目前SCADA设备的风险与威胁越来越普遍。其中，很多风险与使用HMI(人机界面)和数据存储有关。HMI在使用中会受到传统网络应用缺陷的威胁，例如SQL注入攻击和跨网站脚本（XSS）bugs等。HMI也会受到传统服务器端漏洞的影响。比如，对于Windows Server 2003操作系统，攻击者可以通过定位漏洞程序探寻到HMI。HMI威胁会经由不安全的边界网络（DMZ）或商业网络，入侵安全的SCADA环境。例如，为家庭供暖的温控器，一般会设定温度上限和温度下限，一旦环境温度低于温度下限，暖气就会自动开启；入侵HMI就可以打开与安全区域的通讯，篡改设定值。

    数据存储主要用于记录工业过程中的历史信息和趋势以供未来参考。数据存储作为中央数据库，记录了ICS环境中所有的过程信息。如果攻击者接触到位于DMZ或商业网络的数据存储，就有可能获得进入多个安全系统的权限（如读/读写等）。从过程/命令中的历史数据到统计数据，攻击者可以获得大量的信息数据。某些环境下，若攻击者入侵数据存储，他可以通过中间人（MiTM）命令篡改发送给可编程逻辑控制（PLC）设备的运行指令。

    目前已知的ICS攻击事件有：2000年澳大利亚马芦奇污水处理厂被前雇员攻击事件；2003年美国俄亥俄州核电站系统遭Slammer蠕虫攻击发生瘫痪事件；2008年波兰罗兹市黑客导致火车脱轨事件；2009年美国加州交通信号系统受攻击事件；2013年南韩银行和广播服务被中断事件等。还有很多未被公布的ICS攻击以及尚未被发现的ICS攻击事件，比如，有时发生设备故障后，由于不了解网络攻击，工程师只是更换相关零件，并没有对故障原因进行调查等。

一、 ICS攻击者的常用手段

    传统的ICS结构中并没有设置安全设备或相关协议，所以很容易受到外部攻击。那么“到底谁在攻击你的ICS设备”？为了诱捕目标攻击，美国最早在ICS环境中进行了蜜罐部署，用于模拟部分或全部ICS设备；为适应全球发展，又对蜜罐结构进行了创新，即将除开HMI设备外的模块都独立运行在逻辑分离的虚拟机上；并将部署在不同地理位置的蜜罐连接成相互独立的蜜罐网络。目前蜜罐网络涵盖了8个国家共12台蜜罐；其中，中国2个，日本1个，俄罗斯3个等。

    从蜜罐网络诱捕到的攻击信息中发现，攻击者通常会在 ShodanHQ 网站上搜索特定的词条来侦测ICS设备，如“SCADA”，“Modbus”，“Simatic+HMI”，“Simatic+S7”和“HMI”等。然后，攻击者会进行大量地端口扫描，以确定ICS设备的地点。另外，他们还会通过公共的文字分享平台如Pastebin和Pastie等来进行侦测。

    观察发现，很多攻击者不仅对目标IP地址进行侦测，他们也会对设备所在的网区进行侦测，并对周边子网络进行端口扫描。攻击者可以通过指纹识别或其他身份验证方式确定操作系统，并找到系统漏洞。一旦成功入侵相关设备，70%会持续不断地攻击并采取后续行动，包括泄露相关数据等。

二、 到底谁在攻击ICS设备

    数据表明，2013年3月至6月间，蜜罐网络中总共有7台蜜罐遭受到来自俄罗斯、德国、美国等16个国家共74次的攻击。此外，还有11次“危险”攻击，即虽然是无目的攻击，但会导致ICS设备灾难性的瘫痪。同样，还有很多“非危险”攻击，虽不会对ICS设备造成灾难性影响，但如果持续发生的话，也会带来严重后果,如企图读/写PLC或SCADA设备等。

    其中，日本蜜罐受到的攻击最引人注目。攻击者在ShosanHQ 搜索中输入“SCADA country：Japan”进行查询，根据运行结果，确定到蜜罐的IP地址，并进行了2次远程端口扫描。第一次是对首1024个端口扫描，他们经常先扫描这些他们认为的常规端口。在发现端口502（如Modbus端口）是开放的之后，他们又对所有65,535个端口进行了扫描。但是，他们并没有采用相对隐蔽、不易发觉的“慢扫描”方式，而是一次性扫描了所有端口，所以就引起了注意。攻击者扫描目标设备端口后，继而图谋入侵HMI（该HMI已设有缺省用户名和密码的安全防护）；他们似乎只是手动尝试了几次用户名和密码后，就成功进入到HMI安全区域。然后，他们一边尝试登陆Windows Server 2003，一边企图读取和修改Modbus通讯。读取Modbus通讯失败之后，攻击者快速转去修改蜜罐HMI的设定值；他们在修改了泵腔压力值和水温值，并预设了水泵的关闭时间后，即刻退出系统，停止了一切与蜜罐/Windows服务器的相关活动。

    另外，蜜罐网络记录中除了有目标攻击，还有多达33,466次的自动攻击，如SQL注入攻击等。

三、 攻击ICS设备的目的

    虽然蜜罐网络捕获了大量的攻击企图，但却很难判定攻击者的动机。目前主要根据攻击来源国来评估他们的动机。例如，A国如果有意拷贝B国的ICS设备技术的话，那么就会认此为A国攻击的动机。另外，还要结合攻击的影响来判定。如果目标攻击并没有侵害ICS设备，那么攻击者有可能只是进行间谍或信息收集活动。如果目标攻击侵害了ICS设备，那么可以根据受影响程度来判定其背后动机是否为蓄意破坏。

    根据蜜罐网络在2012年12月至2013年5月15日期间捕获的攻击数据，可以肯定，至少15次目标攻击是为了收集信息、监视目标或侵害目标运行；至少33次攻击是破坏性的，意图中止目标ICS设备的运行。

    由此可见工控系统的网络安全形势不容乐观。那么，怎样才能保障ICS网络安全，怎样才能保障生产系统的持续运行，怎样才能保障国家安全，这些都是当前急需解决的问题。谷神星工控安全整体方案可为工控系统提供全方位、多层次的深度防护，确保国家基础设施和重要生产设施的安全运行。