烏克蘭電網(wǎng)遭黑客入侵工控網(wǎng)絡(luò)安全敲響警鐘

■ 文/Sophia

烏克蘭電網(wǎng)遭黑客入侵工控網(wǎng)絡(luò)安全敲響警鐘

■ 文/Sophia

網(wǎng)絡(luò)攻擊的日益猖獗，工控系統(tǒng)網(wǎng)絡(luò)面臨著越來越多的安全威脅，前不久爆出的烏克蘭電力系統(tǒng)被黑事件，再次給全球工控行業(yè)敲響了警鐘。

最初的工業(yè)控制系統(tǒng)采用專門的硬件和軟件來運(yùn)行專有的控制協(xié)議，而且由于是孤立的系統(tǒng)，不太容易受到外部的攻擊。

此前，烏克蘭電力公司網(wǎng)絡(luò)系統(tǒng)遭到黑客攻擊的事件在全球網(wǎng)安圈引起軒然大波，攻擊直接導(dǎo)致烏克蘭西部地區(qū)大規(guī)模停電。停電區(qū)域包括該地區(qū)首府伊萬諾-弗蘭科夫斯克，這座城市有140萬居民。烏克蘭西部電力公司表示，停電是因?yàn)楣た叵到y(tǒng)受到干擾而停電。烏克蘭國家安全局譴責(zé)俄羅斯黑客應(yīng)對(duì)此次事件負(fù)責(zé)，俄羅斯方面則未對(duì)此置評(píng)。

這是有史以來首次導(dǎo)致停電的網(wǎng)絡(luò)攻擊。但這并不是第一起針對(duì)工控行業(yè)的黑客攻擊，當(dāng)年席卷全球工業(yè)界的震網(wǎng)病毒曾讓伊朗的核工業(yè)倒退十年，雖然近幾年看似平靜，但以此次惡性事件為引子，針對(duì)工控行業(yè)的黑客攻擊很可能卷土重來。

事后，烏克蘭計(jì)算機(jī)緊急響應(yīng)小組稱其正在針對(duì)此次停電進(jìn)行調(diào)查，并發(fā)現(xiàn)黑客在此期間獲得了對(duì)發(fā)電系統(tǒng)的遠(yuǎn)程接入能力。該小組同時(shí)稱，BlackEnergy間諜木馬與KillDisk惡意軟件都在被入侵能源供應(yīng)商的受感染系統(tǒng)當(dāng)中出現(xiàn)。

iSight Partners網(wǎng) 絡(luò) 間 諜情報(bào)負(fù)責(zé)人約翰·胡爾特奎斯特表示，這是網(wǎng)絡(luò)安全行業(yè)首次目睹導(dǎo)致停電的網(wǎng)絡(luò)攻擊。iSight Partners是一家位于美國的安全威脅情報(bào)公司。胡爾特奎斯特表示，這起攻擊所用的惡意軟件名為BlackEnergy，攻擊者應(yīng)是被稱為“沙蟲”的俄羅斯黑客組織，他們先前曾攻陷過美國和歐洲的電力供應(yīng)商。BlackEnergy于2014年出現(xiàn)在西方世界，人們以為這款惡意軟件已從目標(biāo)網(wǎng)絡(luò)中被清除。

工控安全再度被關(guān)注

國際上，關(guān)于工控安全的關(guān)注早已出現(xiàn)。2004年發(fā)布的一份專門面向美國國會(huì)的研究服務(wù)報(bào)告當(dāng)中，工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全專家Joe Weiss提出了多項(xiàng)警告，指出整個(gè)行業(yè)迫切需要制定并實(shí)施“防火墻、入侵檢測(cè)以及加密等技術(shù)方案”，從而對(duì)控制系統(tǒng)進(jìn)行保護(hù)。此類系統(tǒng)被用于眾多工業(yè)環(huán)境，包括能源生產(chǎn)、化工車間、火車網(wǎng)絡(luò)乃至飛機(jī)內(nèi)部等等。

然而在十幾年之后，Weiss提出的這些議案依然沒能得到有效執(zhí)行；整個(gè)行業(yè)也在繼續(xù)構(gòu)建、部署并依賴于那些仍舊易被攻擊者們所遠(yuǎn)程突破的系統(tǒng)方案。他強(qiáng)調(diào)稱，“真正的問題在于，為什么人們?cè)诠I(yè)基礎(chǔ)設(shè)施領(lǐng)域總是疏于防備網(wǎng)絡(luò)威脅？”

將遠(yuǎn)程控制能力納入此類系統(tǒng)也沒能有效提升安全性水平，美國國土安全部網(wǎng)絡(luò)安全前副部長兼數(shù)據(jù)安全企業(yè)vArmour公司首席網(wǎng)絡(luò)安全戰(zhàn)略師Mark Weatherford指出，“仍然有大量控制系統(tǒng)接入到互聯(lián)網(wǎng)當(dāng)中。”他敦促各位采用互聯(lián)網(wǎng)接入型ICS方案的運(yùn)營人員“至少應(yīng)當(dāng)對(duì)攻擊路徑進(jìn)行監(jiān)控，從而了解還有哪些被遺漏的危險(xiǎn)因素”，同時(shí)對(duì)如何在遭遇攻擊時(shí)搶先一步做出響應(yīng)并進(jìn)行規(guī)劃。

近日，美國國土安全部下屬的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)緊急響應(yīng)小組（ICS-CERT）聲稱也監(jiān)測(cè)到相應(yīng)的惡意攻擊，因此對(duì)相關(guān)企業(yè)發(fā)出了警告，未來針對(duì)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)的攻擊事件將更為嚴(yán)重，相關(guān)部門或企業(yè)應(yīng)隨時(shí)做好充足的網(wǎng)絡(luò)防護(hù)預(yù)案。據(jù)ICS-CERT的官員透露，早在2014年該BlackEnergy3惡意軟件就曾感染過美國運(yùn)營商的一些關(guān)鍵基礎(chǔ)設(shè)施，并有向電廠運(yùn)營部門、電力設(shè)施建設(shè)公司、工控材料供應(yīng)商和制造商，以及能源部門的投資者等進(jìn)一步滲透的跡象。

工控系統(tǒng)安全問題面臨挑戰(zhàn)

工業(yè)4.0時(shí)代，智能制造，智慧城市的迅速發(fā)展，網(wǎng)絡(luò)極大促進(jìn)了全球科技的發(fā)展。對(duì)于潛伏在暗處的“黑客攻擊”等網(wǎng)絡(luò)威脅，更需謹(jǐn)慎防范。此前的克里米亞和烏克蘭的這兩次停電事故是否有聯(lián)系，折射出目前錯(cuò)綜復(fù)雜的國際形勢(shì)，在此我們不做分析，但停電事故中所暴露出的工業(yè)控制系統(tǒng)的安全問題，則足以給予我們警示。

工業(yè)4.0時(shí)代，智能制造，智慧城市的迅速發(fā)展，網(wǎng)絡(luò)極大促進(jìn)了全球科技的發(fā)展。對(duì)于潛伏在暗處的“黑客攻擊”等網(wǎng)絡(luò)威脅，更需謹(jǐn)慎防范。

工業(yè)控制系統(tǒng)是幾種類型控制系統(tǒng)的總稱，包括監(jiān)控和數(shù)據(jù)采集系統(tǒng)、分布式控制系統(tǒng)和其它控制系統(tǒng)如可編程邏輯控制器、遠(yuǎn)程終端、智能電子設(shè)備等，以及確保各組件通信的接口技術(shù)。工業(yè)控制系統(tǒng)普遍應(yīng)用在電力、石油天然氣、自來水和污水處理、化工、交通運(yùn)輸、造紙等行業(yè)，是工業(yè)基礎(chǔ)設(shè)施能夠正常運(yùn)作的關(guān)鍵。

最初的工業(yè)控制系統(tǒng)采用專門的硬件和軟件來運(yùn)行專有的控制協(xié)議，而且由于是孤立的系統(tǒng)，不太容易受到外部的攻擊。隨著信息技術(shù)的發(fā)展，通用的計(jì)算機(jī)、操作系統(tǒng)和網(wǎng)絡(luò)協(xié)議在工業(yè)控制系統(tǒng)中得到了廣泛應(yīng)用，大大增加了網(wǎng)絡(luò)安全漏洞和事故出現(xiàn)的可能。另外，工業(yè)控制系統(tǒng)也開始與企業(yè)管理網(wǎng)絡(luò)、生產(chǎn)監(jiān)控網(wǎng)絡(luò)互聯(lián)互通，而這些網(wǎng)絡(luò)本身又具備相當(dāng)?shù)拈_放性，甚至存在同互聯(lián)網(wǎng)的接口，這為信息系統(tǒng)的安全威脅向生產(chǎn)系統(tǒng)擴(kuò)散提供了便利條件。可以說，傳統(tǒng)的IT系統(tǒng)所面臨的信息安全風(fēng)險(xiǎn)，在工業(yè)控制系統(tǒng)中都是存在的，而且工業(yè)控制系統(tǒng)直接同生產(chǎn)設(shè)備交互，決定了其安全性還存在自己的特點(diǎn)。

工業(yè)控制系統(tǒng)中存在比較多的工業(yè)控制協(xié)議。絕大多數(shù)工控協(xié)議在設(shè)計(jì)之初，僅關(guān)注效率、實(shí)時(shí)性和可靠性以滿足工業(yè)生產(chǎn)的需求，而忽視了安全性的需求，缺少諸如認(rèn)證、授權(quán)和加密等安全機(jī)制，這使得工業(yè)控制協(xié)議更容易遭受第三者的竊聽及欺騙性攻擊。而通用IT安全產(chǎn)品，比如防火墻、IDS等，對(duì)于工業(yè)控制協(xié)議的識(shí)別和檢測(cè)是不夠的，比如對(duì)Modbus、OPC、DNP3等協(xié)議字段級(jí)別的識(shí)別和防護(hù)。在工業(yè)控制系統(tǒng)中，還需采用支持工業(yè)控制協(xié)議的專用安全產(chǎn)品來彌補(bǔ)通用安全技術(shù)的不足，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)邊界的完全保護(hù)。

有關(guān)材料顯示，黑客組織 2007年 BlackEnergy就 開始在俄羅斯的地下網(wǎng)絡(luò)中流通，最初它被設(shè)計(jì)為一個(gè)能夠進(jìn)行DDoS攻擊的僵尸網(wǎng)絡(luò)工具，隨著時(shí)間的推移，該惡意軟件已經(jīng)演變?yōu)榭梢灾С指鞣N插件，并且基于攻擊的意圖進(jìn)行組合以提供必要的功能。在2008年格魯吉亞沖突期間，BlackEnergy曾被用來對(duì)格魯吉亞實(shí)施網(wǎng)絡(luò)攻擊。從暴露的樣本來看，此次攻擊樣本開始于一個(gè)xls文檔，通過與控制端的交互產(chǎn)生了后續(xù)的BlackEnergy，再通過BlackEnergy釋放出破壞性的KillDisk插件和SSH后門程序來破壞受感染系統(tǒng)，致使其無法恢復(fù)。烏克蘭電力系統(tǒng)不得不使用備份系統(tǒng)，大大延長了電力系統(tǒng)恢復(fù)運(yùn)行的時(shí)間。

行業(yè)專家表示，針對(duì)此類攻擊，一方面需要強(qiáng)化對(duì)電力專用網(wǎng)絡(luò)的隔離和監(jiān)控，BlackEnergy運(yùn)轉(zhuǎn)的前提是內(nèi)網(wǎng)同CC服務(wù)器的交互，根據(jù)我國的電力系統(tǒng)二次防護(hù)規(guī)定，電力調(diào)度數(shù)據(jù)網(wǎng)應(yīng)當(dāng)在專用通道上使用獨(dú)立的網(wǎng)絡(luò)設(shè)備組網(wǎng)，在物理層面上實(shí)現(xiàn)與電力企業(yè)其他數(shù)據(jù)網(wǎng)及外部公共信息網(wǎng)的安全隔離。如果真正實(shí)現(xiàn)了物理隔離，那么通過網(wǎng)絡(luò)途徑是無法侵入調(diào)度系統(tǒng)的。另一方面需要對(duì)調(diào)度網(wǎng)內(nèi)部的網(wǎng)絡(luò)訪問加強(qiáng)防護(hù)，比如對(duì)SCADA系統(tǒng)、EMS系統(tǒng)的準(zhǔn)入控制，除了傳統(tǒng)的IT防護(hù)手段，必然還需要通過部署專業(yè)的工業(yè)控制防護(hù)產(chǎn)品來加強(qiáng)。