目前,針對(duì)電路傳輸網(wǎng)絡(luò)的網(wǎng)絡(luò)威脅正在急劇升級(jí),尤其是針對(duì)SCADA系統(tǒng)的攻擊行為,變得越來(lái)越普遍。想要抵御每一次“最先進(jìn)”的網(wǎng)絡(luò)攻擊,這幾乎是不可能實(shí)現(xiàn)的,所以“遏制”措施非常重要。
根據(jù)戴爾公司安全部門(mén)的一份最新報(bào)告,針對(duì)數(shù)據(jù)采集與監(jiān)視控制(SCADA)系統(tǒng)的網(wǎng)絡(luò)攻擊活動(dòng)數(shù)量在去年增長(zhǎng)了近一倍,而且相比于2012年,針對(duì) SCADA系統(tǒng)的網(wǎng)絡(luò)攻擊活動(dòng)數(shù)量增長(zhǎng)了近六百個(gè)百分點(diǎn)。盡管這些數(shù)據(jù)是非常驚人的,但另一個(gè)關(guān)鍵的研究成果則更加的令人不安,物理破壞性的攻擊行為也變得越來(lái)越普遍了。實(shí)際上,在去年所有的網(wǎng)絡(luò)安全事件中,有25%的網(wǎng)絡(luò)攻擊是針對(duì)SCADA系統(tǒng)的,這些特定類型的攻擊能夠關(guān)閉工業(yè)系統(tǒng)中的機(jī)械設(shè)備,而且還有可能進(jìn)行破壞設(shè)備物理實(shí)體的操作。據(jù)研究人員推測(cè),此類攻擊在接下來(lái)的幾個(gè)月內(nèi),甚至在今后幾年的時(shí)間中,將會(huì)變的更加的嚴(yán)重。除此之外,美國(guó)將會(huì)成為世界上受此類攻擊影響最嚴(yán)重的第三個(gè)國(guó)家。美國(guó)國(guó)土安全部的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)應(yīng)急響應(yīng)小組(ICS-CERT)也有相似的發(fā)現(xiàn),他們發(fā)現(xiàn)針對(duì)工業(yè)關(guān)鍵基礎(chǔ)設(shè)施的攻擊活動(dòng)正在不斷增長(zhǎng),能源行業(yè)是所有攻擊目標(biāo)中受此類型攻擊影響最為嚴(yán)重的(占所有攻擊活動(dòng)的32%)。而且,拒絕服務(wù)(DoS)攻擊已經(jīng)變成了攻擊者的最愛(ài)了。
為什么這種復(fù)雜的攻擊現(xiàn)在變得越發(fā)的頻繁了?
主要是以下兩個(gè)原因:
首先是黑客,黑客與外國(guó)政府相互勾結(jié),并進(jìn)行有組織的網(wǎng)絡(luò)犯罪。
其次,電力公司是所有群體中最主要的攻擊目標(biāo),考慮到各種政治方面的因素,攻擊者能夠從攻擊中牟取暴利。
所以在接下來(lái)的幾年內(nèi),此類攻擊將會(huì)變得愈加頻繁,產(chǎn)生的后果也將會(huì)變的越來(lái)越嚴(yán)重。
隱蔽攻擊(Stealthier attacks):
電力公司的IT團(tuán)隊(duì)也許對(duì)“網(wǎng)絡(luò)釣魚(yú)”郵件和“僵尸網(wǎng)絡(luò)“最為熟悉了,因?yàn)檫@兩者最容易感染他們的網(wǎng)絡(luò)系統(tǒng)。然而,這些攻擊將會(huì)升級(jí),然后變得更具復(fù)雜性,目的性和隱蔽性。通常情況下,各大組織機(jī)構(gòu)應(yīng)當(dāng)特別注意以下兩類攻擊:“跨站腳本攻擊”和“drive-by攻擊”。這兩種類型的攻擊均會(huì)使用合法的網(wǎng)站去入侵一家公司的內(nèi)部網(wǎng)絡(luò),但我們?cè)谶@里并不會(huì)給大家提供過(guò)多的技術(shù)細(xì)節(jié)。但這是怎么實(shí)現(xiàn)的呢?因?yàn)橐粋€(gè)存在于合法網(wǎng)站(這些網(wǎng)站可以是一個(gè)著名的網(wǎng)站,一個(gè)新網(wǎng)站,也可以是某個(gè)技術(shù)論壇等。)中的漏洞可以允許攻擊者執(zhí)行惡意代碼,還可以在網(wǎng)站中植入惡意軟件,這樣就可以感染任何訪問(wèn)這個(gè)網(wǎng)站的用戶了。“drive-by攻擊”所需的唯一條件就是需要一名公司員工去訪問(wèn)這個(gè)受感染的網(wǎng)站。在跨站腳本攻擊之中,當(dāng)公司員工點(diǎn)擊了電子郵件中附帶的合法鏈接之后,便被成功感染了。
攻擊者也更傾向于攻擊一個(gè)公司員工家里的計(jì)算機(jī)系統(tǒng)。攻擊者可以盜取保存在家用個(gè)人電腦之中的用戶憑證,或者感染一個(gè)可移動(dòng)媒體存儲(chǔ)設(shè)備(例如USB閃存驅(qū)動(dòng)器),因?yàn)檫@名員工很有可能會(huì)將這些設(shè)備帶到他的工作場(chǎng)所。
破壞性惡意軟件(Destructive malware):
惡意軟件也處于不斷地進(jìn)化之中,現(xiàn)在出現(xiàn)了更多破壞性十分強(qiáng)大的惡意軟件,這些惡意軟件是我們?cè)谥皬奈匆?jiàn)到過(guò)的。很多人也許會(huì)對(duì)“震網(wǎng)”這個(gè)名字比較熟悉,這是一個(gè)復(fù)雜的蠕蟲(chóng)病毒,它是世界上首個(gè)專門(mén)針對(duì)工業(yè)控制系統(tǒng)編寫(xiě)的破壞性病毒,目前已經(jīng)感染多個(gè)國(guó)家及地區(qū)的工業(yè)系統(tǒng)和個(gè)人用戶。當(dāng)然,還有很多其他種類的病毒,蠕蟲(chóng)以及木馬也能夠禁用物理設(shè)備的部分功能。其中最重要的兩個(gè)部分是:“wipers”,它可以將一臺(tái)計(jì)算機(jī)或設(shè)備上的所有數(shù)據(jù)全部擦除,從而使得目標(biāo)設(shè)備完全無(wú)法使用;另一個(gè)是”加密型惡意軟件”,它不會(huì)刪除設(shè)備上的數(shù)據(jù),而是采用幾乎無(wú)法破解的加密方法來(lái)將設(shè)備中的數(shù)據(jù)進(jìn)行加密。說(shuō)的通俗一點(diǎn),加密型的惡意軟件其目的就是為了“勒索”用戶。
拒絕服務(wù)(Denial of service):
除了惡意軟件可以破壞工廠的日常運(yùn)作之外,還有大量的web攻擊也能做到同樣的事情。兩種最常見(jiàn)的就是:“緩沖區(qū)溢出”,當(dāng)攻擊者對(duì)網(wǎng)絡(luò)進(jìn)行flood 攻擊時(shí),便會(huì)造成網(wǎng)絡(luò)系統(tǒng)的癱瘓;還有一個(gè)是“分布式拒絕服務(wù)攻擊”,它會(huì)利用大量合理的服務(wù)請(qǐng)求來(lái)占用過(guò)多的服務(wù)資源,從而使合法用戶無(wú)法得到服務(wù)的響應(yīng),進(jìn)而造成系統(tǒng)癱瘓。現(xiàn)在的事實(shí)就是,你的工廠很容易受到這些類型的攻擊,根據(jù)國(guó)土安全部的報(bào)告,研究人員發(fā)現(xiàn)這些漏洞是工業(yè)設(shè)施中最常見(jiàn)的漏洞。
部署有效的防御措施(Developing an effectived efense):
由于這些攻擊將會(huì)變的越來(lái)越復(fù)雜,那么對(duì)于公司的管理人員來(lái)說(shuō),在他們進(jìn)行積極的網(wǎng)絡(luò)防御過(guò)程中,將工作的重心集中到攻擊事件發(fā)生后的損失處理控制措施上才是更加重要的。
如果你想要抵御每一次“最先進(jìn)”的網(wǎng)絡(luò)攻擊,這幾乎是不可能實(shí)現(xiàn)的,所以“遏制”措施也是同等重要的。
可用的防御措施包括對(duì)過(guò)時(shí)的或者未打補(bǔ)丁的系統(tǒng)進(jìn)行安全審計(jì),對(duì)個(gè)人工作站,網(wǎng)絡(luò)服務(wù)器,以及web應(yīng)用程序部署相應(yīng)的反病毒軟件等等。比如說(shuō),你的網(wǎng)絡(luò)中接入了運(yùn)行WindowsXP或者WindowsServer2003操作系統(tǒng)的設(shè)備嗎?你的工業(yè)生產(chǎn)環(huán)境中還需要安裝現(xiàn)代防火墻,惡意軟件檢測(cè)工具,設(shè)置電子郵件白名單,并且設(shè)置能夠主動(dòng)監(jiān)測(cè)可疑網(wǎng)絡(luò)活動(dòng)(例如數(shù)據(jù)泄漏)的防火墻。禁止所有的可移動(dòng)/便攜式媒體存儲(chǔ)設(shè)備進(jìn)入工作場(chǎng)所——這也就意味著,所有的USB閃存驅(qū)動(dòng)器,智能手機(jī),平板電腦等設(shè)備都不允許進(jìn)入工作場(chǎng)所。
發(fā)生安全事件之后的遏制措施也是至關(guān)重要的。你需要確保所有關(guān)鍵的工業(yè)系統(tǒng)都有空氣間隙系統(tǒng)。然后從其它領(lǐng)域的網(wǎng)絡(luò)系統(tǒng)中學(xué)習(xí)如何以最好的方式來(lái)對(duì)網(wǎng)絡(luò)進(jìn)行劃分。網(wǎng)絡(luò)分割是非常關(guān)鍵的,因?yàn)楫?dāng)網(wǎng)絡(luò)中的一臺(tái)計(jì)算機(jī)受到感染的時(shí)候,它就無(wú)法感染整個(gè)網(wǎng)絡(luò)系統(tǒng)了。你也可疑采用一種“訪問(wèn)控制”策略。單一的公司員工不應(yīng)該擁有過(guò)多的訪問(wèn)公司數(shù)據(jù),系統(tǒng),以及關(guān)鍵業(yè)務(wù)的權(quán)限。與此同時(shí),你也需要經(jīng)常查看你工業(yè)系統(tǒng)的程序日志記錄。這是非常重要的,因?yàn)槿魏蔚木W(wǎng)絡(luò)事件都會(huì)被完整地記錄下來(lái),以便于事件響應(yīng)小組去確定攻擊的類型以及攻擊所帶來(lái)的損失程度。
