最新研究：44%的工業設施存在USB惡意軟件風險

互聯工業企業Honeywell（霍尼韋爾）在其針對50個工業站點的掃描結果中發現，近一半（44%）的USB設備存在包含惡意軟件的文件。

此次識別出的威脅（其中55%為木馬病毒）主要針對一系列工業場所（包括煉油廠、化工廠以及紙漿和紙張制造廠）實施攻擊活動。

Honeywell公司表示，在此次監測到的威脅中，大約有26%的威脅能夠“導致運營商失去對其運營的可見性或控制權，從而造成嚴重的服務/運營中斷后果”。

據悉，該研究是第一份專注于工業控制環境中USB安全的商業研究報告。

USB惡意軟件風險：許多公司禁止使用

該報告發布之際，包括IBM在內的許多公司都因為安全風險問題而明令禁止使用U盤等便攜式存儲設備。

例如，在2018年5月發布的一份咨詢報告中，IBM的全球首席信息官Shamla Naidoo就曾表示，其公司正在進一步深入“禁止向所有可移動便攜式存儲設備（如USB、SD卡、閃存驅動器等）傳輸數據的實踐做法�！�

隨著越來越多的滲透測試人員和黑帽子攻擊者加速利用愛德華·斯諾登（Edward Snowden）所泄露的NSA技術，諸如此類（禁用USB等設備）的步驟也開始隨之而來。根據斯諾登泄露的資料顯示：NSA可以通過一項私密技術侵入并未接入網絡的電腦，這項技術至少自2008年以來就一直在使用，它依賴的是一條無線電波隱蔽信道。而無線電波通過秘密插入在電腦中的小型電路板和USB卡進行傳輸。

這表明NSA使用隱蔽的基于USB的通道，可以完成軟件修改、數據滲入和滲出等操作，同時還提升了企業對USB使用風險的認識。

比我們預期的更嚴重的威脅

霍尼韋爾公司表示，數據顯示出了比我們預期更嚴重的威脅，而且研究結果表明，其中一些威脅是針對性的、蓄意的。此外，這項研究也證實了我們多年來一直懷疑的一個問題——即USB威脅對于工業運營商而言是真實存在的。而令人驚訝的只是沒想到威脅的范圍和嚴重程度會達到如此地步。

據調查人員介紹，此次報告所審查的數據主要來自Honeywell的Secure Media Exchange（SMX）智能網關技術，SMX是一種媒體掃描解決方案，可以在USB驅動器連接到網絡之前對驅動器上的惡意軟件及病毒進行徹底掃描。而且SMX軟件會隨著最新威脅的變化而自動更新，以便在有效期限范圍內獲得不間斷的技術支持以及數據庫的更新。

在檢測到的威脅中（其中55%為木馬病毒）存在很多備受矚目且眾所周知的問題，例如TRITON和Mirai，以及Stuxnet的變種，其中Stuxnet（震網）蠕蟲就是一種民族國家用來破壞工業運營的攻擊類型。

在發現的惡意軟件中，9%被設計為直接利用USB協議或接口漏洞，使USB傳輸更加有效——特別是在較易受USB攻擊影響的較舊或配置較差的計算機上。

而有些惡意軟件更為先進，會直接攻擊USB接口本身：2%與常見的人機接口設備（HID）攻擊有關，這會使USB主機控制器誤認為存在鍵盤連接，從而允許惡意軟件鍵入命令并操縱應用程序。

最后，霍尼韋爾表示，根據對比測試顯示，在我們檢測到的威脅中有高達11%的威脅未被更傳統的反惡意軟件技術檢測出來。

應對措施——可信計算技術

在工控網絡安全事件統計中，65%以上的安全事件來自人為因素，且均為終端安全事件，工控網絡終端安全在整個安全防護當中的重要性不可忽略。當前普通計算機的資源可以比較輕易的被攻擊程序所占用，這些計算機設備在用戶認證、操作檢查、訪問控制網絡連接等方面設置的安全措施經常被攻擊者繞過。

目前，網絡安全比較注重增加邊界防護，但諸如防火墻、入侵檢測、和病毒防范等為主要構成的傳統信息安全系統，是以防外為重點。而從組成信息系統的服務器、網絡、終端三個層面上看，把過多的注意力放在對服務器和網絡設備的保護上、忽略了對終端的保護。

可信計算（Trusted computing）從一個新的視角解決計算機的安全問題。它有別于傳統的安全計算，從終端開始防范攻擊，致力于增強終端體系結構的安全性、從源頭上解決系統的安全問題。

海天煒業可信計算平臺“InTrust可信芯片工控網絡安全平臺”可以較為有效地幫助工業生產廠家對工業主機進行安全加固，從源頭上杜絕USB惡意軟件帶來的風險。

1) 通過完整性度量與驗證 ,保證 PC 從加電時刻起 ,一直到在其上運行的每一個硬件、操作系統以及應用軟件都是可信的。

2) 通過數據安全保護 ，給各種應用提供基于硬件的存儲 ,從根上保證數據的安全 ,同時通過數據封裝等功能實現數據與平臺的綁定。

3)  通過身份認證 ,向外部實體提供系統平臺身份證明和應用身份證明服務。最后 ,具備由權威機構頒發的唯一的身份證書的可信計算平臺具備在網絡上的唯一的身份標識 。

目前U盤、移動硬盤等移動存儲介質是工控網絡病毒引入的最主要途徑，可信芯片工控安全平臺的U盤管控機制還可以從源頭上杜絕疑似病毒、可疑病毒的傳播�？尚判酒�工控安全平臺白名單模式及U盤管控模式從根源上杜絕未知惡意程序啟動，實現主動防御，為工控網絡安全提供安全運行保障。