最后更新于2023年5月3日星期三13:37:03 GMT

在棒球比赛中, 球员本可以轻易避免的失误有时被称为“非受迫性失误”.“非强制错误不是正式错误(即, 它们没有反映在统计数据中。), 然而, 他们可以导致额外的得分, 跑垒员上垒, 甚至连比赛都输了. 这也适用于网络安全. 威胁行为者使用各种邪恶的策略来攻击你的网络, 但如果你的团队没有犯一些错误,他们通常不会成功.

Rapid7的合作伙伴SCADAfence最近委托了一个 对3500名职业技术人员的调查. 在调查结果中,近80%的受访者认为 人为错误是危及操作技术(OT)控制系统的最大风险.

调查还发现,83%的受访者认为熟练工人的数量严重不足. 这可能会导致这个问题, 因为不合格或训练不当的保安人员更容易犯可预防的错误.

尽管如此,许多组织仍然忽略了人为错误带来的极高潜在成本.

现实世界的后果

去年, SCADAfence认为 爆炸发生在 自由港液化天然气 天然气厂, 一个俄罗斯组织声称对此负责, 是人为失误造成的吗. 爆炸的时间, 重大维护升级后不到两个月, 其他几个因素似乎表明,不当的程序和不遵守公司政策是原因. 这是 后来证实 由美国.S. 管道和危险物质安全管理局.

另一个例子是 奥德斯玛水设施攻击 in 2021. 据报道, 人为失误在此次攻击中发挥了重要作用——黑客未经授权访问了供水设施的工业控制系统(ICS)网络,并将饮用水中的氢氧化钠含量提高到有毒水平. oldsmart工厂使用的是Windows 7, 尽管微软早在一年前就停止支持它了. Oldsmar的所有员工都使用相同的密码来访问远程访问软件TeamViewer. 和, 该设施直接连接到互联网,没有安装任何类型的防火墙保护. 所有这些容易预防的因素都有助于攻击者进入该设施.

OT系统中的人为错误可以采取不同的形式. 如上所述, 弱, 过时或重复的密码导致了大量的网络安全漏洞. 防火墙, 它们是OT网络安全防御的第一道防线, 是否经常被IT人员错误配置或不正确部署. 最后, 钓鱼式攻击, 一种社会工程的形式,被恶意行为者用来从不知情的受害者那里获取信息,然后用来访问安全系统, 是攻击关键基础设施的主要起点吗.

Rapid7的建议

防止人为失误导致代价高昂的网络攻击的首要方法是培训. OT和IT人员应该定期接受公司安全政策的培训,并且应该理解始终遵循协议的重要性. 也, 团队需要紧密合作,以确保在整个网络中提供适当的保护.

有许多最佳实践已经被证明可以减少OT和ICS网络中网络攻击的频率和严重程度. 组织应:

  • 要求定期更改安全的密码. 永远不要让团队成员共享系统的密码或访问id. 每个需要访问系统或设备的员工都应该有一个唯一的用户名和帐户.
  • 减少访问权限访问
  • 用重要的补丁和升级来更新你的网络
  • 确保您的团队所依赖的工具是可靠的、有效的和最新的.
  • 及时了解有关新发现的漏洞的新闻和信息, 以及与你的组织有关的潜在威胁.

最后,如果您的团队缺乏带宽或必要的技能,请考虑使用 管理服务 获取有关您的网络的见解和相关威胁信息.

本文是与SCADAfence合作编写的.