互聯(lián)工業(yè)企業(yè)Honeywell（霍尼韋爾）在其針對(duì)50個(gè)工業(yè)站點(diǎn)的掃描結(jié)果中發(fā)現(xiàn)，近一半（44%）的USB設(shè)備存在包含惡意軟件的文件。

此次識(shí)別出的威脅（其中55%為木馬病毒）主要針對(duì)一系列工業(yè)場(chǎng)所（包括煉油廠、化工廠以及紙漿和紙張制造廠）實(shí)施攻擊活動(dòng)。

Honeywell公司表示，在此次監(jiān)測(cè)到的威脅中，大約有26%的威脅能夠“導(dǎo)致運(yùn)營(yíng)商失去對(duì)其運(yùn)營(yíng)的可見(jiàn)性或控制權(quán)，從而造成嚴(yán)重的服務(wù)/運(yùn)營(yíng)中斷后果”。

據(jù)悉，該研究是第一份專注于工業(yè)控制環(huán)境中USB安全的商業(yè)研究報(bào)告。

USB惡意軟件風(fēng)險(xiǎn)：許多公司禁止使用

該報(bào)告發(fā)布之際，包括IBM在內(nèi)的許多公司都因?yàn)榘踩�風(fēng)險(xiǎn)問(wèn)題而明令禁止使用U盤等便攜式存儲(chǔ)設(shè)備。

例如，在2018年5月發(fā)布的一份咨詢報(bào)告中，IBM的全球首席信息官Shamla Naidoo就曾表示，其公司正在進(jìn)一步深入“禁止向所有可移動(dòng)便攜式存儲(chǔ)設(shè)備（如USB、SD卡、閃存驅(qū)動(dòng)器等）傳輸數(shù)據(jù)的實(shí)踐做法。”

隨著越來(lái)越多的滲透測(cè)試人員和黑帽子攻擊者加速利用愛(ài)德華·斯諾登（Edward Snowden）所泄露的NSA技術(shù)，諸如此類（禁用USB等設(shè)備）的步驟也開(kāi)始隨之而來(lái)。根據(jù)斯諾登泄露的資料顯示：NSA可以通過(guò)一項(xiàng)私密技術(shù)侵入并未接入網(wǎng)絡(luò)的電腦，這項(xiàng)技術(shù)至少自2008年以來(lái)就一直在使用，它依賴的是一條無(wú)線電波隱蔽信道。而無(wú)線電波通過(guò)秘密插入在電腦中的小型電路板和USB卡進(jìn)行傳輸。

這表明NSA使用隱蔽的基于USB的通道，可以完成軟件修改、數(shù)據(jù)滲入和滲出等操作，同時(shí)還提升了企業(yè)對(duì)USB使用風(fēng)險(xiǎn)的認(rèn)識(shí)。

比我們預(yù)期的更嚴(yán)重的威脅

霍尼韋爾公司表示，數(shù)據(jù)顯示出了比我們預(yù)期更嚴(yán)重的威脅，而且研究結(jié)果表明，其中一些威脅是針對(duì)性的、蓄意的。此外，這項(xiàng)研究也證實(shí)了我們多年來(lái)一直懷疑的一個(gè)問(wèn)題——即USB威脅對(duì)于工業(yè)運(yùn)營(yíng)商而言是真實(shí)存在的。而令人驚訝的只是沒(méi)想到威脅的范圍和嚴(yán)重程度會(huì)達(dá)到如此地步。

據(jù)調(diào)查人員介紹，此次報(bào)告所審查的數(shù)據(jù)主要來(lái)自Honeywell的Secure Media Exchange（SMX）智能網(wǎng)關(guān)技術(shù)，SMX是一種媒體掃描解決方案，可以在USB驅(qū)動(dòng)器連接到網(wǎng)絡(luò)之前對(duì)驅(qū)動(dòng)器上的惡意軟件及病毒進(jìn)行徹底掃描。而且SMX軟件會(huì)隨著最新威脅的變化而自動(dòng)更新，以便在有效期限范圍內(nèi)獲得不間斷的技術(shù)支持以及數(shù)據(jù)庫(kù)的更新。

在檢測(cè)到的威脅中（其中55%為木馬病毒）存在很多備受矚目且眾所周知的問(wèn)題，例如TRITON和Mirai，以及Stuxnet的變種，其中Stuxnet（震網(wǎng)）蠕蟲(chóng)就是一種民族國(guó)家用來(lái)破壞工業(yè)運(yùn)營(yíng)的攻擊類型。

在發(fā)現(xiàn)的惡意軟件中，9%被設(shè)計(jì)為直接利用USB協(xié)議或接口漏洞，使USB傳輸更加有效——特別是在較易受USB攻擊影響的較舊或配置較差的計(jì)算機(jī)上。

而有些惡意軟件更為先進(jìn)，會(huì)直接攻擊USB接口本身：2%與常見(jiàn)的人機(jī)接口設(shè)備（HID）攻擊有關(guān)，這會(huì)使USB主機(jī)控制器誤認(rèn)為存在鍵盤連接，從而允許惡意軟件鍵入命令并操縱應(yīng)用程序。

最后，霍尼韋爾表示，根據(jù)對(duì)比測(cè)試顯示，在我們檢測(cè)到的威脅中有高達(dá)11%的威脅未被更傳統(tǒng)的反惡意軟件技術(shù)檢測(cè)出來(lái)。

應(yīng)對(duì)措施——可信計(jì)算技術(shù)

在工控網(wǎng)絡(luò)安全事件統(tǒng)計(jì)中，65%以上的安全事件來(lái)自人為因素，且均為終端安全事件，工控網(wǎng)絡(luò)終端安全在整個(gè)安全防護(hù)當(dāng)中的重要性不可忽略。當(dāng)前普通計(jì)算機(jī)的資源可以比較輕易的被攻擊程序所占用，這些計(jì)算機(jī)設(shè)備在用戶認(rèn)證、操作檢查、訪問(wèn)控制網(wǎng)絡(luò)連接等方面設(shè)置的安全措施經(jīng)常被攻擊者繞過(guò)。

目前，網(wǎng)絡(luò)安全比較注重增加邊界防護(hù)，但諸如防火墻、入侵檢測(cè)、和病毒防范等為主要構(gòu)成的傳統(tǒng)信息安全系統(tǒng)，是以防外為重點(diǎn)。而從組成信息系統(tǒng)的服務(wù)器、網(wǎng)絡(luò)、終端三個(gè)層面上看，把過(guò)多的注意力放在對(duì)服務(wù)器和網(wǎng)絡(luò)設(shè)備的保護(hù)上、忽略了對(duì)終端的保護(hù)。

可信計(jì)算（Trusted computing）從一個(gè)新的視角解決計(jì)算機(jī)的安全問(wèn)題。它有別于傳統(tǒng)的安全計(jì)算，從終端開(kāi)始防范攻擊，致力于增強(qiáng)終端體系結(jié)構(gòu)的安全性、從源頭上解決系統(tǒng)的安全問(wèn)題。

海天煒業(yè)可信計(jì)算平臺(tái)“InTrust可信芯片工控網(wǎng)絡(luò)安全平臺(tái)”可以較為有效地幫助工業(yè)生產(chǎn)廠家對(duì)工業(yè)主機(jī)進(jìn)行安全加固，從源頭上杜絕USB惡意軟件帶來(lái)的風(fēng)險(xiǎn)。

1) 通過(guò)完整性度量與驗(yàn)證 ,保證 PC 從加電時(shí)刻起 ,一直到在其上運(yùn)行的每一個(gè)硬件、操作系統(tǒng)以及應(yīng)用軟件都是可信的。

2) 通過(guò)數(shù)據(jù)安全保護(hù) ，給各種應(yīng)用提供基于硬件的存儲(chǔ) ,從根上保證數(shù)據(jù)的安全 ,同時(shí)通過(guò)數(shù)據(jù)封裝等功能實(shí)現(xiàn)數(shù)據(jù)與平臺(tái)的綁定。

3)  通過(guò)身份認(rèn)證 ,向外部實(shí)體提供系統(tǒng)平臺(tái)身份證明和應(yīng)用身份證明服務(wù)。最后 ,具備由權(quán)威機(jī)構(gòu)頒發(fā)的唯一的身份證書(shū)的可信計(jì)算平臺(tái)具備在網(wǎng)絡(luò)上的唯一的身份標(biāo)識(shí) 。

目前U盤、移動(dòng)硬盤等移動(dòng)存儲(chǔ)介質(zhì)是工控網(wǎng)絡(luò)病毒引入的最主要途徑，可信芯片工控安全平臺(tái)的U盤管控機(jī)制還可以從源頭上杜絕疑似病毒、可疑病毒的傳播。可信芯片工控安全平臺(tái)白名單模式及U盤管控模式從根源上杜絕未知惡意程序啟動(dòng)，實(shí)現(xiàn)主動(dòng)防御，為工控網(wǎng)絡(luò)安全提供安全運(yùn)行保障。