您所在的位置: 首頁 >
新聞資訊 >
行業(yè)資訊 >
工業(yè)控制系統(tǒng)攻擊五大經(jīng)驗教訓(xùn)
工業(yè)控制系統(tǒng)攻擊越來越頻繁,但了無新意。
假設(shè)現(xiàn)在是1903年,你站在波爾杜(英國康沃爾郡)偏遠(yuǎn)半島崖邊的一家大旅社前。盡管旅社旁矗立著巨大的天線,還有大型風(fēng)箏不時將天線帶得更高,但你可能不會意識到自己面前是歷史性無線電報通信的地點,或者說,首位無線網(wǎng)絡(luò)攻擊受害者的傷心地。古列爾莫·馬可尼(Guglielmo Marconi),一位被譽為無線電發(fā)明家和無線傳輸之父的意大利人,正準(zhǔn)備無線傳輸電報消息到300英里外的倫敦皇家科學(xué)院。在馬可尼開始發(fā)送電報前,接收裝置發(fā)出了來自另一更強無線電信號的莫斯電碼信號:
“老鼠……老鼠……老鼠……老鼠?!?/span>
很快,針對馬可尼的惡言接踵而至。原來,一家有線電報公司聘請了英國魔術(shù)師、無線電愛好者內(nèi)維爾·馬斯克林(Nevil Maskelyne)破壞馬可尼的演示,想要證明開放無線電通信不是“安全和私密”的信道。
美國能源部的《工業(yè)控制系統(tǒng)網(wǎng)絡(luò)事件歷史》報告顯示,這是歷史上有記錄的對工業(yè)控制系統(tǒng)(ICS)最早的攻擊之一。盡管當(dāng)時無線電報尚未完全“工業(yè)化”,但這一事件仍然表明了社會仰賴的關(guān)鍵ICS所引入的潛在風(fēng)險。
ICS是控制電廠、水廠、燃?xì)庠O(shè)施、通信基礎(chǔ)設(shè)施和制造業(yè)等工業(yè)技術(shù)運營的計算機,有時候是相當(dāng)專業(yè)化的專用計算機。ICS還包括監(jiān)視控制與數(shù)據(jù)采集(SCADA)系統(tǒng),此類系統(tǒng)是遠(yuǎn)程監(jiān)控ICS運營技術(shù)(OT)的計算機。
雖然ICS設(shè)備通常非常專業(yè)化,但折磨傳統(tǒng)計算機的軟件和硬件漏洞同樣會侵襲ICS設(shè)備。長期以來,安全專家一直提醒企業(yè)注意黑客也會攻擊ICS,而近期Colonial Pipeline勒索軟件攻擊之類的事件證明了這一點(WatchGuard等很多技術(shù)觀察者多年前就預(yù)測了這一情況)。更令人擔(dān)憂的是,過去五年間,ICS攻擊頻頻得手,攻擊后果也愈趨嚴(yán)重。
不過,我們可以保護(hù)這些系統(tǒng),尤其是在我們吸取歷史經(jīng)驗教訓(xùn)的情況下。下面我們就列出從以往ICS攻擊中可以學(xué)到的五大重要安全經(jīng)驗:
1. 惡意內(nèi)部人甚至能威脅到最安全的系統(tǒng)
2008年,澳大利亞昆士蘭馬魯奇供水服務(wù)公司(MWS)開始遭遇污水泵,造成上百萬加侖未處理廢水意外排放。故障發(fā)生時沒有任何警報發(fā)出。最終調(diào)查發(fā)現(xiàn),是一名心懷不滿的承包商盜走了計算機和無線電設(shè)備,通過故意破壞這些污水泵來發(fā)泄自己沒有得到長期職位的憤懣之情。
保護(hù)自身免遭惡意內(nèi)部人的侵害并不容易,但設(shè)置強大的資產(chǎn)管理控制措施和快速撤銷前雇員權(quán)限的過程能夠有所幫助。此外,這次攻擊也讓MWS意識到了其設(shè)備的無線通信沒有加密。如果想使用可公開訪問的通信媒介,就必須做好加密保護(hù)。
2. 秘而不宣和物理隔離不等同于無法滲透的安全
2010年,伊朗核設(shè)施遭受的震網(wǎng)攻擊打開了國家支持的ICS網(wǎng)絡(luò)攻擊的潘多拉魔盒。這一復(fù)雜攻擊導(dǎo)致伊朗濃縮鈾離心機瘋狂旋轉(zhuǎn),最終碎裂。攻擊中用到了利用四個零日漏洞的超先進(jìn)惡意軟件、針對專用設(shè)備的史上首個可編程邏輯控制器(PLC)rootkit,甚至還有所謂的雙面間諜攜惡意軟件突破物理隔離。
若說能從震網(wǎng)事件中學(xué)到什么,那就是:投入足夠的時間、金錢、意志,即使最安全的設(shè)施也可以突破。如果要保護(hù)的是關(guān)鍵系統(tǒng),就得設(shè)置非常先進(jìn)的安全控制措施和規(guī)程,抵擋黑客國家隊奇計百出的不斷攻擊。
3. 小心魚叉式網(wǎng)絡(luò)釣魚
據(jù)稱,2014到2015年間,俄羅斯黑客通過魚叉式網(wǎng)絡(luò)釣魚(內(nèi)置誘餌Word文檔)將BlackEnergy惡意軟件安裝到烏克蘭電力公司的計算機上。該惡意軟件使黑客得以中斷近25萬烏克蘭的電力供應(yīng)長達(dá)六小時。(同樣的事件在2016年再次出現(xiàn),用的是CRASHOVERRIDE惡意軟件。)這還只是始于魚叉式網(wǎng)絡(luò)釣魚的眾多ICS攻擊的案例之一,其他案例還包括2012年Shamoon數(shù)據(jù)刪除惡意軟件、2012年美國天然氣管道攻擊和2014年德國鋼鐵廠黑客事件。
經(jīng)驗教訓(xùn)非常明顯:魚叉式網(wǎng)絡(luò)釣魚是ICS攻擊中極其常用的戰(zhàn)術(shù)。一定要經(jīng)常就如何識別和避免魚叉式網(wǎng)絡(luò)釣魚郵件做好員工培訓(xùn)。
4. 數(shù)字攻擊可導(dǎo)致物理傷害和死亡
2017年,專家在調(diào)查一家沙特阿拉伯石油化工廠的系統(tǒng)故障時發(fā)現(xiàn)了非常專業(yè)的ICS惡意軟件。該惡意軟件旨在關(guān)停緊急停機與安全系統(tǒng),造成物理破壞。業(yè)界普遍認(rèn)為TRITON是意在造成人員傷亡的首個網(wǎng)絡(luò)攻擊。
保護(hù)ICS系統(tǒng)之所以那么重要,不僅僅是因為我們需要這些系統(tǒng)所提供的服務(wù),還出于對我們?nèi)松戆踩目剂俊?/span>
5. ICS易遭遇勒索軟件破壞
從以往事例來看,ICS攻擊似乎屬于黑客國家隊和恐怖主義黑客的“業(yè)務(wù)”范疇,但如今,網(wǎng)絡(luò)罪犯也加入了發(fā)起ICS攻擊的行列。比如,全球鋁業(yè)巨頭 Norsk Hydro 遭遇勒索軟件感染,導(dǎo)致其關(guān)閉部分產(chǎn)品線并恢復(fù)到手動過程。此類事件就生動驗證了2019年的ICS預(yù)測。至于更近期的事件,參考Colonial Pipeline遭遇的勒索軟件攻擊。
盡管這些事件的根源各不相同,但表明了網(wǎng)絡(luò)罪犯的技術(shù)現(xiàn)在足以攻破ICS公司,而ICS是個不錯的勒索目標(biāo)。同時,這也反映出2020年的ICS運營技術(shù)很大程度上形同虛設(shè)。若要經(jīng)營ICS公司,最好配備詳細(xì)的業(yè)務(wù)連續(xù)性計劃和災(zāi)難恢復(fù)計劃,從而在遭遇勒索軟件攻擊之類的災(zāi)難時能夠快速恢復(fù)服務(wù)。
以上只是我們從幾次ICS網(wǎng)絡(luò)攻擊中得到的幾條教訓(xùn)。還有很多其他經(jīng)驗教訓(xùn),且同樣的案例似乎會在未來更加頻繁地出現(xiàn)。
美國能源部《工業(yè)控制系統(tǒng)網(wǎng)絡(luò)事件歷史》:https://www.osti.gov/servlets/purl/1505628
來源:數(shù)世咨詢