如今,随着物理控制和电子系统的高度集成,在严峻的安全威胁形势下,工业控制系统(ICS)安全事关国家关键基础设施安全和民生安全,必须大力加强安全管理。在此,我们就2016年三次主要ICS事件进行讨论,综合专家意见,总结经验。
1 Operation GHOUL(食尸鬼)行动
2016年8月,卡巴斯基安全实验室揭露了针对工控行业的“食尸鬼”网络攻击活动,攻击通过伪装阿联酋国家银行电邮,使用鱼叉式钓鱼邮件,对中东和其它国家的工控组织发起了定向网络入侵。攻击中使用键盘记录程序HawkEye收集受害系统相关信息。
卡巴斯基目前发现了全球130多个受攻击目标,大多为石化、海洋、军事、航空航天和重型机械等行业,涉及西班牙、巴基斯坦、阿联酋、印度、中国、埃及等国。攻击使用的鱼叉式邮件主要发送对象为目标机构的高级管理人员,如销售和市场经理、财务和行政经理、采购主管、工程师等。
观点:必须注重人员安全意识问题
Lane Thames, Tripwire漏洞安全研究组专家。他认为,从“食尸鬼”行动可以看出,在安全防范时,必须要注重人员安全意识问题。
食尸鬼”攻击行动使用了商业现成的恶意软件,虽然没有创新,但其结合了社会工程学中人的因素,针对目标机构特定人员进行了成功的定向入侵渗透。 虽然这只是众多攻击中的一个案例,但可以看出工控行业在网络安全方面远远落后于攻击者。安全永远是一个棘手的问题,不能只单纯依靠技术来解决,人员因素同样重要。技术和人员因素必须综合考虑。我个人认为,要解决好这个问题,还有很长的路要走,因为在我们的安全教育模式中就没有关注到这个问题。 短期内,工控组织机构应该对员工进行持续的网络安全和意识安全培训。长远来看,应该从早期教育入手,加强相关的网络安全教育培训,让年轻一代在懂得使用信息技术的同时,也能意识到网络安全的重要性。 |
2 BLACKENERGY(黑暗力量)攻击导致的断电事故
2015年12月23日,乌克兰电力供应商Prykarpattyaoblenergo通报了持续三个小时的大面积停电事故,受影响地区涉及伊万诺-弗兰科夫斯克、卡卢什、多利纳等多个乌克兰城市。后经调查发现,停电事故为网络攻击导致。攻击者使用附带有恶意代码的Excel邮件附件渗透了某电网工作站人员系统,向电网网络植入了BlackEnergy恶意软件,获得对发电系统的远程接入和控制能力。
BlackEnergy木马病毒,2007年被Arbor网络公司首次发现,之后,该恶意软件功能经历了多种变化,从相对简单的DDoS到拥有模块化结构的Rootkit技术,再到后来的具有插件支持、远程代码执行、数据采集等功能,在其最新升级版本中,还支持代理服务器、UAC绕过技术等。BlackEnergy在早期主要被黑客用于发送垃圾邮件、网上银行诈骗等。
观点:必须制订和遵守安全规则
Pavel Oreški,Tripwire网络安全专家,他认为此次攻击表明,恶意邮件和垃圾邮件对某些组织机构来说仍然是一种严重的安全威胁。
“BlackEnergy对乌克兰造成的断电事故让人震惊,这恰好能直观地说明,一个员工就能导致一场灾难性事件发生。要是这种事情发生在核电站,无法想像其后果该有多严重。 此次事件中,攻击原因是由于电站某工作人员收到了一封附带恶意宏代码的excel邮件文档,在打开文档时启用了宏功能(enable macros),导致了攻击载体植入。而现如今,我们常常会收到大量类似的垃圾邮件。 如果忽视安全准则,点击了这样的恶意文档,可能会让企业资源系统(ERP)遭到攻击者破坏,最终使业务陷入瘫痪,延迟,甚至会导致重购、重建等严重问题。 |
3 伊朗黑客攻击美国大坝事件
2016年3月24日,美国司法部公开指责7名伊朗黑客入侵了纽约鲍曼水坝(Bowman Avenue Dam)的一个小型防洪控制系统。幸运的是,经执法部门后期调查确认,黑客还没有完全获得整个大坝计算机系统的控制权,仅只是进行了一些信息获取和攻击尝试。这些伊朗黑客可能为伊朗伊斯兰革命卫队服务,他们还涉嫌攻击了包括摩根大通、美国银行、纽约证券交易所在内的46家金融机构。
观点:组织机构必须采取循序渐进的多重防护策略,同时要具备网络运行快速恢复能力
Keirsten Brager,CISSP, CASP, Tripwire驻某大型电力设施工程师。她认为,该事件可能比较复杂,但组织机构内部可以采取有效的保护措施。事件报道中主要突出了三方面问题:第三方机构感染了恶意软件、僵尸网络发起了对网站的DDoS攻击、远程入侵漏洞。虽然没有任何一种解决方案是完美的,但一些深度防御策略可以缓解类似威胁风险。
恶意软件:防御,检测,响应
保持系统和应用程序的最新补丁,赛门铁克曾报道过RIG漏洞利用工具包就以Java、Flash、Adobe和Silverlight漏洞为目标。未打补丁的系统感染恶意软件的机率较大。 一些恶意软件可能会逃避网络安全的实时监测,所以,组织机构内部须经常升级和评估终端检测防护能力。 部署WEB应用防火墙(WAF),自动阻断已知的WEB应用攻击。 |
DDoS攻击:检测、缓解
保持系统和应用程序的最新补丁,赛门铁克曾报道过RIG漏洞利用工具包就以Java、Flash、Adobe和Silverlight漏洞为目标。未打补丁的系统感染恶意软件的机率较大。 一些恶意软件可能会逃避网络安全的实时监测,所以,组织机构内部须经常升级和评估终端检测防护能力。 部署WEB应用防火墙(WAF),自动阻断已知的WEB应用攻击。 |
安全认证:多因素认证
伊朗黑客对纽约鲍曼水坝进行攻击入侵的电脑系统未设置多因素认证; 对摩根大通等银行关键基础设施的攻击,主要原因在于相关系统缺乏双因素认证; 博思艾伦公司最新的威胁简报指出,造成乌克兰断电事故的主要原因在于,黑客远程渗透入侵了缺乏多因素认证的电网系统。 |
这些攻击事件表明,最好的安全防护策略之一是针对远程访问的多因素身份认证。针对恶意软件、DDoS和远程入侵等攻击,组织机构内部可以建立弹性的安全防御策略。但即使是最全面的部署防御也不是最安全最完美的。因此,对组织机构来说,具备持续监测响应能力,快速从网络攻击事件中恢复和运行才是最主要的。
总结
为应对未知安全事故,工控组织机构可以通过加强雇员安全培训、制订安全规则、采取多种安全防护措施,最大程度地实现全方位安全防护目的。
作者:clouds
来源:51CTO