开发者社区> 晚来风急> 正文

DDoS会危害关键基础设施吗? “安全加”认为媒体搞错了方向 APT攻击才是杀手锏

简介:
+关注继续查看

近期发生的一系列分布式拒绝服务(DDoS)攻击已经严重影响了互联网的正常运作。于是,“安全加” 总是接到媒体的需求(特别国外媒体)要求说一说DDoS对工控领域的威胁,这让安全加小编有些哭笑不得。1到目前为止,大多数对关键基础设施,尤其是涉及国家命脉的工控领域,都是通过木马渗透内网,然后实施APT攻击;2涉及国家命脉的工控领域,大多都不会直接暴露在外网,这包括国外也是一样的;3DDoS大多是攻击外围网络,然后瘫痪它,你把外网打瘫了,自己不也进不去了吗?为了让大家了解更多的相关信息,小编整理了安全加近期发布的关键基础设施攻击的相关文章。

在下面的内容中,安全专家认为,类似电网和天然气管道等关键基础设施不太可能会遭到大规模的DDoS攻击。但是他们也承认,目前大量的关键基础设施中仍然存在严重的安全问题。

近期的DDoS攻击关键基础设施事件

就在上个月,美国新罕布什尔州的域名系统(DNS)服务商Dyn经历了一次大规模DDoS攻击,而此次攻击也给北美地区的大量用户的工作和生活带来了很大的不便。此次事件不仅使大量热门网站被迫下线,而且还导致广大网民好几个小时都无法正常访问互联网。此次事件中没有人员死亡,也没有人员受伤,只有财产损失,但是却吸引了全国新闻媒体的争相报道。

鉴于此次事件的严重性和影响力,很多人开始担心这种由数百万台物联网设备所组成的僵尸网络在将来会做更加恐怖的事情,甚至还会影响国家的关键基础设施。像国家电网这样的关键基础设施一旦遭到了攻击,那么带来的影响可就不只是“不方便”这么简单了。如果没有电的话,企业、家庭、应急服务、金融行业以及互联网根本就无法正常运转。

其实现实中也发生过类似的事件。就在 这个月的月初,芬兰拉彭兰塔市(芬兰东部的一个城市)的两处供暖设备因遭到了DDoS攻击而无法正常为市民提供暖气。 虽然此次供暖中断是暂时性的,但是当地媒体指出,由于当地气温低于零度,所以暖气的长期中断会导致供暖设备和传输线路的出现物理损伤,因此受影响的市民不得不搬到其他的地方过冬。

近期,安全研究专家在一篇题为《 物联网中的核链反应 》论文中表示,他们可以使用飞利浦Hue智能灯泡和ZigBee协议来构建大规模的僵尸网络。这是一种新型的安全威胁,如果一台物联网设备感染了蠕虫,那么与该设备临近的物联网设备也会交叉感染,蠕虫将会迅速传播开,这就类似于一种核链反应了。

研究人员表示:

“攻击者可以在城市中的任何一个地方接入一个使用ZigBee无线通信协议的智能灯泡,此时该蠕虫就会像生化危机里的“T病毒”一样在几分钟之内感染大量的物联网设备。攻击者将可以随意地开关城市中的电灯,或者利用它们来进行大规模的DDoS攻击。”

如果攻击者可以使用这项技术来对城市的供暖、供水、污水处理和交通管制等基础服务系统进行攻击的话,那么后果将不堪设想。Resilient Systems的首席技术官Bruce Schneier 表示:“这些关键基础设施中存在的安全漏洞不仅会导致财产的损失,而且甚至会引起人员的伤亡。”

但是,负责监控和管理国家大部分关键基础设施的工业控制系统在受到DDoS攻击之后,真的会引起长时间的服务中断吗?

DDoS攻击对关键基础设施的影响有多大?

安全专家们对这一问题持有很多不同的观点。有的人认为,国家的工业控制系统与普通的物联网设备有着明显的区别,它们没那么容易受到DDoS攻击。但是有些人却认为,这些系统也是物联网中的一部分,所以它们同样有可能遭到DDoS攻击。

某些业内专家认为,对于关键基础设施而言,DDoS攻击并不是直接的威胁。因为工业控制系统与消费者手中的物联网设备并不相同。拿温度控制器来打个比方,从表面上看也许它们很相似,但是工控系统所使用的温度控制器与用户家中墙上挂着的恒温器相比,它所采用的是不同的技术,使用场景和性能也完全不同。而工控系统处理信息的过程也并不依赖于互联网服务。

FusionX的CEO Matt Devost也持有类似的观点,他表示:

“对于那些极度依赖网络通信的设备来说,DDoS攻击是非常有效的。但是ICS和SCADA这样的工业环境并不具备对网络服务的依赖性。”

Spirion公司产品战略副总裁Gabe Gumbs认为:

“物联网设备应该被严格定义为消费级设备。虽然大多数关键基础设施接入了互联网,但是这些设备采用的并非消费级通信技术。企业会在SCADA系统的安全性上投入大量资金,这与消费级终端有着显著的区别。”

Dragos的CEO Robert M.Lee认为:

“虽然目前有的工控系统需要依赖互联网,但是绝大多数工控系统并非如此,这些设备的网络数据和终端节点所使用的技术是十分复杂的。因此,DDoS攻击并不足以干扰关键基础设施的运作。”

但是SCADAfence的CTO Yoni Shohet却表示:

“工控系统绝对是物联网的一部分,因为整个行业正在从物理系统转变成网络物理系统。在过去的几年里,工业环境和外部网络之间的联系正在加强。所以随着技术的不断发展,这些环境遭受外部攻击的可能性也会越来越高。”

Full Spectrum的CEO Stewart Kantor同样认为:

“关键基础设施正在逐渐趋于自动化,而这种自动化需要依赖基于IP的通信方式。从某种程度上来说,这将不可避免地使用到公共蜂窝数据网络。这样一来,这些设备与消费级产品将共同组成我们的物联网。”

不过他还补充说到:“某些组织的私有物联网使用的是软件定义无线电技术,这与公共设施所使用的专用技术是有区别的。”

工控系统和关键基础设施安全性的发展

Robert M.Lee也承认,现在越来越多的企业开始关注关键基础设施的安全性了。对于工控设备的制造商而言,他们面对的是一个全球化的市场,安全方面的压力不容小觑。而现实就是,工控设备制造行业还有很长的一段路要走。

Gabe Gumbs认为:

“在此之前,信息安全并不是这些厂商首要考虑的因素。因为他们既没有能够与攻击者抗衡的技术,也没有聘请并留住安全技术人才的实力。实际上,检测复杂的网络攻击是有难度的,这需要投入大量的人力资源和物质资源。虽然这个行业现在已经开始逐渐关注安全因素了,但是如果想要抵御复杂的网络攻击,那需要很长的一段时间。”

当然了,虽然DDoS攻击并不算是十分复杂的网络攻击,但是它仍然会给我们带来非常大的困扰。Matt Devost认为:“如果商业建筑中数百万的家用智能恒温设备和智能电网设备遭到攻击并同时消耗大伏交流电的话,电网将会因超额负载而发生故障。”

不过Gumbs表示,他认为DDoS攻击并不会给美国的关键基础设施带来灾难性的破坏,因为这些设备有足够的能力去应对这样的攻击。他说到:

“我们也许可以将这种大规模的网络攻击与自然灾害进行比较。在面对飓风、洪水、以及地震等自然灾害时,我们可以沉着应对。所以我认为,在面对网络攻击时,我们也同样能够妥善处理。但是,这种攻击给金融系统带来的影响可能会更加严重。在遭受攻击之后,用户在ATM机上的取款操作以及各大商场的刷卡支付操作都将会受到影响。”

结束语

我们相信绝大多数的公共事业部门都会逐渐开始重视安全方面的问题。在当今这个世界,黑客们越来越聪明了,黑客社区也在不断分享着各种黑客技术和先进的DDoS攻击代码。我们需要对信息安全的各种细节因素进行仔细的研究,虽然这会增加企业的成本,但是安全才是第一位的。

关键基础设施攻击的相关文章

【政策解读】 从网络安全法草案看关键信息基础设施安全

【战略分析】 世界各国信息安全战略分析 国家信息安全战略落到实处 信安标委主任吴世忠深入浅出

【政策解读】 日本关键信息基础设施保护起步早 我国已经重视关键信息基础设施保护

关键基础设施系统攻击的检测、关联与呈现 斯坦福国际研究中心开发分布式多算法入侵检测能力

工控网络与互联网对接需要纵深防御 美国国土安全部发布工控安全策略

ICS-CERT美国工控安全小组2015年报告解读 112项安全评估638个漏洞

【报告下载】 乌克兰电网分析报告 报告称攻击者仍有机会在其他国家发动类似的攻击

【报告下载】 乌克兰监控工具Operation Groundbait深入分析

【报告下载】 工控网络与互联网对接需要纵深防御 美国国土安全部发布工控安全策略




原文发布时间:2017年3月24日
本文由:安全加发布,版权归属于原作者
原文链接:http://toutiao.secjia.com/apt-attacks-threaten-critical-infrastructure
本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
阿里云安全运营中心:DDoS攻击趁虚而入,通过代理攻击已成常态
阿里云安全运营中心对疫情期间的应用层DDoS攻击事件做了深入分析,希望给企业提升防御水位提供参考。
597 0
阿里云服务器申请DDoS基础防护及常见问题
阿里云服务器为了能够更好的保护好每一个用户的云安全。提供免费的DDos防护——DDos基础防护。
1049 0
Go基础:指针、Map、结构体
Go基础:指针、Map、结构体
14 0
阿里云安全运营中心:DDoS攻击趁虚而入,通过代理攻击已成常态
阿里云安全运营中心对疫情期间的应用层DDoS攻击事件做了深入分析,希望给企业提升防御水位提供参考。
3610 0
TreeMap源码分析——基础分析(基于JDK1.6)
常见的数据结构有数组、链表,还有一种结构也很常见,那就是树。前面介绍的集合类有基于数组的ArrayList,有基于链表的LinkedList,还有链表和数组结合的HashMap,今天介绍基于树的TreeMap。
426 0
Centos7下Docker上部署webgoat(用来演示Web应用程序中的典型安全漏洞的应用程序)
Centos7下Docker上部署webgoat(用来演示Web应用程序中的典型安全漏洞的应用程序)
785 0
IT基础设施:CentOS安装
前言 在IT人员的一生中,装系统是个避免不了的活儿,特别是软件研发人员,为了实验一个物理架构,我们通常需要多台服务器进行测试;幸运的是,在电子科技飞速发展的今天,我们已经不用购买大量的物理主机来搭建整个架构,只需要一颗强大的CPU,足够大的内存,就可以在一台电脑上安装若干虚拟机来进行实验;本文主要面向初次接触linux的小白读者,向大家介绍CentOS安装过程的所有细节,通过本文的学习,您可以一次性安装成功。
1345 0
MySQL 基础---数据库安全性机制
MySQL软件所提供的权限(mysql.user、mysql.db、mysql.host) (1) 系统表mysql.user user权限表中字段分为四类: 用户字段、权限字段、安全字段和资源控制字段。
983 0
【OSS 排查方案-2】CDN+OSS 基础排查工具
工具说明: CDN+OSS 的服务架构。 目的:当用户遇到 CDN + OSS 投诉问题后,可以先用此工具测试一下基本的测试指标,初步判断问题故障点,同时可以将脚本结果粘贴给阿里云客服更快定位信息。 使用方法:sh check_cdn_oss.sh 域名 请求URL  OSS公网域名 Usge: check_cdn_oss.sh www.zhangyb.mobi http://www.zhangyb.mobi/index.html youkou.oss-cn-beijing.aliyuncs.com 如有需求,可提改进意见,工具会继续完善,谢谢。
2033 0
+关注
9379
文章
243
问答
文章排行榜
最热
最新
相关电子书
更多
JS零基础入门教程(上册)
立即下载
性能优化方法论
立即下载
手把手学习日志服务SLS,云启实验室实战指南
立即下载