当前针对工业自动化控制系统(简称工控系统)的攻击正逐步增加,有数据显示在2018年上半年里41.2%的系统至少遭受过一次攻击,高于2017年上半年的36.6%。在笔者看来,目前全球工控系统均身受五大危机的漩涡影响,急需提高警惕。
监测显示工控攻击正在增加
以工控系统为代表的关键基础设施,是确保工业体系正常运转的神经中枢,也是工业领域各生产线稳定运行的根本。可以说,工控安全事关国计民生,一旦遭受恶意攻击、破坏导致功能丧失或数据泄漏,就会严重威胁工业生产有序开展,甚至威胁到公共利益与国家安全。
调查显示针对工控系统的攻击正在增加
事实上,各国工控系统普遍面临着严峻挑战。比如2010年7月攻击伊朗核能设施的震网(Stuxnet)病毒,让数千台离心机超载,造成物理性破坏。2015年12月乌克兰三家电力配送公司遭受网络攻击,225000户民宅在寒冷冬季无电可用,所幸停电只持续了几个小时。2018年4月2日,美国能源公司的天然气管道用户交易系统遭受网络攻击,导致这个系统短暂关闭了几个小时,所幸天然气流量供应是正常的。而更多的攻击仍在全球各地不断上演着。
工控系统面临五大危机
伴随高危安全漏洞不断涌现,网络攻击难度逐渐降低,资产价值高和信息化程度高的工控领域成为恶意软件、网络犯罪、网络间接攻击的主要目标。那么当前的工控系统又面临了哪些危机呢?
危机一,工控攻击通常并不复杂却有效。
与人们想象的高难度攻击不同,一些针对工控系统发起的攻击实际上并不复杂。攻击者仅仅使用PDF文档进行鱼叉式网络钓鱼,或使用木马安装程序进行恶意软件的安装,甚至会提前在一些特定网站设置水坑攻击。但攻击危害性却是影响广泛的。例如2018年上半年被发现的“能量熊”攻击,虽然其瞄准的是美国和欧洲,但该攻击却影响到各类网站、设备制造商、基础设施公司以及政府机构。
为此,工业企业需要提升员工对网络威胁的认识,从网络边界访问和流量控制开始,跟上现代网络安全防护措施,通过删除和阻止不必要的操作来强化工控系统的终端安全。
危机二,与互联网连接的工控系统危机最大。
据调查,引发工控系统安全威胁的主要攻击渠道为互联网、可移动存储介质和邮件客户端,而恶意软件入侵则是最主要的攻击类型。统计显示,2018年上半年,超过27%的攻击来自互联网资源,而2017年同期的攻击中有20.6%来自互联网。
上述结果显然与工控网络被隔离的传统观点相反,在过去几年中,互联网已经成为感染各个工业网络上计算机的主要来源。安全厂商发现,虽然经常遇到通过可移动设备和网络钓鱼电子邮件的攻击,但大多数攻击都从互联网扫描开始,找寻易受攻击的网络,进而建立滩头阵地。
危机三,工控攻击者乐于攻击某些特定地区。
从以往攻击态势来看,工控攻击者更具有目的性,甚至常常和政治经济等背景因素纠缠在一起,所以往往会表现专注于攻击某些特定地区的情况。比如,与北美、西欧和澳大利亚公司相比,亚洲、非洲和拉丁美洲国家的企业遭受攻击的比例要更高。
其中,可移动存储介质仍是重要的安全威胁。与俄罗斯、欧洲和北美相比,亚洲国家、拉丁美洲和中东地区都显示出可移动存储介质感染率更高的迹象。与此同时,虽然通过电子邮件攻击经常是有效的,但并不常见,可能针对此种攻击的防护逐步增强有关。
危机四,工控攻击也乐于从人下手。
对于工控系统来说,人依旧是最大的安全隐患。系统管理员、系统供应商和第三方运维服务人员使用的设备,在开启远程访问或远程运维服务过程中极易被暴露,从而变为遭受网络攻击的跳板。
因此,工控攻击者也更乐于从拥有外部远程访问权限的管理员下手,网络钓鱼攻击也通常瞄准那些特权用户。当然这样的攻击更难以计划和执行,但一旦成功其后果、影响也会是惊人的。
危机五,一些管理者盲目认为工控系统更安全。
据安全厂商调查发现,一些企业高管在对工控系统的安全认知上存在盲目性。在2018年SANS工业物联网安全调查报告中指出,近四分之三的公司对其维护自家的工业物联网安全能力充满了信心。然而,与公司运维部门相比,公司领导层和部门经理对其安全性更持乐观态度。
显然,对此现象工控企业需要提高内部安全问题的透明度,培训员工展开安全运营,并更好地划分网络,从而阻止攻击者在建立滩头阵地后再横向移动的能力。
结语
自从“中国制造2025”发展大计被提出后,我国就开始由“制造大国”向实现“制造强国”一步步前进。为了向全球工业4.0看齐,为了工业发展不受制于人,从传统IT系统延伸出的工控系统,在安全防护上的重要性也日益凸显。然而面对我国在核心芯片、计算软件、关键器件与系统,网络空间安全发展方面上仍有诸多不足,对于解决工控系统所面临的信息安全自然刻不容缓,而究竟如何摆脱上述五大危机,强化工业关键基础设施的保护工作,显然已成为一项重大课题,需被多多关注了。
