工業控制系統攻擊五大經驗教訓
工業控制系統攻擊越來越頻繁,但了無新意。
假設現在是1903年,你站在波爾杜(英國康沃爾郡)偏遠半島崖邊的一家大旅社前。盡管旅社旁矗立著巨大的天線,還有大型風箏不時將天線帶得更高,但你可能不會意識到自己面前是歷史性無線電報通信的地點,或者說,首位無線網絡攻擊受害者的傷心地。古列爾莫·馬可尼(Guglielmo Marconi),一位被譽為無線電發明家和無線傳輸之父的意大利人,正準備無線傳輸電報消息到300英里外的倫敦皇家科學院。在馬可尼開始發送電報前,接收裝置發出了來自另一更強無線電信號的莫斯電碼信號:
“老鼠……老鼠……老鼠……老鼠。”
很快,針對馬可尼的惡言接踵而至。原來,一家有線電報公司聘請了英國魔術師、無線電愛好者內維爾·馬斯克林(Nevil Maskelyne)破壞馬可尼的演示,想要證明開放無線電通信不是“安全和私密”的信道。
美國能源部的《工業控制系統網絡事件歷史》報告顯示,這是歷史上有記錄的對工業控制系統(ICS)最早的攻擊之一。盡管當時無線電報尚未完全“工業化”,但這一事件仍然表明了社會仰賴的關鍵ICS所引入的潛在風險。
ICS是控制電廠、水廠、燃氣設施、通信基礎設施和制造業等工業技術運營的計算機,有時候是相當專業化的專用計算機。ICS還包括監視控制與數據采集(SCADA)系統,此類系統是遠程監控ICS運營技術(OT)的計算機。
雖然ICS設備通常非常專業化,但折磨傳統計算機的軟件和硬件漏洞同樣會侵襲ICS設備。長期以來,安全專家一直提醒企業注意黑客也會攻擊ICS,而近期Colonial Pipeline勒索軟件攻擊之類的事件證明了這一點(WatchGuard等很多技術觀察者多年前就預測了這一情況)。更令人擔憂的是,過去五年間,ICS攻擊頻頻得手,攻擊后果也愈趨嚴重。
不過,我們可以保護這些系統,尤其是在我們吸取歷史經驗教訓的情況下。下面我們就列出從以往ICS攻擊中可以學到的五大重要安全經驗:
1. 惡意內部人甚至能威脅到最安全的系統
2008年,澳大利亞昆士蘭馬魯奇供水服務公司(MWS)開始遭遇污水泵,造成上百萬加侖未處理廢水意外排放。故障發生時沒有任何警報發出。最終調查發現,是一名心懷不滿的承包商盜走了計算機和無線電設備,通過故意破壞這些污水泵來發泄自己沒有得到長期職位的憤懣之情。
保護自身免遭惡意內部人的侵害并不容易,但設置強大的資產管理控制措施和快速撤銷前雇員權限的過程能夠有所幫助。此外,這次攻擊也讓MWS意識到了其設備的無線通信沒有加密。如果想使用可公開訪問的通信媒介,就必須做好加密保護。
2. 秘而不宣和物理隔離不等同于無法滲透的安全
2010年,伊朗核設施遭受的震網攻擊打開了國家支持的ICS網絡攻擊的潘多拉魔盒。這一復雜攻擊導致伊朗濃縮鈾離心機瘋狂旋轉,最終碎裂。攻擊中用到了利用四個零日漏洞的超先進惡意軟件、針對專用設備的史上首個可編程邏輯控制器(PLC)rootkit,甚至還有所謂的雙面間諜攜惡意軟件突破物理隔離。
若說能從震網事件中學到什么,那就是:投入足夠的時間、金錢、意志,即使最安全的設施也可以突破。如果要保護的是關鍵系統,就得設置非常先進的安全控制措施和規程,抵擋黑客國家隊奇計百出的不斷攻擊。
3. 小心魚叉式網絡釣魚
據稱,2014到2015年間,俄羅斯黑客通過魚叉式網絡釣魚(內置誘餌Word文檔)將BlackEnergy惡意軟件安裝到烏克蘭電力公司的計算機上。該惡意軟件使黑客得以中斷近25萬烏克蘭的電力供應長達六小時。(同樣的事件在2016年再次出現,用的是CRASHOVERRIDE惡意軟件。)這還只是始于魚叉式網絡釣魚的眾多ICS攻擊的案例之一,其他案例還包括2012年Shamoon數據刪除惡意軟件、2012年美國天然氣管道攻擊和2014年德國鋼鐵廠黑客事件。
經驗教訓非常明顯:魚叉式網絡釣魚是ICS攻擊中極其常用的戰術。一定要經常就如何識別和避免魚叉式網絡釣魚郵件做好員工培訓。
4. 數字攻擊可導致物理傷害和死亡
2017年,專家在調查一家沙特阿拉伯石油化工廠的系統故障時發現了非常專業的ICS惡意軟件。該惡意軟件旨在關停緊急停機與安全系統,造成物理破壞。業界普遍認為TRITON是意在造成人員傷亡的首個網絡攻擊。
保護ICS系統之所以那么重要,不僅僅是因為我們需要這些系統所提供的服務,還出于對我們人身安全的考量。
5. ICS易遭遇索軟件破壞
從以往事例來看,ICS攻擊似乎屬于黑客國家隊和恐怖主義黑客的“業務”范疇,但如今,網絡罪犯也加入了發起ICS攻擊的行列。比如,全球鋁業巨頭 Norsk Hydro 遭遇勒索軟件感染,導致其關閉部分產品線并恢復到手動過程。此類事件就生動驗證了2019年的ICS預測。至于更近期的事件,參考Colonial Pipeline遭遇的勒索軟件攻擊。
盡管這些事件的根源各不相同,但表明了網絡罪犯的技術現在足以攻破ICS公司,而ICS是個不錯的勒索目標。同時,這也反映出2020年的ICS運營技術很大程度上形同虛設。若要經營ICS公司,最好配備詳細的業務連續性計劃和災難恢復計劃,從而在遭遇勒索軟件攻擊之類的災難時能夠快速恢復服務。
以上只是我們從幾次ICS網絡攻擊中得到的幾條教訓。還有很多其他經驗教訓,且同樣的案例似乎會在未來更加頻繁地出現。
