1月23日,2016达沃斯论坛在瑞士南部小镇达沃斯闭幕。虽闭幕,却余音犹在。作为全球经济发展的风向标,小镇从不乏关注。今年,达沃斯奏响了拥抱第四次工业革命的强音。
对于第四次工业革命,主要工业国家称呼不一,其实质殊途同归,即是将网络的聚合效应在工业领域最大化,打通工业的横、纵二脉,通过实现横向、纵向、端到端的集成,使工业完成从自动化向智能化、高度集成化、高度网络化的转型。
网络是第四次工业变革的基础,而高度网络化是本轮变革的独特要素和重要推动力。从目前趋势看,未来一段时间内工业的复兴将成为全球经济的主旋律,而不断完善其设备、系统的安全性,构筑安全体系无疑将为工业复兴增添砝码。
在过去的2015年里,世界范围内工控系统网络安全几度喧嚣尘上,尤其是近期乌克兰电网遭受BlackEnergy恶意攻击一事。无论国内,还是国外,爆出的工控安全事件都让我们深切的感受到危险就在不远处虎视眈眈。
从事件看网络安全防线的构筑
在切身感受工控网络安全威胁之后,难免会思量:面对高频率发生、高风险的网络攻击事件,我们该如何助力企业构筑网络安全防线,如何防微杜渐?
我们梳理了过往一年中,具有代表意义的工控网络攻击事件,并对其进行一定程度的分析,希望它们能够为广大用户构筑网络安全防线提供借鉴。
一、内鬼作祟,中石化SCADA系统连遭攻击
事件:2015年5月23日,上海市奉贤区人民法院宣判了一起破坏SCADA系统的案件。涉案人员徐某、王某以谋取维修费用为目的,由徐某针对中石化华东公司SCADA系统开发了一套病毒程序,王某利用工作之便,将此病毒程序植入到华东公司SCADA系统的服务器中,导致SCADA系统无法正常运行,软件公司先后安排十余名中外专家均无法解决问题。此时,两名嫌疑人再里应外合,由公司内部的王某推荐开发病毒程序的徐某前来“维修”,骗取高额维修费用,实现非法牟利。
点评:此次事件,充分暴露出工控现场信息安全管理制度、防护措施的严重缺乏,相关工作人员安全技术水平、防范意识不足等一系列问题。
措施:为了杜绝类似事件的发生,不仅要加强人员管理,还应在技术上进行积极防御。如在工控主机中部署工控卫士,对工控上位机与工控服务器进行全面的安全防护,监控工控主机的进程状态、网络端口状态、USB端口状态,以白名单的技术方式,全方位的保护主机的资源使用,使恶意软件无所遁形,自然也就不会发生上述案例中的事件。
二、海康威视,“黑天鹅”安全门事件
事件:2015年3月,国内著名网络摄像头生产制造企业海康威视遭遇“黑天鹅”安全门事件,监控设备存在严重安全隐患,部分设备已被境外IP地址控制。
点评:此次事件,凸显了安防行业乃至整个工控行业面临的严峻的信息安全挑战。相关工作人员的安全意识亟待提升,整个行业的信息安全技术水平亦需要全方位的改善和提高。
技术分析:海康威视安防监控设备主要存在以下三个方面安全风险:
(1) 容易被黑客在线扫描发现。
黑客至少可以通过3种方式探索发现海康威视安防监控产品:通过百度、Google等网页搜索引擎检索海康威视产品后台URL地址,通过Shodan等主机搜索引擎检索海康威视产品HTTP/Telnet等传统网络服务端口关键指纹信息,通过自主研发的在线监测平台向海康威视产品私有视频通讯端口发送特定指令获取设备详细信息。
(2) 弱口令问题普遍存在,易被远程利用。
据监测统计,有超过60%的海康威视产品的root口令和web登陆口令均为默认口令。
(3) 产品自身存在安全漏洞。
海康威视产品在处理RTSP协议(实时流传输协议)请求时缓冲区大小设置不当,被攻击后可导致缓冲区溢出甚至被执行任意代码。
措施:海康威视的安全门事件值得深思,如何才能有效保护设备安全?安全监管平台能够很好的解决这个问题,具有如下功能。
l 安全终端管理:统一控制配置、管理安全终端,对安全终端部署安全规则,监测终端所在网络的通信流量与安全事件。
l 源头事件追踪:对于保护终端所产生的安全事件和平台系统事件进行行为关联性追踪,找到引起当前结果事件的源头事件,为分析从源头事件到结果事件的整个过程提供依据。
l 基准行为审计:建立工业控制网络日常行为基准,对当前网络的异常行为做实时动态的行为审计,找到控制网内符合协议规范,但不符合企业日常生产规律的隐秘异常的行为,帮助发现内部误操作,内部攻击等不易发现的安全威胁。
l 网络拓扑管理:专业的工业控制网络拓扑构建和管理工具,提供丰富的资产信息展示功能,同时关联多种安全分析工具,呈现丰富的功能视图,对拓扑管理进行颠覆式的功能改进,帮助用户最大化的了解自身工业控制网络。
l 系统入侵检测:对网络的当前和历史行为与事件进行工业控制安全入侵分析、检测与发现,发现HaveX、Sand-Worm、Stuxnet等APT攻击和工业病毒的入侵痕迹,提供对应的防护修护策略。
三、波兰航空,地面操作系统被黑
事件:2015年6月21日,波兰航空公司的地面操作系统遭黑客攻击,致使出现长达5小时的系统瘫痪,至少10个班次的航班被迫取消,超过1400名旅客滞留在华沙弗雷德里克·肖邦机场。
点评:这是全球首次发生航空公司操作系统被黑的情况。幸运的是,这次黑客攻击只侵入了地面操作系统中的航班出港系统,未造成进一步的严重损害。但也证明,黑客已经具备入侵航空核心系统的技术能力,严重威胁大众的出行安全。
措施:安全出行极其重要,对于危险我们要提早发现才能有效响应。监测审计平台能够帮助运营商更好的把握工控系统动态,它具有:
l 实时网络监测:对工控网络数据、工控设备间的网络流量监测进行实时监测、实时告警,帮助用户实时掌握工业控制网络运行状况。
l 网络安全审计:对网络中存在的所有活动提供行为审计、内容审计,生成完整记录便于事件追溯。
l 工控异常行为审计:基于工业协议的深度包解析白名单和黑名单的工控异常行为审计,协助用户发现网络中存在的违规下发的控制操作。
l 未知设备接入监测:对工业控制网内未知的设备接入进行实时告警,迅速发现网络中存在的非法接入。
四、乌电,网络攻击致百万人口面临黑暗
事件:2015年12月23日,乌克兰伊万诺-弗兰科夫斯克地区大约有一半的家庭(受影响的人口数量约为一百四十万)遭受了停电的困扰,且整个停电事件持续了数小时之久。这是乌克兰有史以来首次导致停电的网络攻击。停电事故发生之后,安全公司 iSight Partners 宣布已经取得了造成大停电的恶意程序代码,过去从来未曾有黑客攻击造成电网大规模停电的纪录。
点评:乌电事件,说明了黑客技术可以破坏电网的工业控制系统。从国际形势来看,“代码即武器”或不再是空谈。
措施:保护电力系统迫在眉睫,这里给出两点建议:
(1)部署工控安全防护设备
制定适合电力系统工控环境的安全解决方案,部署工控安全防护设备。利用智能机器学习技术来描述工控环境的流量模型,并根据流量模型检测异常的入侵行为;利用专业的工控恶意软件特征库,识别并阻断BlackEnergy等恶意软件的入侵。
(2)威胁态势感知平台对接入互联网的工控设备进行安全整改
结合威胁态势感知平台,探测出国内接入互联网的工控系统、工控设备,找到这些工控系统或设备的弱点进行安全整改。
以上,是2015年披露出的具有代表性的工控网络安全事件。鉴于工控系统在基础设施领域的重要性,更多的工控安全事件选择了秘而不宣。事实上,宣与不宣,工控安全早已不再是雾里花水中月。工控安全无小事。我们当携手捍卫工控网络安全,保障关键基础设施安全。
长按,识别二维码,加关注