目前SCADA设备的风险与威胁越来越普遍。其中,很多风险与使用HMI(人机界面)和数据存储有关。HMI在使用中会受到传统网络应用缺陷的威胁,例如SQL注入攻击和跨网站脚本(XSS)bugs等。HMI也会受到传统服务器端漏洞的影响。比如,对于Windows Server 2003操作系统,攻击者可以通过定位漏洞程序探寻到HMI。HMI威胁会经由不安全的边界网络(DMZ)或商业网络,入侵安全的SCADA环境。例如,为家庭供暖的温控器,一般会设定温度上限和温度下限,一旦环境温度低于温度下限,暖气就会自动开启;入侵HMI就可以打开与安全区域的通讯,篡改设定值。
数据存储主要用于记录工业过程中的历史信息和趋势以供未来参考。数据存储作为中央数据库,记录了ICS环境中所有的过程信息。如果攻击者接触到位于DMZ或商业网络的数据存储,就有可能获得进入多个安全系统的权限(如读/读写等)。从过程/命令中的历史数据到统计数据,攻击者可以获得大量的信息数据。某些环境下,若攻击者入侵数据存储,他可以通过中间人(MiTM)命令篡改发送给可编程逻辑控制(PLC)设备的运行指令。
目前已知的ICS攻击事件有:2000年澳大利亚马芦奇污水处理厂被前雇员攻击事件;2003年美国俄亥俄州核电站系统遭Slammer蠕虫攻击发生瘫痪事件;2008年波兰罗兹市黑客导致火车脱轨事件;2009年美国加州交通信号系统受攻击事件;2013年南韩银行和广播服务被中断事件等。还有很多未被公布的ICS攻击以及尚未被发现的ICS攻击事件,比如,有时发生设备故障后,由于不了解网络攻击,工程师只是更换相关零件,并没有对故障原因进行调查等。
一、 ICS攻击者的常用手段
传统的ICS结构中并没有设置安全设备或相关协议,所以很容易受到外部攻击。那么“到底谁在攻击你的ICS设备”?为了诱捕目标攻击,美国最早在ICS环境中进行了蜜罐部署,用于模拟部分或全部ICS设备;为适应全球发展,又对蜜罐结构进行了创新,即将除开HMI设备外的模块都独立运行在逻辑分离的虚拟机上;并将部署在不同地理位置的蜜罐连接成相互独立的蜜罐网络。目前蜜罐网络涵盖了8个国家共12台蜜罐;其中,中国2个,日本1个,俄罗斯3个等。
从蜜罐网络诱捕到的攻击信息中发现,攻击者通常会在 ShodanHQ 网站上搜索特定的词条来侦测ICS设备,如“SCADA”,“Modbus”,“Simatic+HMI”,“Simatic+S7”和“HMI”等。然后,攻击者会进行大量地端口扫描,以确定ICS设备的地点。另外,他们还会通过公共的文字分享平台如Pastebin和Pastie等来进行侦测。
观察发现,很多攻击者不仅对目标IP地址进行侦测,他们也会对设备所在的网区进行侦测,并对周边子网络进行端口扫描。攻击者可以通过指纹识别或其他身份验证方式确定操作系统,并找到系统漏洞。一旦成功入侵相关设备,70%会持续不断地攻击并采取后续行动,包括泄露相关数据等。
二、 到底谁在攻击ICS设备
数据表明,2013年3月至6月间,蜜罐网络中总共有7台蜜罐遭受到来自俄罗斯、德国、美国等16个国家共74次的攻击。此外,还有11次“危险”攻击,即虽然是无目的攻击,但会导致ICS设备灾难性的瘫痪。同样,还有很多“非危险”攻击,虽不会对ICS设备造成灾难性影响,但如果持续发生的话,也会带来严重后果,如企图读/写PLC或SCADA设备等。
其中,日本蜜罐受到的攻击最引人注目。攻击者在ShosanHQ 搜索中输入“SCADA country:Japan”进行查询,根据运行结果,确定到蜜罐的IP地址,并进行了2次远程端口扫描。第一次是对首1024个端口扫描,他们经常先扫描这些他们认为的常规端口。在发现端口502(如Modbus端口)是开放的之后,他们又对所有65,535个端口进行了扫描。但是,他们并没有采用相对隐蔽、不易发觉的“慢扫描”方式,而是一次性扫描了所有端口,所以就引起了注意。攻击者扫描目标设备端口后,继而图谋入侵HMI(该HMI已设有缺省用户名和密码的安全防护);他们似乎只是手动尝试了几次用户名和密码后,就成功进入到HMI安全区域。然后,他们一边尝试登陆Windows Server 2003,一边企图读取和修改Modbus通讯。读取Modbus通讯失败之后,攻击者快速转去修改蜜罐HMI的设定值;他们在修改了泵腔压力值和水温值,并预设了水泵的关闭时间后,即刻退出系统,停止了一切与蜜罐/Windows服务器的相关活动。
另外,蜜罐网络记录中除了有目标攻击,还有多达33,466次的自动攻击,如SQL注入攻击等。
三、 攻击ICS设备的目的
虽然蜜罐网络捕获了大量的攻击企图,但却很难判定攻击者的动机。目前主要根据攻击来源国来评估他们的动机。例如,A国如果有意拷贝B国的ICS设备技术的话,那么就会认此为A国攻击的动机。另外,还要结合攻击的影响来判定。如果目标攻击并没有侵害ICS设备,那么攻击者有可能只是进行间谍或信息收集活动。如果目标攻击侵害了ICS设备,那么可以根据受影响程度来判定其背后动机是否为蓄意破坏。
根据蜜罐网络在2012年12月至2013年5月15日期间捕获的攻击数据,可以肯定,至少15次目标攻击是为了收集信息、监视目标或侵害目标运行;至少33次攻击是破坏性的,意图中止目标ICS设备的运行。
由此可见工控系统的网络安全形势不容乐观。那么,怎样才能保障ICS网络安全,怎样才能保障生产系统的持续运行,怎样才能保障国家安全,这些都是当前急需解决的问题。谷神星工控安全整体方案可为工控系统提供全方位、多层次的深度防护,确保国家基础设施和重要生产设施的安全运行。