水处理设施的网络安全警告

重点内容

美国环境保护署（）和网络安全基础设施安全局（）在12月13日联合发布了一项警告，旨在帮助水处理设施保护其业务免受利用暴露于公共互联网的人机界面（HMIs）进行攻击的威胁。

根据两机构共同发布的，水处理设施运营商被建议清点所有连接公共互联网的设备，并尽可能断开 HMIs 和其他任何可访问的、未受保护的系统。

若无法断开设备连接，水处理运营商应通过创建用户名和强密码来确保设备安全，以防止攻击者轻易访问设备，同时更改出厂默认密码。他们还应实施多因素认证（MFA）并通过启用非军事区（DMZ）或堡垒主机在操作技术（OT）网络边界上对网络进行分段。

EPA 和 CISA 表示，HMIs 使得 OT 系统能够读取连接到

的。在缺乏网络安全控制的情况下，攻击者可以利用暴露的 HMIs访问水和废水系统，查看 HMI 的内容，包括图形用户界面、配水系统地图、事件日志和安全设置。攻击者还可能进行未授权更改，并导致设施运作中断。

联邦机构指出，发布该警告是因为攻击者已经展现出轻松找到并利用暴露在互联网中的 HMIs的能力。他们提到，早些时候，亲俄罗斯的黑客活动分子操控了水和废水系统的 HMIs，导致水泵和风机设备超出正常工作参数。

“在每种情况下，黑客活动分子都将设定的最大值调至极限，修改其他设置，关闭报警机制，并更改管理员密码，从而锁定水务运营商，”EPA 和 CISA的官员表示。“这些事件导致水系统的运营受到影响，迫使受害者恢复手动操作。”

Casey Ellis，Bugcrowd 的创始人及顾问，表示，诸如水和废水 HMIs等安全关键控制系统绝不应直接运行在互联网中。他指出，尽管可以修补、密码保护并安全地配置
HMIs，但若在连接公共互联网的情况下，这些控制的任何失败都可能使重要服务受到任何人，包括国家级威胁行为者的攻击。

“更广泛的问题是，疫情迫使工业控制系统用户，包括关键基础设施，迎合远程工作需求，”Ellis说道。“这导致了一系列不良的安全决策。至少，这些系统应始终防火墙隔离于公共地址之外。次要问题在于，对运行时间敏感，因此，妥善保护它们往往不仅仅是应用补丁或启用多因素认证那么简单。”

ColorTokens 的场 CTO Venky Raju 表示，HMIs 的主要风险在于它们在类似 Shodan 或 Censys的搜索引擎中很容易被找到。Raju 指