我们正处于网络冷战之中

随着美国、俄罗斯、朝鲜、伊朗和中国之间的紧张局势不断升级，网络战的格局正在发生变化。我们日常依赖的关键基础设施脆弱且严重过时。工业控制和SCADA系统几乎涉及日常生活的方方面面，从清洁水源、能源到交通运输。种种迹象表明，一个非常可怕的后果正在酝酿之中。

如果新闻头条、全球趋势和技术报告告诉我们过去几年工业控制和SCADA系统网络安全的任何信息，那就是我们目前正处于网络冷战之中，全面的网络战争可能很快就会随之而来。

网络战争的配方

工业控制系统(ICS)和监控与数据采集(SCADA)系统是运行全球大部分基础设施的软件系统。它们控制着发电厂和电网、水处理厂、石油管道、制造业、暖通空调、空中交通管制以及几乎所有其他全球关键基础设施。

这些系统最初在70年代设计和推出，那还是16位、磁带驱动、PDP-11的时代。这些系统根据需要进行了改变，增加了新的算法、输入和设计以适应不断发展的需求。这些系统的一个关键假设是它们被设计为物理隔离的，与当时甚至还没有发明的公共互联网分离。这是一个关键的安全设计假设，但在近年来已经被削弱。

曾经是这些系统最大保护的措施现在变成了它们最大的弱点。当这些系统物理隔离时，它们不会定期更新。部分原因是这样做很困难，部分原因是人们认为，没有互联网连接，系统就不会受到攻击，因此不需要像其他系统那样进行相同级别的安全配置和补丁维护。

第一代SCADA系统是单体、独立的系统。它们包含了运行所需的一切。在这个时代，从架构到协议，所有东西都是专有的。第二代SCADA系统是分布式的。分布式SCADA系统通过局域网连接多个站点。信息是实时共享的，但协议和连接仍然是专有的。这是接下来网络化系统的早期版本。第三代SCADA系统使用标准化协议将多个系统联网在一起。

我们不再断开连接

我们现在正在进入第四代SCADA架构。这一现代SCADA系统应该让你不寒而栗。“Web SCADA"使用互联网浏览器作为SCADA系统的界面。这些完全连接互联网的系统带来了一个新时代，在这个时代，SCADA系统必须防御来自任何地点的任何攻击者。这是这些系统以前从未必须做的事情，而且简单来说，它们没有配备这样做的能力。

不仅仅是SCADA系统，所有ICS和其他控制器系统都是如此。连接大型工业系统的驱动力正在增长。这里有巨大的价值：远程监控、更新和其他功能都是巨大的价值增加。不幸的是，正如我们在金融科技领域看到的那样，将这些老旧、脆弱的系统迁移到互联网连接的网络中充满了问题——但现在具有更灾难性的潜力。这些系统从未设计用于承受非标准使用，更不用说持续攻击了。不要忘记，SCADA控制物理基础设施，并可能影响物理安全。

即使系统保持完全物理隔离，其他攻击向量也可能成功。我们在Stuxnet蠕虫病毒的后果中看到了这一点。这种网络武器旨在攻击伊朗的核系统。它针对可编程逻辑控制器(PLCs)。这种高级攻击一旦部署，就利用了Windows和西门子系统中的多个0-Day漏洞。蠕虫是通过USB闪存盘引入物理隔离网络的。这意味着有人编写了一个精美的高级蠕虫，将其复制到闪存盘中，将该闪存盘丢在停车场，然后等待某人捡起并将其插入伊朗最关键的基础设施之一。如果你有员工愿意通过USB为你传输文件，你就不需要连接到互联网。

几乎每一个关键基础设施的关键部分都有几十年的历史，充满了安全问题，开发时依赖物理隔离。这些系统现在要么连接到互联网，要么在内部联网并由一群不可信的个体使用。这些系统容易受到的大多数漏洞在这些系统最初构建时甚至还没有被发明！

修复竞赛？

你可能会认为，当面对这些系统正在被瞄准和攻击，人们的生命处于危险之中的知识时，会有一个巨大的推动力来尽快加固这些系统。不幸的是，我们没有看到这种情况发生。

不是要听起来失败主义，但这些系统非常复杂，有数十个组件连接，处理多个协议、操作系统和认证/授权模型。为了保护这些系统，我们需要100%的成功率，而为了攻击它们，只需要一个漏洞链。考虑到最近针对以前被认为几乎牢不可破的系统的0-Day漏洞的冲击，保护我们的SCADA软件基础设施可能是一个太高的要求。

保护计划：说请

那么，如果公司无法足够快地修复他们的ICS和SCADA系统，并且这些系统的部署依赖于连接到互联网，而操作安全实践无法保护我们，那么我们如何防御即将到来的网络战斗？

一个答案可能是：只是请求？上周，美国和另外26个国家联合发布了《关于推进网络空间负责任国家行为的联合声明》，定义了一套"网络规范”，其中每个国家和非国家行为体承诺在和平时期不攻击对方的基础设施。这还包括不干涉政治和进行知识产权盗窃。

这基本上是我们到目前为止一直在采取的方式。美国不公开攻击我们的盟友，他们也不攻击我们。我们不攻击盟友的民用基础设施，他们也不攻击我们的。攻击电网和核电站对平民生命的风险太高了。到目前为止，大多数有能力发动此类攻击的组织都将注意力集中在非常具体的系统上，以传达非常具体的信息。

我认为联合声明是一件很好的事情，但你能想象你的网络安全态势悬在网络犯罪分子表现良好的平衡上吗？当然，中国、伊朗、俄罗斯、朝鲜和其他传统上有问题的国家不在该名单上。

威胁格局

最著名的攻击组织，如APT10、Lazarus Group、Reaper和Fancy Bear，通常被认为是国家赞助的，位于中国、伊朗、俄罗斯和朝鲜。但这些黑客组织如何获得资金？根据联合国和美国财政部的说法，许多这些组织为自己和更广泛的军事项目提供资金，目标是银行和加密货币交易所。如果你可以访问任何你想要的计算机，为什么还要合法地赚钱？从配置错误和不安全的金融交易所获取你需要的东西。

我们通过IP块或他们使用的恶意软件和工具来识别这些黑客组织。如果——为了进一步掩盖他们的踪迹——他们从联合声明中的另一个国家攻击联合声明中26个国家之一，会发生什么？许多这些国家不太可能足够准确地识别此类攻击的来源和目的地，以正确地将攻击归因于特定组织。国际网络关系将回到这些早期的会谈和协议，这些可能在压力下无法维持。

我们的网络冷战

这让我想到了我认为我们当前的网络冷战。美国及其盟友目前与许多国际对手进行着安静的网络战争。其中一些对手是国家赞助的，专注于特定的目标或结果。其他组织更像网络恐怖分子细胞，不受任何其他协议或目标的约束。这些组织可能有意或无意地引发网络战争，或者他们可能攻击针对平民的关键基础设施。

几十年前，由于缺乏黑客和利用培训，或者足够强大的计算机硬件，可能很容易忽视这种威胁。现在网络恐怖组织可以通过攻击软性金融目标来自筹资金，然后在未被发现的情况下瞄准关键的民用基础设施。最近我们看到针对ICS的网络攻击有所增加，使用了有针对性的恶意软件。过去几年中，针对纽约大坝、欧洲能源公司和乌克兰发电厂的攻击已经公开。如果在美国或其他发达国家发生更广泛规模的攻击，可能会 tipping the scales 到一场难以恢复的全面全球网络战争。

解决方案

这是一个非常难以解决的问题。当我们谈论网络安全风险时，我们经常用影响和可能性来衡量它。在这种情况下，影响不能再高了。我会将这种风险评为严重，它应该引起强烈的关注和重视。

答案，以及通往和平与稳定的道路，需要全球政府、ICS和SCADA提供商以及个别基础设施和公用事业公司采取多方面的措施。