在第 3 部分中，我们将研究 ICS 中的远程访问连接，检查它们为何存在，并回顾保护它们的最佳实践。

远程访问最佳实践

远程访问连接对 ICS 的重要性

在互联网出现之前，大多数组织的 ICS/OT 环境是“隔离的”，这意味着它没有与外部网络的连接。因此，网络安全措施并不是 ICS 的主要考虑因素。然而，正如本系列的第一部分所讨论的，必须克服这种思维方式在互联网时代的持续存在，因为 ICS 环境现在更加互联并依赖于实时操作数据。随后，它们已成为威胁团体的高价值目标。

与 ICS 进行远程访问连接的好处是如此显着，以至于许多组织现在在日常运营中依赖这些类型的连接。例如，当一个组织需要检查、重新编程或更新其 ICS 时，将供应商技术人员从另一个地点派往现场远不如让技术人员远程连接到设备以立即执行工作而无需旅行费用。对于位于远程现场站点的 ICS 的持续管理，远程访问也更可取，因为它使一名技术人员能够管理多个站点，从而最大限度地提高他/她的效率。

因此，与 ICS 的远程连接将继续存在。不幸的是，它们是近年来几次成功的、备受瞩目的网络攻击的关键因素，包括 2014 年的蜻蜓攻击、2015 年的乌克兰电网攻击和 2021 年的奥兹马尔事件。

但是，对于远程连接到 ICS，可以遵循一些最佳实践，这些实践可以大大降低攻击成功的可能性，并确保在获得关键操作技术的访问权限之前发现并阻止威胁参与者。

普渡企业参考架构中的远程访问

澄清一下，我们所指的远程连接是从 Internet 和/或组织的业务网络到其 OT 环境的连接。这些连接提供了对位于 Purdue Enterprise Reference Architecture 的第 3 级及以下的设备的访问，我们在本系列的第二部分中对此进行了深入介绍：

理想情况下，到 ICS 的远程连接应该通过 IT 和 OT 段之间的非军事区 (DMZ)，在本系列的这个版本中，我们将仔细研究安全远程访问架构。防火墙、身份验证服务、跳转服务器和文件服务器都在安全地进行这些连接方面发挥着至关重要的作用。

在根据最佳实践构建的环境中，我们建议由位于 3 级和 4 级交界处的服务器组成的多个 DMZ，每个专用于特定目的。DMZ 服务包括托管远程访问连接、管理云连接、作为进入 OT 的 IT 网关，以及作为从 OT 进入 IT 环境的网关。这些服务器协同工作以适应远程用户可能需要的每个功能，同时执行对 OT 环境的最低权限访问策略。

通过 DMZ 与 ICS 进行远程访问连接的最佳实践

在可能的情况下，技术人员的远程连接应通过将 IT 环境（即业务网络）连接到 OT 环境的 DMZ 集中起来。这为管理员和安全从业人员提供了最大的可见性、最佳的活动跟踪和记录，以及对远程访问 OT 环境的所有用户的身份验证和访问控制。

OT 员工的远程连接应该需要两个单独的步骤：与 ICS DMZ 建立 VPN 连接，然后通过跳转主机（或跳转服务器）使用强化远程桌面 (RD) 进行第二次连接，该主机提供仔细控制、基于角色的访问 OT 系统。

Components of secure remote access for ICS networks

以下部分介绍了通过 DMZ 将连接配置到 ICS/OT 环境的各种单独组件。

认证（Authentication）

首先，管理员应确保需要远程访问的每个人都使用命名帐户进行连接；任何共享帐户都不应用于此目的。远程访问用户只应被授予对启用他们必须执行的任务的系统的访问权限，仅此而已。

远程 OT 用户应使用专用远程访问帐户（理想情况下，这些不是 OT 域帐户）通过多因素身份验证 (MFA) 对 VPN 服务器进行身份验证。一旦连接到 VPN，应该只允许远程用户连接到跳转主机或安全文件传输机制。连接到这些服务时，远程用户将进行第二次身份验证，这次使用的是 OT 域凭据。在这两个阶段，管理员都应该记录和监控登录活动，在多次失败的身份验证尝试后锁定帐户，并终止会话持续不活动。

在 DMZ 的 OT/ICS 端（通常位于 Purdue 模型的第 3 级）拥有一个 Active Directory (AD) 域是此授权序列的关键组成部分。此域应专用于 ICS，不得以任何方式连接到公司 Active Directory。它通常放置在具有强制边界的专用 3 级子网中，以控制进出 AD 的通信。在此 Purdue 级别部署 AD 服务器具有许多优势，包括：

• 管理和执行 ICS 中所有 Windows 资产的安全策略
  
• 作为身份验证的中央来源，因此不必在每个单独的设备上管理本地帐户
  
• 管理角色（使用 AD 组）以促进对用户活动的精确控制
  
• 集中创建、修改和删除帐户
  
• 集中记录所有 Windows 活动，包括身份验证
  
• 跳转服务器认证和权限设置
  

虽然在 OT 网络中使用 AD 无疑会通过扩大攻击面来增加风险，但它所支持的额外安全功能使得这种权衡是值得的。为了降低这种风险，Active Directory 应由对 Active Directory 有深入了解的训练有素的员工管理。不要害怕利用组织 IT 管理员的 AD 知识和经验。

跳转主机

对于下一步，应授予技术人员使用基于角色的访问权限访问跳转主机的权限。管理员可以使用 OT 域组强制执行此措施，这些域组仅授予对远程用户执行工作所需的系统和应用程序的访问权限。

跳转主机在超越身份验证的安全远程连接中发挥着重要作用。执行边界应限制与跳转主机之间的通信。每个角色的跳转主机应该只能与该角色管理的设备进行通信。这些服务器还应禁止用户在其工作站上运行任何软件或从其传输任何数据（例如，应在本地安全策略中禁用驱动器和剪贴板重定向）。相反，远程连接所需的所有软件和数据都应预先安装在跳转主机本身上。

Jump host communications for secure remote access

对于必须随身携带数据的一小部分，管理员应该创建安全的方法来扫描和清理传入和传出 OT 网络所需的数据。文件传输部分对此进行了更详细的讨论。

文件传输

ICS 系统的远程管理，无论是来自业务网络还是 Internet，通常都需要将文件传入和传出 OT 环境。文件传输到 OT 的示例包括软件更新和补丁、防病毒更新、配置更改、项目文件和其他文档。来自 OT 环境的数据可能包括日志和诊断信息或系统备份。下单和确认等交易数据经常以两种方式传输。

通过远程连接保护文件传输的方法在概念上类似于技术人员在亲自访问 ICS 环境时需要使用 USB 驱动器传输文件时使用的“浸羊”方法。这种方法要求技术人员首先将 USB 驱动器插入该位置的服务器，扫描 USB 驱动器上的所有文件并将“清理”的文件复制到插入服务器的另一个 USB 驱动器。然后，技术人员取出“清洁过的”USB 驱动器并使用它将文件传输到特定的 ICS 系统。

要通过远程连接执行相同的任务，管理员应在 DMZ 中设置文件服务器，配置一个只写文件夹和一个只读文件夹，并配备一个或多个防病毒扫描工具。远程用户将文件上传到服务器使用防病毒实用程序扫描它们的只写文件夹，然后将文件复制到位于 3 级的单独服务器上的只读文件夹。然后远程用户可以使用“清理” 文件中的只读文件夹并在 OT 网络中使用它们。使用相同的过程将文件移出 OT 环境。理想情况下，管理员应为每组远程用户设置多组写入和读取文件夹，并根据在 OT 域内管理的角色分配权限。

Transferring files into and out of the OT network

最终，管理员的目标是避免直接远程访问 OT 环境，确保对所有传输的文件进行恶意软件扫描，并使用文件夹权限防止文件服务器成为单个开放存储库。

直接连接最佳实践

绕过通过 DMZ 的路径并从 Internet 直接连接到 ICS 的远程访问会带来更大的风险，SANS 研究所强烈建议管理员尽可能禁止这些类型的连接。然而，这并不总是可能的。例如，第三方承包商可能在他们自己的系统上运行极其昂贵的客户端软件，用于对现场控制器进行编程。在这些情况下，购买另一个许可证来安装在客户端的跳转服务器上是不可行的，而是需要直接连接到 OT 环境。虽然这种做法风险更大，因此考虑到这些承包商系统可能连接到许多不同组织的网络，因此不明智，但管理员可以采取一些步骤，在没有其他选择的情况下尽可能确保直接连接的安全。

首先，从管理的角度来看，组织应创建需要管理层批准的流程，以提供对 OT 网络的直接远程访问。考虑到被访问设备的操作重要性，管理层应该了解每个授权的远程连接。

从管理的角度来看，仍应要求这些远程用户连接到 VPN 并如上所述进行身份验证，所有通信都通过远程访问 DMZ。与第三方签订的合同应要求他们对其设备采取合理的安全预防措施。措施包括使用专门用于此目的的设备（即从未用于访问 Internet）、限制谁可以登录以及可以执行哪些程序，以及运行反恶意软件。连接到 VPN 后，应为设备分配一个静态 IP 地址，以便 DMZ 防火墙可以将其访问限制为仅访问设备执行特定任务所需的主机和端口。

在可能的情况下，应添加额外的控制以确保 VPN 登录（无论是访问跳转服务器还是直接连接）只有在登录源自受信任的 IP 地址时才会成功。例如，可以维护属于授权供应商和员工的 IP 地址列表以及组织拥有的地址，以进一步限制访问。

防止未经授权的远程访问

前面的部分讨论了在 ICS 中构建安全远程访问连接，但不幸的是，这些措施有时会被用户和承包商绕过。在这些情况下没有恶意；ICS 供应商希望（有时需要）24/7 全天候访问他们的设备以进行监控，因此他们的人员可能会建立未经授权的连接以启用该访问。内部员工技术人员也可能出于不同原因设置未经授权的连接，例如利用通用 Internet 热点。在典型的场景中，现场技术人员可能需要在冬季中期解决控制室中的 OT 服务器问题（或提前知道他/她需要在凌晨 2 点进行更改）。在这些情况下，技术人员可能会将热点连接到该服务器，以便他/她可以在床边进行所需的更改并保持温暖，而不是在寒冷中跋涉穿过营地到服务器机房。

不管它们的起源如何，这些连接的意外后果是它们为恶意行为者可以利用的组织的安全措施提供了捷径。为防止这种情况发生，管理员应与供应商确认他们没有设置任何未经授权的连接，并且今后也不会这样做。在现场时，管理员应注意以下类型的未经授权的连接：

• 蜂窝调制解调器/热点（设备），
  
• 拨号调制解调器，
  
• 未经授权的 ISP 连接，
  
• 通过以太网、无线、MPLS 或 VPN 直接连接到供应商网络。
  

为了解决用户或供应商对安全协议的不耐烦，管理员必须在有效的安全性和易用性之间取得平衡。如果供应商人员需要自己的 ICS 远程访问连接，请确保他们真正获得授权，并实施适当的访问控制，遵守最小权限和零信任原则，以便这些用户只能执行他们要求的任务。如果可能，默认禁用这些连接并仅在需要时手动启用它们。与供应商合作，找出他们的要求并构建一个合适的解决方案，其中包括适当的安全控制。如果供应商需要专用连接进行监控，请确保它通过远程访问 DMZ 运行，并且仅限于网络的单个网段，如果可能的话，通过跳转服务器。

最终，这项任务归结为对员工和供应商进行教育，并制定明确的政策供他们遵循。然而，即使有明确的政策和沟通，也无法替代目视检查。四处寻找未经授权的连接——站点越远，越有可能存在未经授权的远程连接。

结论

无可否认，在 DMZ 进行远程连接的首选方法比技术人员习惯的方法涉及更多的身份验证步骤，因此执行所有这些步骤可能会遇到 OT 员工缺乏热情的情况。常规的改变很少容易，但远程用户必须购买额外的安全措施。

获得利益相关者认可的一种方法是通过类比。为了工作场所的安全，工业环境中的工作人员定期参加安全会议并穿戴个人防护设备。将这些措施与安全远程访问连接所需的步骤联系起来有助于让远程用户相信它们的重要性。此外，要求远程用户在三天内完全采用他们的新习惯，然后重新评估他们的情况可能会非常有效。这个间隔可能看起来很短，但我们发现它足以让远程用户熟悉新的例程。

关于 ICS 远程访问连接的最后一些指导：

应用最新补丁 - 远程访问系统可从 Internet 访问，必须始终可用，并用于为外部各方提供对受保护网络的访问，使其成为非常有吸引力的目标。使用最新补丁使它们保持最新状态可以减少您对已知漏洞的暴露。

教育员工——为需要远程访问的用户提供有针对性的培训，并确保传达始终遵循所需步骤的重要性。

此外，关键基础设施安全局 (CISA) 为“配置和管理工业控制系统的远程访问”[1] 提供了指导。尽管它于 2010 年发布，但该指南在今天仍然非常重要。CISA 推荐的关键最佳实践是：

• 进行正式的威胁和风险评估
  
• 消除与关键运营资产的所有直接连接
  
• 超出默认方式的安全调制解调器访问
  
• 使用 DMZ 隔离业务和控制架构
  
• 建立用户特定的认证服务器
  
• 为所有远程访问创建安全保证策略
  
• 仅使用完整的隧道加密技术
  
• 使用特定于远程访问元素的密码策略
  
• 尽可能使用多因素身份验证
  
• 使用基于角色的授权级别
  
• 使用专用硬件和软件来支持远程访问解决方案。
  

ICS 的远程访问连接将继续存在，因为它们为组织提供了一长串好处。对于管理员而言，遵循保护远程连接的最佳实践所需的步骤可能看起来同样长，但重要的是要记住，任何组织都不能承受这些连接被恶意行为者利用的代价。遵循最佳实践是一条很好的路线，但它仍然是有效 ICS 网络安全的关键组成部分。

在本系列的第四部分中，我们将研究跨 IT/OT 边界的安全通信。企业比以往任何时候都更有理由允许跨此边界传输数据，但保持边界安全同样重要。