，并讓面向非法活動的檢測、分析和警報更加簡單，支持運營和事件響應人員。”同時，“缺乏強有力的保護，攻擊者將更容易滲透進關鍵資產的網絡邊界，訪問高價值信息并操縱由工業控制系統管控的設備。”

另一個巨大問題是“最小運行環境”，其含義是通過將雇員能夠訪問到的系統限制到他們的工作需要上，減少風險。工控應急小組表示，在這方面也發現了很多的問題。

報告指出，“比如白名單使用較少、部署不安全的、過時的或者存在漏洞的操作系統服務，在系統運行不需要通訊端口時依然讓它們保持打開狀態。”

因此，為了強化安全，有必要關閉所有非必需端口、服務和應用會縮小工業控制系統的攻擊界面，并提升監控、分析必要通訊流量的能力。

報告同時揭示了可能會對關鍵基礎設施造成威脅的新型IT趨勢，包括虛擬機和遠程控制工具的安全配置不合理、自帶設備辦公策略的崛起等。

報告中指出，“使用自帶辦公設備訪問個人電子郵件、網頁和社交媒體應用對于工業控制系統而言存在天然風險。機構必須考慮風險和合適的措施，比如移動設備管理系統，來將風險控制到可接受的級別。”

同時，關鍵基礎設施擁有者和運行者更加依賴云服務的趨勢也會成為未來的問題之一。因此報告也提到，“機構必須確保工業控制系統架構中處于外界的部分擁有與工業控制系統本身相同的安全性。”

“機構必須考慮到工業控制系統運行信息完整性、安全性和保密性，以及與恢復、事件管理、故障切換、診斷支持、監控和其它依賴云端服務提供的特殊支持的運行和功能細節。”

而該評估包括了對多個領域的調查，因此顯示了問題的深度和廣度，如下圖所示。

美國不同行業在關鍵基礎設施工控系統曝出的漏洞占比

2015年的一份報告警告稱，對美國電網和相關設施的網絡攻擊可能對全國造成最高1萬億美金的經濟損失。

ICS-CERT解釋，考慮到對國家的重要性，與關鍵基礎設施相關的機構必須盡一切努力，對運行操作的系統部署更為強大的安保措施。

報告總結到，“保護國家的關鍵基礎設施對于確保公眾信心、保護安全、財富和生命安全至關重要。我們的許多關鍵基礎設施依賴于自動控制系統來確保工業流程的效率和安全，因此機構進行安全評估時十分有必要的，這可以幫助他們理解如何有效防止設施受到網絡威脅侵害。”

安全研究專家David Emm指出，針對工業控制系統環境下手的攻擊者數量增長無疑意味著可利用的漏洞數量和類型也會同時增長。“2009年以來，被攻擊者試探和攻破的系統有所增多，因此該數字將會開始上升。”

然而，由于黑客很有可能曾經訪問過美國大型企業的核心系統，工業控制系統環境中存在如此多的漏洞無疑為黑客針對關鍵工控系統進行攻擊，提供了充分的條件。