工控系統身陷五大危機 哪些細節需注意?
當前針對工業自動化控制系統(簡稱工控系統)的攻擊正逐步增加,有數據顯示在2018年上半年里41.2%的系統至少遭受過一次攻擊,高于2017年上半年的36.6%。在筆者看來,目前全球工控系統均身受五大危機的漩渦影響,急需提高警惕。
監測顯示工控攻擊正在增加
以工控系統為代表的關鍵基礎設施,是確保工業體系正常運轉的神經中樞,也是工業領域各生產線穩定運行的根本。可以說,工控安全事關國計民生,一旦遭受惡意攻擊、破壞導致功能喪失或數據泄漏,就會嚴重威脅工業生產有序開展,甚至威脅到公共利益與國家安全。
調查顯示針對工控系統的攻擊正在增加
事實上,各國工控系統普遍面臨著嚴峻挑戰。比如2010年7月攻擊伊朗核能設施的震網(Stuxnet)病毒,讓數千臺離心機超載,造成物理性破壞。2015年12月烏克蘭三家電力配送公司遭受網絡攻擊,225000戶民宅在寒冷冬季無電可用,所幸停電只持續了幾個小時。2018年4月2日,美國能源公司的天然氣管道用戶交易系統遭受網絡攻擊,導致這個系統短暫關閉了幾個小時,所幸天然氣流量供應是正常的。而更多的攻擊仍在全球各地不斷上演著。
工控系統面臨五大危機
伴隨高危安全漏洞不斷涌現,網絡攻擊難度逐漸降低,資產價值高和信息化程度高的工控領域成為惡意軟件、網絡犯罪、網絡間接攻擊的主要目標。那么當前的工控系統又面臨了哪些危機呢?
危機一,工控攻擊通常并不復雜卻有效。
與人們想象的高難度攻擊不同,一些針對工控系統發起的攻擊實際上并不復雜。攻擊者僅僅使用PDF文檔進行魚叉式網絡釣魚,或使用木馬安裝程序進行惡意軟件的安裝,甚至會提前在一些特定網站設置水坑攻擊。但攻擊危害性卻是影響廣泛的。例如2018年上半年被發現的“能量熊”攻擊,雖然其瞄準的是美國和歐洲,但該攻擊卻影響到各類網站、設備制造商、基礎設施公司以及政府機構。
為此,工業企業需要提升員工對網絡威脅的認識,從網絡邊界訪問和流量控制開始,跟上現代網絡安全防護措施,通過刪除和阻止不必要的操作來強化工控系統的終端安全。
危機二,與互聯網連接的工控系統危機最大。
據調查,引發工控系統安全威脅的主要攻擊渠道為互聯網、可移動存儲介質和郵件客戶端,而惡意軟件入侵則是最主要的攻擊類型。統計顯示,2018年上半年,超過27%的攻擊來自互聯網資源,而2017年同期的攻擊中有20.6%來自互聯網。
上述結果顯然與工控網絡被隔離的傳統觀點相反,在過去幾年中,互聯網已經成為感染各個工業網絡上計算機的主要來源。安全廠商發現,雖然經常遇到通過可移動設備和網絡釣魚電子郵件的攻擊,但大多數攻擊都從互聯網掃描開始,找尋易受攻擊的網絡,進而建立灘頭陣地。
危機三,工控攻擊者樂于攻擊某些特定地區。
從以往攻擊態勢來看,工控攻擊者更具有目的性,甚至常常和政治經濟等背景因素糾纏在一起,所以往往會表現專注于攻擊某些特定地區的情況。比如,與北美、西歐和澳大利亞公司相比,亞洲、非洲和拉丁美洲國家的企業遭受攻擊的比例要更高。
其中,可移動存儲介質仍是重要的安全威脅。與俄羅斯、歐洲和北美相比,亞洲國家、拉丁美洲和中東地區都顯示出可移動存儲介質感染率更高的跡象。與此同時,雖然通過電子郵件攻擊經常是有效的,但并不常見,可能針對此種攻擊的防護逐步增強有關。
危機四,工控攻擊也樂于從人下手。
對于工控系統來說,人依舊是最大的安全隱患。系統管理員、系統供應商和第三方運維服務人員使用的設備,在開啟遠程訪問或遠程運維服務過程中極易被暴露,從而變為遭受網絡攻擊的跳板。
因此,工控攻擊者也更樂于從擁有外部遠程訪問權限的管理員下手,網絡釣魚攻擊也通常瞄準那些特權用戶。當然這樣的攻擊更難以計劃和執行,但一旦成功其后果、影響也會是驚人的。
危機五,一些管理者盲目認為工控系統更安全。
據安全廠商調查發現,一些企業高管在對工控系統的安全認知上存在盲目性。在2018年SANS工業物聯網安全調查報告中指出,近四分之三的公司對其維護自家的工業物聯網安全能力充滿了信心。然而,與公司運維部門相比,公司領導層和部門經理對其安全性更持樂觀態度。
顯然,對此現象工控企業需要提高內部安全問題的透明度,培訓員工展開安全運營,并更好地劃分網絡,從而阻止攻擊者在建立灘頭陣地后再橫向移動的能力。
結語
自從“中國制造2025”發展大計被提出后,我國就開始由“制造大國”向實現“制造強國”一步步前進。為了向全球工業4.0看齊,為了工業發展不受制于人,從傳統IT系統延伸出的工控系統,在安全防護上的重要性也日益凸顯。然而面對我國在核心芯片、計算軟件、關鍵器件與系統,網絡空間安全發展方面上仍有諸多不足,對于解決工控系統所面臨的信息安全自然刻不容緩,而究竟如何擺脫上述五大危機,強化工業關鍵基礎設施的保護工作,顯然已成為一項重大課題,需被多多關注了。
