2016年3例严重工控安全事故经验教训总结

本文涉及的产品
Web应用防火墙 3.0,每月20元额度 3个月
简介:

如今,随着物理控制和电子系统的高度集成,在严峻的安全威胁形势下,工业控制系统(ICS)安全事关国家关键基础设施安全和民生安全,必须大力加强安全管理。在此,我们就2016年三次主要ICS事件进行讨论,综合专家意见,总结经验。

1 Operation GHOUL(食尸鬼)行动

2016年8月,卡巴斯基安全实验室揭露了针对工控行业的“食尸鬼”网络攻击活动,攻击通过伪装阿联酋国家银行电邮,使用鱼叉式钓鱼邮件,对中东和其它国家的工控组织发起了定向网络入侵。攻击中使用键盘记录程序HawkEye收集受害系统相关信息。

卡巴斯基目前发现了全球130多个受攻击目标,大多为石化、海洋、军事、航空航天和重型机械等行业,涉及西班牙、巴基斯坦、阿联酋、印度、中国、埃及等国。攻击使用的鱼叉式邮件主要发送对象为目标机构的高级管理人员,如销售和市场经理、财务和行政经理、采购主管、工程师等。

观点:必须注重人员安全意识问题

Lane Thames, Tripwire漏洞安全研究组专家。他认为,从“食尸鬼”行动可以看出,在安全防范时,必须要注重人员安全意识问题。

 食尸鬼”攻击行动使用了商业现成的恶意软件,虽然没有创新,但其结合了社会工程学中人的因素,针对目标机构特定人员进行了成功的定向入侵渗透。

虽然这只是众多攻击中的一个案例,但可以看出工控行业在网络安全方面远远落后于攻击者。安全永远是一个棘手的问题,不能只单纯依靠技术来解决,人员因素同样重要。技术和人员因素必须综合考虑。我个人认为,要解决好这个问题,还有很长的路要走,因为在我们的安全教育模式中就没有关注到这个问题。

短期内,工控组织机构应该对员工进行持续的网络安全和意识安全培训。长远来看,应该从早期教育入手,加强相关的网络安全教育培训,让年轻一代在懂得使用信息技术的同时,也能意识到网络安全的重要性。

2 BLACKENERGY(黑暗力量)攻击导致的断电事故

2015年12月23日,乌克兰电力供应商Prykarpattyaoblenergo通报了持续三个小时的大面积停电事故,受影响地区涉及伊万诺-弗兰科夫斯克、卡卢什、多利纳等多个乌克兰城市。后经调查发现,停电事故为网络攻击导致。攻击者使用附带有恶意代码的Excel邮件附件渗透了某电网工作站人员系统,向电网网络植入了BlackEnergy恶意软件,获得对发电系统的远程接入和控制能力。

BlackEnergy木马病毒,2007年被Arbor网络公司首次发现,之后,该恶意软件功能经历了多种变化,从相对简单的DDoS到拥有模块化结构的Rootkit技术,再到后来的具有插件支持、远程代码执行、数据采集等功能,在其最新升级版本中,还支持代理服务器、UAC绕过技术等。BlackEnergy在早期主要被黑客用于发送垃圾邮件、网上银行诈骗等。

观点:必须制订和遵守安全规则

Pavel Oreški,Tripwire网络安全专家,他认为此次攻击表明,恶意邮件和垃圾邮件对某些组织机构来说仍然是一种严重的安全威胁。

 “BlackEnergy对乌克兰造成的断电事故让人震惊,这恰好能直观地说明,一个员工就能导致一场灾难性事件发生。要是这种事情发生在核电站,无法想像其后果该有多严重。

此次事件中,攻击原因是由于电站某工作人员收到了一封附带恶意宏代码的excel邮件文档,在打开文档时启用了宏功能(enable macros),导致了攻击载体植入。而现如今,我们常常会收到大量类似的垃圾邮件。

如果忽视安全准则,点击了这样的恶意文档,可能会让企业资源系统(ERP)遭到攻击者破坏,最终使业务陷入瘫痪,延迟,甚至会导致重购、重建等严重问题。

3 伊朗黑客攻击美国大坝事件

2016年3月24日,美国司法部公开指责7名伊朗黑客入侵了纽约鲍曼水坝(Bowman Avenue Dam)的一个小型防洪控制系统。幸运的是,经执法部门后期调查确认,黑客还没有完全获得整个大坝计算机系统的控制权,仅只是进行了一些信息获取和攻击尝试。这些伊朗黑客可能为伊朗伊斯兰革命卫队服务,他们还涉嫌攻击了包括摩根大通、美国银行、纽约证券交易所在内的46家金融机构。

观点:组织机构必须采取循序渐进的多重防护策略,同时要具备网络运行快速恢复能力

Keirsten Brager,CISSP, CASP, Tripwire驻某大型电力设施工程师。她认为,该事件可能比较复杂,但组织机构内部可以采取有效的保护措施。事件报道中主要突出了三方面问题:第三方机构感染了恶意软件、僵尸网络发起了对网站的DDoS攻击、远程入侵漏洞。虽然没有任何一种解决方案是完美的,但一些深度防御策略可以缓解类似威胁风险。

恶意软件:防御,检测,响应

 保持系统和应用程序的最新补丁,赛门铁克曾报道过RIG漏洞利用工具包就以Java、Flash、Adobe和Silverlight漏洞为目标。未打补丁的系统感染恶意软件的机率较大。

一些恶意软件可能会逃避网络安全的实时监测,所以,组织机构内部须经常升级和评估终端检测防护能力。

部署WEB应用防火墙(WAF),自动阻断已知的WEB应用攻击。

DDoS攻击:检测、缓解

 保持系统和应用程序的最新补丁,赛门铁克曾报道过RIG漏洞利用工具包就以Java、Flash、Adobe和Silverlight漏洞为目标。未打补丁的系统感染恶意软件的机率较大。

一些恶意软件可能会逃避网络安全的实时监测,所以,组织机构内部须经常升级和评估终端检测防护能力。

部署WEB应用防火墙(WAF),自动阻断已知的WEB应用攻击。

安全认证:多因素认证

  伊朗黑客对纽约鲍曼水坝进行攻击入侵的电脑系统未设置多因素认证;

对摩根大通等银行关键基础设施的攻击,主要原因在于相关系统缺乏双因素认证;

博思艾伦公司最新的威胁简报指出,造成乌克兰断电事故的主要原因在于,黑客远程渗透入侵了缺乏多因素认证的电网系统。

这些攻击事件表明,最好的安全防护策略之一是针对远程访问的多因素身份认证。针对恶意软件、DDoS和远程入侵等攻击,组织机构内部可以建立弹性的安全防御策略。但即使是最全面的部署防御也不是最安全最完美的。因此,对组织机构来说,具备持续监测响应能力,快速从网络攻击事件中恢复和运行才是最主要的。

总结

为应对未知安全事故,工控组织机构可以通过加强雇员安全培训、制订安全规则、采取多种安全防护措施,最大程度地实现全方位安全防护目的。


作者:clouds

来源:51CTO

相关文章
|
27天前
|
安全 网络安全 Python
CISO如何扭转低绩效网络专业人员的局面
CISO如何扭转低绩效网络专业人员的局面
|
7月前
|
运维 前端开发 JavaScript
年底事故频发,做前端会不会出大型事故?
年底事故频发,做前端会不会出大型事故?
63 0
|
运维 安全 Cloud Native
潜伏的怪兽:研发过程中的安全风险|学习笔记
快速学习潜伏的怪兽:研发过程中的安全风险
199 0
潜伏的怪兽:研发过程中的安全风险|学习笔记
|
运维 安全 Cloud Native
潜伏的怪兽:研发过程中的安全风险 | 学习笔记
快速学习潜伏的怪兽:研发过程中的安全风险
潜伏的怪兽:研发过程中的安全风险 | 学习笔记
|
传感器 安全 物联网
五种常见的智能工厂安全风险以及如何补救它们
维护组织、客户和员工的数据安全是一项挑战。智能技术带来了帮助流程更平稳运行的功能。然而,如果没有正确的安全措施,所有收集的数据都是无用的。下面,您将发现五种常见的安全风险以及如何补救它们。
522 0
五种常见的智能工厂安全风险以及如何补救它们
|
安全 网络安全
【疫情】理性抗疫,个人信息安全是重要防线
当前方的战士正在阻击疫情,后方的公众个人信息安全防线却在动摇。公众知情权和个人隐私权的权衡,成为当下疫情发展的关键问题。
【疫情】理性抗疫,个人信息安全是重要防线
宁国:在疫情防控一线采取十项措施 加强干部考察识别和选拔使用
当前,全国上下正处于新型冠状病毒感染的肺炎疫情防控阻击战的关键时期。越是重要关头和关键时刻,越能锻炼干部、考验干部,也越能识别干部。为认真落实省委组织部《关于为打赢疫情防控阻击战提供坚强组织保证的通知》精神,近日,宁国市出台《关于在疫情防控一线加强干部考察识别和选拔使用的十项措施》,采取“三到位三询问”方式,重点考察“六个怎么样”,不断激励引导广大干部在疫情防控斗争中挺身而出、英勇奋斗、扎实工作,全力打赢疫情防控阻击战。
959 0
国家税务总局发布系列措施阻击疫情
国家税务总局发布关于充分发挥税收职能作用助力打赢疫情防控阻击战若干措施的通知