近日，國際知名自動化控制系統網絡安全專家，網絡安全、控制系統和系統安全方面的國際權威Joseph M. Weiss撰文（US critical infrastructure cyber security is backwards - it's the process that counts not the data）評述美國剛剛發布的工業控制系統網絡安全行動倡議，認為美國政府和關鍵基礎設施行業對ICS的網絡安全已誤入歧途，所有的做法都走上了基于IP網絡的威脅檢測的道路，偏離了工業控制系統本身可靠性、可用性和功能安全性的本真需求。Weiss建議采取過程傳感器的監控技術，而以色列水務局最近確實采取了這種工程方法，批準了離線過程傳感器監測技術，以確保該國的供水系統安全。與美國監控IT和OT網絡用于網絡安全（即網絡異常檢測）的現行做法不同，以色列的方法是基于監控過程傳感器的電特性（過程異常檢測），而不是像美國那樣僅僅依靠網絡監控。以下內容編譯自Weiss的博文。

　　介紹

　　控制系統網絡安全通俗的解釋，就是保持燈亮著、水流動著等。這不僅僅是維護網絡可用性的問題。如果控制系統受到網絡事件的影響，無論是意外事件還是蓄意攻擊，關鍵基礎設施的可靠性、可用性和安全性都可能受到影響。工業、制造業、交通運輸業和其他行業都依賴于基于運營技術（OT）互聯網協議（IP）的網絡來顯著提高生產率。然而，在這些改進的同時，也出現了嚴重的網絡漏洞。

　　關于關鍵基礎設施網絡安全的謬論是，假設需要IP網絡來保持照明、供水等。80多年來，電網在沒有IP網絡的情況下仍然保持著運行。電力系統中的控制系統被設計成相互協調工作，因此與控制系統相關的設備可以在沒有SCADA和SCADA網絡的情況下工作。例如，2015年烏克蘭電網遭到網絡攻擊后，烏克蘭人在沒有IP網絡的情況下繼續手動操作電網，因為IP網絡不可信。然而，如果關鍵硬件受到損害或損壞，電網就無法運行。這包括監測和控制網格的過程傳感器。

　　2021年7月28日，拜登總統發布了一項關于工業控制系統網絡安全（ICS）倡議的聲明，該倡議是聯邦政府和關鍵基礎設施行業之間的自愿合作努力，以促進技術和系統的部署，提供威脅可視性、攻擊指標、檢測和警告。迄今為止，這是一種針對網絡威脅的基于網絡的方法。另一方面，控制系統現場設備，如壓力、液位、流量、溫度和電壓傳感器（通常不被認為是OT的一部分）本質上是不安全的，通常不被設計用于連接IP網絡。總統的ICS 行動倡議并沒有解決這個問題。

　　背景

　　在“9·11”事件之前，網絡安全只是設計和實施控制系統時必須考慮的風險之一，此外還有地震風險、環境風險、火災風險、可靠性風險等。這些風險被視為工程考慮因素，管理它們被視為一項工程功能。這樣做的目的是為了確保設計的工程基礎能夠得到滿足，而不考慮風險。因此，工程組織負責，這包括網絡安全。這是一種“自下而上”的過程異常檢測方法，執行任務的利益保證。事實上，這是我在2000年幫助啟動的電力研究所（EPRI）控制系統網絡安全項目的基礎，不幸的是，現在和其他項目一樣，是關于保護網絡安全的。

　　9/11之后的某個時候，網絡安全變成了國家安全。然而，大約在同一時間，控制系統的網絡安全轉移到IT（現在的OT）網絡監控組織，不再涉及工程。因此，控制系統網絡安全從任務保障轉向信息保障。把重點放在網絡而不是過程上，也可以通過讓CISO而不是工程/運營副總裁負責工程系統的網絡安全來看到。因此，網絡安全監控和緩解傾向于向IP網絡層轉移--網絡異常檢測傾向于取代過程異常檢測?？刂葡到y設備，如保護繼電器，是根據進入設備硬件寄存器的指令工作的。這些指令參考其他指令和原始處理傳感器輸入數據來執行所需的命令。這意味著保護繼電器等設備與傳統的高層網絡關系不大，而是依賴于測量的完整性。

　　美國政府和行業在遠離傳統的基于網絡的方法方面的沉默可以從以下例子中看到：

　　2021年7月發布的網絡安全能力成熟度模型2.0版（C2M2未解決過程傳感器和過程異常檢測問題）。如果不解決是什么讓燈一直亮著、水一直流著，這個過程還能有多成熟呢？

　　電氣行業的NERC關鍵基礎設施保護（CIP）網絡安全標準認為，過程傳感器超出了網絡安全考慮范圍。

　　愛達荷國家實驗室人員最近的播客支持網絡方法（https://www.synack.com/were-in-synack-podcast/?utm_source=organic_social）。

　　在發現某國制造的大型變壓器的硬件后門后，總統發布了13920號行政命令。從行政命令可以看出，它只專注于硬件和控制系統。然而，政府和業界的反應是把這種硬件攻擊變成一個軟件供應鏈問題。

　　使用傳感器監測

　　過程傳感器監測用于過程異常檢測已有多年的歷史。在20世紀70年代末，我使用它來識別核電廠的流動誘發振動問題，在20世紀90年代初，我管理EPRI核儀器儀表和診斷程序，以檢測主要供應鏈常見的過程傳感器問題。

　　傳統的工程現場設備，如過程傳感器、執行器、驅動器、定位器和分析儀，沒有網絡安全、認證或網絡日志，也不容易升級為網絡安全。然而，處理傳感器將輸入送到OT網絡，OT網絡監控供應商假設傳感器輸入是未被破壞的、經過認證的、正確的。然而，由于傳感器輸入沒有經過驗證，因此不清楚明顯的傳感器數據實際上是來自傳感器而不是來自“欺騙”信號。接收傳感器信號的驅動器、控制器等無法驗證傳感器信號的來源，因此自動接受傳感器并作出相應的響應。這可能是某國人在大型變壓器的硬件后門上使用的方法，在不侵入網絡的情況下控制變壓器。因此，有必要采取一種難以處理的網絡監控方法，使其成為一種易于處理的工程方案。

　　現代機器學習能夠對原始過程傳感器信號進行模式檢測，這在以前是不可能的。正是這種額外的能力，使得傳感器監控能夠識別進程異常，而不管原因是什么，并且獨立于IP網絡及其相關的網絡漏洞。因此，以色列水務局最近采取了這種工程方法，批準了離線過程傳感器監測技術，以確保該國的供水系統安全。與美國監控IT和OT網絡用于網絡安全（即網絡異常檢測）的普遍做法不同，以色列的方法是基于監控過程傳感器的電特性（過程異常檢測），而不是像美國那樣僅僅依靠網絡監控。

　　離線傳感器監控的好處

　　為什么過程傳感器方法如此有價值的一個類比是，考慮一輛以70英里/小時的速度行駛的汽車，其中一個輪胎癟了。你把車停在路邊，把漏氣的輪胎換成小的備用輪胎。然后你可以繼續駕駛汽車，盡管減速，直到你可以更換常規輪胎。現在考慮勒索軟件，IT和OT網絡提供了生產力。但是，如果IT網絡和OT網絡因為勒索軟件或惡意軟件而丟失，對IT惡意軟件不敏感的傳感器進行離線監控，即使效率降低，也可以繼續運行，直到IP網絡恢復。

　　具體來說，以色列做法的好處包括：

　　原始處理傳感器信號提供有關系統物理操作的直接真相。

　　過程傳感器監控系統不受IT或OT意外網絡問題、網絡攻擊（包括勒索軟件）或補丁管理疏忽導致的漏洞的影響、

　　作為過程異常檢測，系統可以檢測任何異常，而不僅僅是惡意的網絡攻擊，這意味著即使是看起來像設備故障的復雜攻擊（如Stuxnet）也可以被識別出來。

　　我積累了一個數據庫，其中記錄了近1200起控制系統網絡事件，這些事件導致1500多人死亡，直接損失超過900億美元。然而，通過網絡監控，絕大多數都沒有被認定與網絡有關。過程傳感器監測將能夠識別許多這些事件作為過程異常。

　　通過實時監測，該系統本質上是一個傳感器健康監測系統，因此也可以作為一個預測性維護系統，可用于延長維護間隔。

　　過程傳感器監控系統檢測到基于windows的OT監控系統無法識別的設備影響。

　　監控傳感器需要負責該過程的工程師的參與。

　　監控進程傳感器提供認證，否則認證可能就不存在。

　　過程傳感器監控系統適用于任何關鍵基礎設施，已安裝在水、電力、化學品和建筑控制中。

　　過程傳感器的監控適用于所有基礎設施，因為它們都使用過程傳感。這種解決多個行業的方法符合總統ICS計劃的意圖。例如，新的TSA網絡安全要求沒有解決潛在的管道故障，因為它們是基于網絡的，沒有解決進程傳感器。截至2021年7月27日，美國最重要的管道之一遭到嚴重勒索軟件攻擊，美國運輸安全管理局（TSA）采取緊急措施后，關鍵管道運營商報告了220多起網絡安全事件。但是，我不知道最近有管道斷裂或中斷的報道，這意味著220起網絡安全事件不是影響管道運行的IT事件。然而，兩起事故造成了人員死亡和建筑破壞，美國運輸安全管理局的網絡安全指導方針并沒有解決這兩起與網絡有關的管道破裂事故。

　　傳感器監控可以應用于特定的供應鏈情況，如某國制造的變壓器的硬件后門，以確保進入變壓器設備的傳感輸入不會被來自其他地方的“欺騙”信號，因為硬件后門繞過了所有的網絡安全保護。

　　鑒于最近JBS肉類加工廠關閉，傳感器監測方法可以幫助食品工業證明繼續運營是合理的，因為工廠過程仍在繼續。

　　網絡安全的局限性

　　美國方法的缺點包括：

　　無論是IT還是OT網絡都不能提供過程的實際情況，并假定傳感器輸入是未受損害的、經過驗證的和正確的。

　　網絡監控是一個永無休止的“打地鼠”問題（例如，防御者想出了一個解決方案，攻擊者就會想出了一個旁路）。

　　即使是最好的網絡網絡安全也會被擊敗。

　　OT網絡既容易受到復雜網絡漏洞的影響，也容易受到一般網絡漏洞的影響。

　　OT網絡安全組織傾向于排除負責控制系統設計和運行的工程師。

　　總結

　　由于對關鍵基礎設施網絡的攻擊永無止境，而且往往取得成功，因此需要有一種更好的方法來保護控制系統及其監視和控制的過程。2021年7月28日，總統發布了工業控制系統網絡安全（ICS）倡議，以促進提供威脅可視性、攻擊指示、檢測和警告的技術和系統的部署。迄今為止，這是一種針對網絡威脅的基于網絡的方法。然而，通過保護網絡來保護關鍵基礎設施的現有方法并不奏效。以色列水務局認識到這一需要，并正在監測過程傳感器的電特性，因為原始過程傳感器信號是真實的，不容易受到網絡攻擊。希望美國政府、保險公司、信用評級機構和其他機構能夠認識到真正需要得到保障的是保證照明和供水的現場控制系統設備。