來自內部的安全威脅可能比很多外部攻擊更強烈，更有破壞力。對于管理著關鍵基礎架構和制造過程的工業控制系統網絡來說，尤其如此。一個不懷好意的雇員或是了解工廠并能夠訪問網絡的前雇員就可以引起多種破壞，從而導致產品損壞、財務損失、設備破壞，甚至威脅人的生命。

例如，一個對某公司不滿的作為系統管理員的前雇員使用其VPN(未被撤銷)登錄進入了工業控制系統網絡。然后安裝了自己的軟件，并且對工業控制系統進行了未授權的更改。這種蓄意破壞造成了大量的損失，也產生了大量的廢品。在造成的損失被檢測并逮捕此作惡者之前，這種破壞延續了長達兩周時間。

工業控制系統網絡更易遭受內部攻擊

對于工業控制系統網絡的漏洞而言，如下要點值得注意：

1. 對工業控制系統的遠程訪問很尋常

雖然對運營技術網絡和設備的外部連接可以提升工作效率，卻也產生了新的攻擊面。遠程訪問往往是由工程師實施的，其目的是為了促進特定項目的進展，或是其它特定需要。然而，很多情況下，在項目結束后，卻無人監視這種訪問的使用。由此造成了對這些環境的惡意的和危險的訪問。

有些企業曾經相信：只要將工業網絡和IT網絡及外部的互聯網分離開，就可以高枕無憂，但如今，企業也不再相信那些過時的安全措施。今天，攻擊和漏洞幾乎無處不在，由此使得內部人員和外部攻擊可以攻擊工業控制系統網絡。

2. 工業控制系統網絡缺乏傳統的IT安全控制和監視

由于缺乏這種控制，工業控制系統網絡的管理員就無法強化訪問、安全和對相關更改進行管理的策略。還有另一個問題：這些網絡并沒有可供獲取的日志或蹤跡，也就無法知道誰在什么時間訪問了網絡以及此人做了哪些更改。

因而，在發生事件并導致了運營中斷時，企業會發現要決定攻擊源幾乎是不可能的?？梢曅缘娜狈ψ柚沽斯蛦T進行快速響應，也帶來了高昂的成本。

3. 無法洞察對過程控制器的更改

工業控制系統網絡往往缺乏事件日志或審計線索，因而在對關鍵控制設備做出更改后，就無法提供信息。這種變更可能不僅是由雇員做出的，還可以由集成商或是在本地工作的第三方承包商做出。如果上述任何一方對這些系統做出了惡意的變更，要檢測出來就非常困難，而且可能導致設備被關閉，直至問題得以解決。

這個盲點可以很輕易地就被一個別有用心的內部人員或前雇員所利用。

需要什么才能檢測內部攻擊?

1. 實時監視工業控制系統活動

企業需要對工業控制系統網絡進行專門的監視和控制技術，從而為可疑或惡意活動提供深度的實時洞察，并采取預防性的行動以限制或阻止破壞。這種監視包括監視特定廠商的私有控制協議(可用來對工業控制器做出工程上的變更)。此外，對經由直接的物理訪問對關鍵控制設備做出的更改進行捕捉也非常重要，因為這些設備無法通過網絡實施監視。

2. 檢測異常、惡意活動和未授權的訪問

為確認異常通信和惡意活動，例如，惡意軟件通過網絡傳播、對關鍵設備的非法變更、未經授權的控制工程活動等，企業需要精細的安全策略。

3. 檢測經由可信的內部人員做出的未經授權的變更

除了檢測異常，企業還應當能夠跟蹤對控制器的所有訪問，并且為了確認人為錯誤和未授權的變更，還要查看所發生的全部變化。

正如對網絡攻擊一樣，通過監視、觀察、警告、審計等活動，企業可以在損害發生之前就檢測并減輕內部人員威脅。