随着工业物联网（IIoT）技术的不断发展，水和能源两个至关重要的关键基础设施系统向着更加互联的方向发展，在为人们的生活和企业的运转提供更高效可靠的资源流的同时，系统中的漏洞也不断暴露出来，面临着巨大的网络安全风险。安全问题一旦发生，将对生产和生活造成重大破坏。

10月30日，趋势科技发布题为“暴露而脆弱的关键基础设施：水和能源工业”的报告，披露了全球范围内两大关键基础设施工业物联网面临的网络安全风险。报告中指出，风险主要来自工业物联网的监控和数据采集系统（SCADA）人机接口（HMI）。

研究人员使用开源情报技术（OSINT），通过互联网扫描（主要通过Shodan）和物理位置映射，发现许多中小型企业的人机接口直接暴露于网络，易受攻击。这说明网络安全对每个关键基础设施系统以及供应链的每个层面都极为重要。

在水处理领域，在不同水相关系统的监测和控制接口发现了暴露的HMI，包括水暖，地热，抽水，滤水，海水反渗透和灭菌等领域，这一威胁遍布世界各地。

在能源领域，威胁发生在多个子领域，包括石油、天然气、沼气和电力领域。除中东地区的单个钻井平台外，石油和天然气行业大多数暴露的HMI来自美国。这些HMI允许攻击者查看实时生产水平等信息，甚至是关机和重置选项等关键控制。

暴露的沼气设备主要来自德、法、意、希腊等国。这些暴露的HMI是顶级菜单，带有泵控制、空气燃气混合器，循环，参数调整等子菜单。

暴露的电力系统主要来自德、意、法、奥、西、瑞典、捷克、韩国等国，包括太阳能、风能和水力发电厂等领域的系统， 暴露的内容包括监测界面、控制界面、甚至是用户数据库。

这些发现意味着攻击者可以监视和使用来自这些系统的信息。此外，大多数暴露的HMI都具有关键控制，如温度控制和关闭控制。这意味着，通过访问这些HMI，攻击者最终可以直接控制这些系统和设备。

能源和水资源的重要性毋庸置疑，一旦针对上述暴露和脆弱系统的攻击发生，可能会产生深远的影响。一次攻击可能会使供应链中的故障进一步扩散，或者推动攻击者转向更大的目标。以下是三种可能性：

（1）同一关键基础设施领域发生供应和服务短缺。例如，如果水处理厂或具有易受攻击的顶级域名菜单的发电厂被篡改，它将直接影响这些基础设施为其各自区域提供的总供应量。较小的公司同时也为大公司提供资源，因此，意外的供应短缺可能会妨碍这些大公司的运营。

（2）导致其他关键基础设施领域供应中断。 不同关键基础设施领域之间存在的相互依赖性进一步扩展了一个受损系统对其他类型资源供应的影响。例如，水净化厂中未被注意到的篡改可能对食品和健康行业产生连锁效应。同样，石油和天然气的突然短缺可能直接影响运输业。

（3）中小型企业成为攻击大型企业的试验田。尽管较大的公司由于具备更高的网络安全意识，在互联网上暴露设备的可能性较小，但它们与小公司在操作和设备上的相似性使得后者成为攻击者测试和学习的场地。

对于这两个关键基础领域来说，掌握理论、抵御上述威胁是一项重要任务。暴露和脆弱的人机界面的存在提醒了中小型企业，对整体安全而言，为整个供应链做出贡献、从整个供应链中受益的每个层面都同等重要。对于大型组织而言，确保第三方供应商同等安全是必要的，因为安全思维应跳出被公司利润约束的范围。

原文链接：https://blog.trendmicro.com/trendlabs-security-intelligence/disrupting-the-flow-exposed-and-vulnerable-water-and-energy-infrastructures/