2017年6月中下旬,美国宾夕法尼亚Bala Cynwyd的亚当弗拉纳根(42岁)因破坏美国东海岸多个供水设施提供商的网络被判1年零1天的监禁。
这事还要从2013年11月,该公司以非公开理由解雇了弗拉纳根说起。
弗拉纳根从2007年11月开始就职于某智能水电气设备制造商,他的工作职责之一是为客户(主要为供水设施网络)建立塔式网关基站(TGB)。
被解雇后,弗拉纳根怀恨在心决定报复公司,从而关闭了TGB,使该公司客户的供水设施网络陷入瘫痪,之后他用攻击性的语言修改了某些TGB上的密码。
而这起安全事件导致了美国东海岸5个城市的塔式网关基站受到影响,供水设施提供商不得不派遣员工到客户家中手工抄写每月的用水量。
以上仅为一例工业控制系统入侵事件,事实上相关安全事件已层出不穷。
去年8月3日,印度多地发生网络攻击事件,影响了Bharat Sanchar Nigam Limited(BSNL)和Mahanagar Telephone Nigam Limited(MTNL)这两家印度国有电信服务提供商的机房内的调制调解器以及用户的路由器,事件导致印度东北部、北部和南部地区调制调解器丢失网络连接,预计6万台调制调解器掉线,影响了45%的宽带连接。
10月11日,黑客针对瑞典运输管理局( Trafikverket )展开 DDoS 攻击,导致该机构负责管理列车订单的 IT 系统瘫痪,以及电子邮件系统与网站宕机,从而影响了旅客预定或修改订单的情况。
12月,黑客利用恶意软件Triton攻击了施耐德电气公司Triconex安全仪表系统(Triconex Safety Instrumented System,SIS),该系统广泛应用于能源行业,包括石油天然气和核设施的功能安全保护。
显然攻击者已不满足于攻击常规工控系统(DCS、PLC等),造成停车或停产,而是开始攻击工业领域最核心的安全保护系统,尝试造成爆炸、有害物质泄漏等更严重的危害。
随着IT(信息技术)/OT(操作技术)一体化的迅速发展,工业控制系统越来越多的采用通用硬件和通用软件,工控系统的开放性与日俱增,系统安全漏洞和缺陷也更易被病毒所利用。
来自外部的安全挑战
IT/OT一体化后端点增加,给工业控制系统(ICS)、数据采集与监视控制系统(SCADA)等工业设施带来了更大的攻击面。与传统IT系统相比较,II/OT一体化的安全问题往往把安全威胁从虚拟世界带到现实世界,可能会对人的生命安全和社会的安全稳定造成重大影响。
工业控制系统操作站普遍采用PC+Windows的技术架构,任何一个版本的Windows自发布以来都在不停的发布漏洞补丁,为保证过程控制系统的可靠性,现场工程师通常在系统开发后不会对Windows平台打任何补丁,更为重要的是即使打过补丁的操作系统也很少再经过工控系统原厂或自动化集成商商测试,存在可靠性风险。但是与之相矛盾的是,系统不打补丁就会存在被攻击的漏洞,即使是普通常见病毒也会遭受感染,可能造成Windows平台乃至控制网络的瘫痪。
黑客入侵和工控应用软件的自身漏洞通常发生在远程工控系统的应用上,另外,对于分布式的大型的工控网,人们为了控制监视方便,常常会开放VPN tunnel等方式接入甚至直接开放部分端口,这种情况下也不可避免的给黑客入侵带来了方便之门。
基于Windows平台的PC广泛应用,病毒也随之而泛滥。全球范围内,每年都会发生数次大规模的病毒爆发。目前全球已发现数万种病毒,并且还在以每天数十余种的速度增长。这些恶意代码具有更强的传播能力和破坏性。
例如蠕虫病毒死灰复燃。与一般的木马病毒不同,这种病毒随着第三方打补丁工具和安全软件的普及,近些年来本已几乎绝迹。但随着永恒之蓝、永恒之石等网军武器的泄露,蠕虫病毒又重新获得了生存空间,死灰复燃。其最为显性的代表就是WannaCry病毒。基于工控软件与杀毒软件的兼容性,在操作站(HMI)上通常不安装杀毒软件,即使是有防病毒产品,其基于病毒库查杀的机制在工控领域使用也有局限性,主要是网络的隔离性和保证系统的稳定性要求导致病毒库对新病毒的处理总是滞后的,这样,工控系统每年都会大规模地爆发病毒,特别是新病毒。在操作站上,即插即用的U盘等存储设备滥用,更给这类病毒带来了泛滥传播的机会。
拒绝服务攻击是一种危害极大的安全隐患,它可以人为操纵也可以由病毒自动执行,常见的流量型攻击如Ping Flooding、UDP Flooding等,以及常见的连接型攻击如SYN Flooding、ACK Flooding等,通过消耗系统的资源,如网络带宽、连接数、CPU 处理能力、缓冲内存等使得正常的服务功能无法进行。拒绝服务攻击非常难以防范,原因是它的攻击对象非常普遍,从服务器到各种网络设备如路由器、防火墙、IT防火墙等都可以被拒绝服务攻击。控制网络一旦遭受严重的拒绝服务攻击就会导致严重后果,轻则控制系统的通信完全中断,重则可导致控制器死机等。目前这种现象已经在多家工控系统中已经出现
网络风暴经常是由于ARP欺骗引起的flood攻击,或者因工控信息网络因环路故障造成的网络风暴,这种攻击往往发生在同一网段的控制区域中,占用大量的带宽资源,工控系统疲于处理各种报文,将系统资源消耗殆尽,使工业系统报文无法正常传输。目前的工业总线设备终端对此类拒绝服务攻击和网络风暴基本没有防范能力,另外,传统的安全技术对这样的攻击也几乎不可避免,缺乏有效的手段来解决,往往造成严重后果。
高级持续性威胁的特点是:目的性非常强,攻击目标明确,持续时间长,不达目的不罢休,攻击方法经过巧妙地构造,攻击者往往会利用社会工程学的方法或利用技术手段对被动式防御进行躲避。而传统的安全技术手段大多是利用已知攻击的特征对行为数据进行简单的模式匹配,只关注单次行为的识别和判断,并没有对长期的攻击行为链进行有效分析。因此对于高级持续性威胁,无论是在安全威胁的检测、发现还是响应、溯源等方面都存在严重不足。
工业设备可视性不足严重阻碍了安全策略的实施。要在工业互联网安全的战斗中取胜,“知己”是重要前提。许多工业协议、设备、系统在设计之初并没有考虑到在复杂网络环境中的安全性,而且这些系统的生命周期长、升级维护少也是巨大的安全隐患。
主要来自各类机床数控系统、PLC、运动控制器等所使用的控制协议、控制平台、控制软件等方面,其在设计之初可能未考虑完整性、身份校验等安全需求,存在输入验证,许可、授权与访问控制不严格,不当身份验证,配置维护不足,凭证管理不严,加密算法过时等安全挑战。例如:国产数控系统所采用的操作系统可能是基于某一版本Linux进行裁剪的,所使用的内核、文件系统、对外提供服务、一旦稳定均不再修改,可能持续使用多年,有的甚至超过十年,而这些内核、文件系统、服务多年所爆出的漏洞并未得到更新,安全隐患长期保留。
工业控制系统中越来也读的设备与网络相连。如各类数控系统、PLC、应用服务器通过有线网络或无线网络连接,形成工业网络;工业网络与办公网络连接形成企业内部网络;企业内部网络与外面的云平台连接、第三方供应链连接、客户的网络连接。由此产生的主要安全挑战包括:网络数据传递过程的常见网络威胁(如:拒绝服务、中间人攻击等),网络传输链路上的硬件和软件安全(如:软件漏洞、配置不合理等),无线网络技术使用带来的网络防护边界模糊等。
随着智能制造的网络化和数字化发展,工业与IT的高度融合,企业内部人员,如:工程师、管理人员、现场操作员、企业高层管理人员等,其“有意识”或“无意识”的行为,可能破坏工业系统、传播恶意软件、忽略工作异常等,因为网络的广泛使用,这些挑战的影响将会急剧放大;而针对人的社会工程学、钓鱼攻击、邮件扫描攻击等大量攻击都利用了员工无意泄露的敏感信息。因此,在智能制造+互联网中,人员管理也面临巨大的安全挑战。
智能制造工厂内部生产管理数据、生产操作数据以及工厂外部数据等各类数据的安全问题,不管数据是通过大数据平台存储、还是分布在用户、生产终端、设计服务器等多种设备上,海量数据都将面临数据丢失、泄露、篡改等安全威胁。
本文由工业控制系统安全国家地方联合工程实验室&360威胁情报中心投稿,关注雷锋网宅客频道(微信公众号:letshome)回复:工业信息安全态势报告,获取报告原文。
雷锋网宅客频道关注先锋科技,欢迎关注雷锋网宅客频道。