Robert Lee认为，关键基础设施面临的网络威胁不断增加，但这并不意味着美国即将出现灾难性停电。

Dragos是专门从事工业控制系统（ICS）安全的公司，其创始人兼首席执行官Robert Lee上个月在2018年RSA大会上谈论了最近发生的针对电网和其他关键基础设施的攻击和黑客入侵事故。

目前工业控制系统面临的威胁以及高级持续威胁团伙的能力均不断提高，在下文中Lee解释了攻击工业控制的技术挑战以及为什么这些系统不同于典型的IT系统。

在与Lee访谈的第一部分，他解释了为什么他总体上对ICS安全状态以及企业的改进感到乐观。在第二部分中，Lee谈论了最新ICS威胁以及这种威胁如何被夸大和误解。他还探讨了公共网络归因问题，以及回击的概念。

在过去你曾讨论过能源网络的分散性不可能使攻击在大区域蔓延并导致大面积停电。那如果是容易受到ICS攻击的小公司，这种分散性是否也会降低风险？

Robert Lee：是的，但我并不是说攻击者只会攻击小公司。我是说，我对所有其他公司持乐观态度。但对于你的问题，我担心的不是美国东部联合电网全面停业，而是像华盛顿这样的城市发生30分钟停电。如果华盛顿这样的小城市发生30分钟停电，这可能对政治和监管环境带来影响。

但我们自己的偏执和恐惧放大了实际可能发生的任何事情。

有些全球制造企业对ICS安全没有做任何事情。并不是大公司做得好，只是我对这个曾经非常陈腐的行业看到的推动力感到乐观。

但我仍然非常担心小型企业可能遭遇的情况。这是我们需要投资以及激励企业采取有效行动的地方。

这些企业对ICS安全做了什么？

Lee：总的来说，他们大部分没有做什么。对于那些正在做一些事情的企业，他们只是在调整IT安全工具来适应工业控制，这在很大程度上是采用合规性选择框的方法。

这些只是基本的工作，例如网络监控。但监控工业环境寻找威胁还远远没有广泛部署。我们看到企业很大程度上没有做什么或者只是调整不是针对工业威胁的系统和技术。

你一直批评工业控制系统面对的威胁如何被夸大或误解。当你看到Dragonfly 2.0报告详细介绍针对美国电网的新攻击活动，以及随后的头条新闻时，你的反应是什么？

Lee：我非常喜欢赛门铁克这家公司，但我不赞同他们的评估。首先，他们称Dragonfly 2.0与1.0是相同的攻击团伙，这也是他们如此命名的原因。然而，我们的评估完全不同，我们认为这里有三个不同的团队，这意味着防御工作也应会有不同。

其次，我不认同的是他们的技术人员在公开听证会上说，攻击者可能会对美国电网造成重大破坏。这是对这次攻击不准确描述，我查看了数据，我们在公开之前还追踪了这种威胁，这种说法与实际情况并不相符。

从他们所做的事情来看，他们是否导致了华盛顿1小时的停电？还是他们针对的是任何特定公司？是的，这很糟糕，我们必须非常认真对待。但他们是否对美国电网造成重大破坏？不是，这根本不准确，并不是这样。

但IT安全公司通常认为攻击者的难点在于获取访问权限，因为在IT，这是一个难题。如果攻击者可以访问包含所有敏感数据的Windows系统，那后果会很严重。然而，访问权限在IT安全是严重问题。但对于工业控制系统，访问权限只是开始，当你真正可访问电力设备，你还必须弄清楚如何实际操作。

很多次我们让渗透测试员坐在电力设备前，然后说，’好吧，你拥有充分的访问权限，物理访问权限，那你让灯光闪烁吗’，然后我们发现他们无法做到这一点。我并不是说这完全不可能，肯定有攻击者知道如何操作，但是我们要知道，获取访问权限并不等同于对工业控制系统造成的损坏。

当你看到当前的威胁环境，以及看到Crashoverride和BlackEnergy等恶意软件对乌克兰电网造成的影响，你是否会感到担忧？

Lee：当然会有担忧。我认为不幸的是，很多美国电力公司在乌克兰电网事件后投入大量精力到工业控制系统安全，但还有些人的想法是，’那是乌克兰，那是在互联网的另一端，与我们无关’，但这样的想法并不妥当。

Trisis背后的攻击者、CrashOverride和2015年乌克兰攻击背后的攻击者是不同的团伙，他们已经瞄准并获得美国基础设施的访问权限。虽然他们目前没有表现出实施破坏性攻击的意图，但我们不能说，’我们在另一个国家看到相同的威胁’，然后说，’是的，但那是在那个国家发生的事情，不会影响我们’，你不能这样想。

如果是不同的攻击者，那么，我们也许可以关注并考虑假设情况。但如果是相同的攻击者，我们应该认真对待。

在RSA大会有很多关于回击的谈论，你曾经谈过这个话题。

Lee：这种做法很愚蠢。

对于在该大会鼓吹回击的人，你是否感到惊讶？

Lee：我可以理解其中的原因。这些年，在信息安全社区的主要声音表达了非常不准确的言论。你可能听过，’攻击者只需要做对一件事情就可成功，而防御者必须做对所有事情’，这根本不是真的。

从技术上讲，攻击者需要做好所有事情而不被发现，而防御者只需要在整个攻击过程发现一件事情即可发现攻击。所以，这些陈词滥调在很大程度上被安全行业用来销售与现实不符的东西。如果你是一名高管或者政治家，你反复被告知’防御失败，防御失败，防御失败’，那么，你会说，’让我们尝试一些不同的东西’，那就是回击进攻。他们没有这样做，因为这是恶意做法，而他们这样做是因为他们多年来一直被告知防御失败。

而实际上，我们已经看到了完全相反的情况。防御正在取得胜利和成功。根据最新Mandiant（M-Trends）报告，攻击者仍然停留在早10年前的水平。当你看攻击者入侵系统时，你会发现，你需要一系列漏洞利用才能实现。此外，我们看到美国国家安全局局长Mike Rogers在国会面前哭求在安全产品中获得后门程序，这意味着现在的防御工作做得非常好，如果没有后门程序他们将无法真正破解安全产品而进行监控。

我并不是说那些推荐回击的人很愚蠢，我认为他们被误导了，但是回击的想法非常糟糕。回击的做法对安全没有任何作用。这是一个糟糕的安全投资。当人们难以调整防火墙或者进行网络监控时，投资于进攻能力并不是最佳投资回报项目。

随着工业控制系统面对的威胁不断升级以及更多攻击团伙涌现，我们是否正在进行关键基础设施攻击的军备竞赛？

Lee：你会看到工业间谍活动以及商业机密丢失的情况。所有这些事情都将发生，但军事方面的事件更令人担忧。另一个让我担忧的事情是，情报小组正在潜在准备军事行动，可能被视为实际军事行动，或者情报小组在敏感基础设施犯下错误，导致看起来像是攻击事故。这是我们必须解决的重要领域。

同时，如果你看看沙特阿拉伯的Trisis恶意软件，你会发现，并没有礼貌或者简单的方式来描述它：设计这种恶意软件的人打算杀死人。这会让全世界每个人感到不安。

过去你曾谈论网络归因以及它带来的问题。对工业控制系统的归因是否更难？

Lee：ICS的归因可能更容易。但这种没有用，对于安全来说，归因没有任何用处。这是一个政治话题，它分散了大家对如何实际保护这些系统的注意力，并且，这也给私营部门带来问题。

例如，当美国国土安全部宣布是俄罗斯人入侵路由器时，他们实际上是让所有人都开始关注俄罗斯黑客，而不是让安全人员真正解决所涉及的安全问题。

我想说，归因不仅没有用，还可能非常有害。现在，如果政府想要采取行动抵御攻击，那就不同了。例如，如果政府想要对一个国家实施制裁，他们可利用公众对网络攻击的归因，那也不同。但如果只是抛出一个名字，这没有帮助，甚至有害。