關鍵基礎設施會是下一個DDoS目標嗎?
譯文【51CTO.com快譯】上個月針對Dyn發動的大規模分布式拒絕服務(DDoS)攻擊帶來的主要還是不便,雖然備受媒體的關注,但是沒人因此丟命。除了經濟方面外,甚至沒人因此受到損失。
但是這次攻擊勢必讓人猜想這等規模或更嚴重的DDoS對全國關鍵基礎設施的一部分會造成什么樣的破壞,例如攻擊電力基礎設施,一旦沒有電,眾多公司、家庭、急救服務、金融行業和互聯網都將寸步難行。
這一幕已經在比較小的范圍內得到了演示。這個月早些時候,一次DDoS攻擊導致芬蘭東部城市拉彭蘭塔兩處物業的供熱系統癱瘓。
故障只是暫時性的,但是正如地方媒體特別指出,由于溫度在零度以下,“供熱系統長期癱瘓不僅會導致重大危害,還會促使居民需要搬到其他地方。”
另外,在最近一篇題為《物聯網走核武器道路:引發ZigBee連鎖反應》的文章中,研究人員聲稱,他們還使用飛利浦Hue智能燈泡,演示了“一種新型威脅,即鄰近的物聯網設備會通過一種蠕蟲,感染對方,這種蠕蟲會以某種核鏈式反應,在大片地區迅猛蔓延開來。”
研究人員表示,使用燈泡的ZigBee無線連接,攻擊“一開始給在城市任何地方的一只被感染的燈泡接通電源,然后在短短幾分鐘內蔓延到各個地方,造成災難,讓攻擊者能夠開啟或關閉城市的所有燈光,給它們造成永久性的破壞,或者利用它們發動大規模的DDoS攻擊。”
如果這種攻擊還可以被用來長時間摧垮供暖、供水、下水道、交通控制及其他基礎服務,造成混亂和實際破壞的風險就會迅速加大。
作家、知名安全博客寫手兼Resilient Systems公司的首席技術官布魯斯·施奈爾(Bruce Schneier)在最近的一篇文章中寫道:“這些系統里面的安全漏洞可能意味著有人喪生、財產遭到損壞。”
但是DDoS攻擊果真會導致運營或監控全國關鍵基礎設施大部分系統的工業控制系統(ICS)長期癱瘓嗎?
專家們對這個話題眾說紛紜。有些人表示,全國工業控制系統與消費級物聯網設備大不一樣,不容易受到DDoS的攻擊。另一些人表示,那些系統確實與物聯網的一部分有著足夠密切的聯系。
DDoS攻擊不是什么新鮮事――它們存在已經有幾十年,并不被認為有多厲害。它們的工作方式就是,往網站及其他聯網系統發送大量的垃圾流量,這些垃圾流量阻止合法流量正常通行,導致網站不堪重負,這種攻擊還會導致網站崩潰。
讓Dyn攻擊相對前所未有的地方是,它利用了數百萬個“僵尸”物聯網設備,比如“智能”攝像頭和數字錄像機等,而不是利用電腦。就在近至一年前,這次攻擊的規模:1.2Tbps還聞所未聞。現在卻習以為常,預計會迅速提升。
與此同時,全國的關鍵基礎設施仍然極不安全。今年早些時候,美國聯邦調查局(FBI)和國土安全部(DHS)在全國推出了一項活動,提醒美國公用事業公司和廣大民眾提防網絡攻擊導致的危險,比如去年12月份導致烏克蘭電網部分癱瘓的那次網絡攻擊。
今年9月,在馬薩諸塞州坎布里奇的Security of Things論壇上,一群安全專家一致認為,攻擊者(可能來自敵對國家)可能已經潛入在全國的工業控制系統里面。
保羅·丹特(Paul Dant)是Independent Security Evaluators的首席戰略師兼負責人,他在討論會上表示,更多的攻擊在所難免。他說:“以為系統不容易受到攻擊完全很荒謬。”
不過,業界一些人士表示,DDoS不是重大關鍵基礎設施面臨的直接威脅,因為工業控制系統不是像消費級設備那樣是物聯網的一部分。Dragos威脅運營中心的主任本·米勒(Ben Miller)表示,雖然“乍一看,工業控制系統看似類似物聯網設備”,但是“從技術堆棧、使用場合、演進和功能等方面來看,由恒溫器饋入數據的工業控制系統與Nest消費級恒溫器卻大不一樣。”
他說:“工業控制系統流程通常并不依賴基于互聯網的服務。”
埃森哲總經理兼Fusion首席執行官馬特·德沃斯特(Matt Devost)觀點大體一致。他說:“DDoS攻擊對付天生依賴互聯網通信的目標最有效,而工業控制系統/監控和數據采集(ICS/SCADA)環境在設計時根本就沒有這種依賴性。”
據Spirion主管產品戰略的副總裁蓋布·岡布斯(Gabe Gumbs)聲稱:“應該將物聯網嚴格定義為與消費者連接的設備。關鍵基礎設施的大部分聯網,但它不是消費級技術。擁有SCADA系統等設施的企業組織致力于確保安全,這與消費者形成了鮮明對照。”
而Dragos的首席執行官羅伯特·M·李(Robert M. Lee)表示,雖然互聯網上仍有一些工業控制系統資產(“老實說,為數不少”),但是許多工業控制系統并未聯網。“這些設備而是組成一個數據和端點網絡。DDoS那樣的攻擊不會對工業控制系統界的關鍵基礎設施站點構成重大破壞。”
SCADAfence的聯合創始人兼首席技術官尤尼·紹特(Yoni Shohet)表示,工業控制系統“絕對是物聯網的一部分,因為整個行業由物理系統轉型為網絡物理系統。工業環境與外部網絡之間的連接在過去幾年有所加強。這種環境比以往更加暴露在外部攻擊面前。”
Full Spectrum的首席執行官斯圖爾特·坎特(Stewart Kantor)說:“由于我們看到關鍵基礎設施通過公共蜂窩數據網絡上基于IP的通信、連接到智能設備,開始實施自動化工作,它也就成了更廣泛的物聯網的一部分,物聯網同時整合了消費級技術和關鍵任務技術。”
但是他并不完全反對表示工業控制系統不是物聯網一部分的那些人,因為一些公用事業公司通過構建“自己的單獨、專用的物聯網,使用基于專用網絡上的軟件定義無線電技術,這個網絡完全歸公用事業公司自己擁有和運營”,因此脫離了公共互聯網。
坎特補充道,有許多美國公用事業公司,以及行業研究協會和貿易協會(包括電力研究所和公用事業公司技術委員會),它們“支持對現有的無線通信標準進行修正,以便兼顧關鍵基礎設施網絡或所謂的場域網絡(FAN)的可靠性、覆蓋和安全等問題。”
李也表示,他已發現安全受到了重視。“我見過一些關鍵基礎設施公司(比如能源行業的公司)作好了極其充分的準備,應該可以發現企圖侵入其公司的針對性威脅。”
他說:“作為一個社區,我們需要確保,不是只有5%的人重視安全,而是在更廣泛的范圍對安全予以重視。不過已有成功的案例。”
米勒表示,現在投入了“巨大的努力”來改善工業控制系統的安全。“2014年,美國能源部為能源輸送系統發布了指導原則,美國ICS-CERT早在2009年就為工業控制系統的采購發布了類似指導。”
不過他承認,工業控制系統設備廠商面向全球市場銷售,全球市場的安全壓力不如美國來得大。之前曾廣泛報道過,大型發電機及其他工業控制系統設備的成本高達六位數,不容易在安全方面作翻新和改造,旨在可以使用至少25年。
他說:“實際上,工業控制系統行業任重而道遠。”
岡布斯同意這一觀點。他說:“安全并不總是被認為是優先事項。安全人員缺乏跟上攻擊者步伐所需的技能。業界也無力招聘或留住人才。”
“要發現狡猾的攻擊并非易事,這需要投入大量的人員、技能和技術,才能采取適當的防范。由于業界現在剛開始重視安全,所以需要一段時間,才能提供有效的機制來防御狡猾的網絡攻擊。”
當然,DDoS并不被認為是一種狡猾的攻擊。它可能仍會導致一些重大的破壞――德沃斯特特別指出,“如果數百萬個家用物聯網恒溫器和商業大樓的智能電網設備受到了危及,所需的交流電電量超過電網的供應量,那會有什么樣的影響?”
Spirion主管產品戰略的副總裁蓋布·岡布斯(Gabe Gumbs)表示,他認為美國的關鍵基礎設施具有足夠的彈性,抵御得住這種攻擊,不會遇到災難性后果。
他說:“我們談論的這等規模的網絡攻擊也許好比自然災難;我們已經證明,我們在面臨颶風、洪水、地震及其他災難時具有相當強的抗壓能力。”
他表示,金融系統崩潰可能比較嚴重。“如果我們遇到了實際的災難,這會削弱我們對于走到ATM面前取現金,甚至購買儲備物品的信心。”
坎特表示,他認為,大多數公用事業公司非常重視安全。不過他承認,“考慮到電力事業行業的規模和范圍――在美國本土分布在300多萬平方英里的3300多家電力公司中,許多地方存在安全漏洞,包括物理的和遠程的。”
“滲入到關鍵通信基礎設施是造成嚴重破壞的最容易、最匿名的方式。我們現在面臨這種情形,黑客變得越來越聰明,黑客社區在共享DDoS方面的知識和進展。”
所以,要減小DDoS針對公用事業公司或其他關鍵基礎設施的威脅,可能需要改進物聯網安全。而一些專家表示,市場不會這么做--這需要政府的大力推動。
施奈爾在最近的文章中表示,說到物聯網安全,“市場很失敗”,因為設備的賣方和雙方其實都不關注安全。
他寫道:“這是一種看不見的污染;就像環境污染一樣,唯一的解決辦法就是實行管控,”比如采取最基本的安全標準,及/或如果產品被用于DDoS攻擊,更容易起訴廠商。
他寫道:“細節需要認真加以厘清,但是這些方法都都會提高不安全的成本,讓公司有動機花錢來確保設備安全。”
這一幕可能很快就會上演。美國民主黨眾議員小弗蘭克·帕隆尼(Frank Pallone Jr.)和詹·夏考斯基(Jan Schakowsky)向聯邦貿易委員會女主席伊迪絲·拉米雷斯(Edith Ramirez)寫了一封信,“竭力呼吁”這個部門“運用可以運用的一切手段,確保物聯網設備廠商實施強有力的安全措施,以便為消費者提供最有效的保護,遠離網絡攻擊。”
原文標題:Is critical infrastructure the next DDoS target?
作者:Taylor Armerding
【51CTO譯稿,合作站點轉載請注明原文譯者和出處為51CTO.com】
