作者 | 陳峻

審校 | 重樓

引言

如您所見，在工業4.0所描述的智能化工廠的環境中，工業物聯網（IIoT）設備的廣泛采用，徹底改變了生成模式，提高了整體效率、自動化和數據驅動的決策。然而，這種快速整合也使得工業系統面臨著更大的網絡威脅和攻擊風險。特別是對于關鍵基礎設施的保護，可謂迫在眉睫。下面，我將從工業系統面臨的潛在安全問題出發，針對IIoT的各種攻擊向量，梳理出時下業界常用且有效的應對措施。

IIoT通用架構

在全面識別和深入討論IIoT所面臨的不斷演變的威脅與潛在的漏洞之前，讓我們首先對工業物聯網系統的通用架構有所了解。如下圖所示，典型架構分為三個層級：

• 邊緣層，包括各種端點設備和邊緣網關單元。典型的端點包括相互連接的制動器、控制系統、以及傳感器等設備。而網關單元負責匯聚轉發指示，實現與之相連器件的互通互聯。
• 平臺層，包括軟件平臺和用于數據集成、轉換、分析的應用服務。它們利用Web或移動網絡連接，為不同層級之間的數據和控制交換提供管道。
• 組織層，包括服務于組織域的應用和云托管專有應用。它們通過內網基礎設施和Web驅動的協議，提供用戶界面，實現規則和控制的下發與上傳。

各個層級往往在邏輯上依次配合與協作，以有線和無線連接的互通方式，實現了IIoT對于數據的無縫收集、分析和交換，以及過程自動化的控制，進而促進了生產鏈路的性能優化。

不過，由于工業連接與控制設備最初的設計重點主要追求的是功能性、而非安全性，因此它們特別容易受到網絡安全攻擊。各種工業物聯網通信協議中的缺陷經常會被惡意利用，加上生產環境的運營和管理不足，攻擊一旦發生，就可能導致關鍵設備的損壞、重要功能的喪失，以及部分或全部設備的報廢，進而帶來災難性的后果。例如，針對供水和凈化廠的網絡攻擊就可能會導致包括：水處理和生產、流量統計、水位和電導率分析、pH值分析、以及化學加藥泵等關鍵操作受到篡改或失效，進而對公眾健康產生嚴重的影響。

功能分層與攻擊

具體而言，鑒于工業物聯網按照功能級別可以分為操作技術（OT）和信息技術（IT）兩大類別，它們所面臨的網絡攻擊可以按照如下方式進行區分：

OT 分層與攻擊

• 第一層涵蓋了嵌入式設備、傳感器、執行器、變送器、以及電機等器件。攻擊的開展往往依賴于深入熟悉IIoT的系統架構，能夠訪問設備與工程圖紙，以及具有全面的安裝和操作權限。
• 第二層由專有硬件組成，包括：分布式控制系統（DCS）、可編程邏輯控制器（PLC）和網關。它們便于第一層中的器件之間實現通信和控制。攻擊的實施往往旨在影響信息流，并阻礙兩層之間的常規通信。
• 第三層包括基于IP的數據采集設備、主站、人機接口（HMI，是將人與設備連接起來的操作員觸點，主要用于顯示信息、跟蹤操作時間、以及查看機器輸入和輸出數據）、監控和數據采集（SCADA）系統、以及相關工業自動化控制和監控系統。該層級的攻擊會使用IP數據包的操作手段，通過偽造源地址等屬性特征，來隱藏發送者的身份。一旦攻擊得逞，收件方會被欺騙，并以為數據包來自已授權的用戶或組件。

IT 分層與攻擊

• 第四層屬于業務支撐服務，包括各種辦公應用、內聯網絡、外部網絡、以及郵件服務等。攻擊的開展往往利用的是已知或未識別的服務漏洞。
• 第五層包含了各種企業應用對于數據進行提取或分析的技術，以及各種云計算服務工具。該層級的攻擊則多采取欺騙性對抗、以及監控操縱等復雜的隱蔽形式。

針對SCADA的攻擊與檢測

在上述五個功能層級中，處于第三層的SCADA系統屬于IIoT生態系統的主要硬件系統。它負責跟蹤不同的工業過程。其中，主站單元或主終端單元（MSU/MTU）是SCADA的主要控制組件，而子MSU或子MTU則起到輔助控制的作用。通常，工業自動化控制和遙測系統會依賴SCADA系統，使用本地控制器，連接到IIoT上。對此，攻擊者往往設法使用斷開與操控制動器或傳感器的方式，讓工業環境內的SCADA喪失或偏離原有的功能。具體而言，針對SCADA系統的常見攻擊模式與技術有如下五種：

• MitM攻擊。為了收集的數據，已獲得網絡訪問權限的攻擊者，可以通過安裝惡意軟件，在有線或無線網絡中，主動監控并攔截MTU、子MTU或遠程終端單元（RTU）之間的通信，進而將篡改后數據傳遞給預期接收方。
• 偽裝攻擊。為了保持連接與會話的控制權，攻擊者會采用合法名稱，并利用虛假的IP地址，來冒充已授權的操作員身份，以逃避檢測。
• 惡意代碼攻擊。攻擊者利用已發現的漏洞，通過木馬或蠕蟲等惡意代碼，感染網絡中更多的MSU/MTU，導致系統出現故障或引發不穩定的行為。
• DoS攻擊。由于MSU/MTU無法管理超過最大限定傳輸單元的數據傳輸，因此被控制的RTU會利用數據包的碎片缺陷，通過大量畸形數據包，淹沒MTU，以耗盡系統中正常數據交換的可用資源，進而導致連接的失效與系統故障。
• 時間表攻擊。已獲得訪問權限的攻擊者通過修改系統或設備的固有時間表，實現其指定的惡意行為。

目前，針對SCADA上述攻擊的檢測手段包括：利用貝葉斯算法、概率森林和選擇樹等基于機器學習的機器學習模型；而防御技術則包括：SCADA的密鑰建立（SKE）、SCADA密鑰管理體系結構（SKMA）、以及邏輯密鑰層級結構（LKH）等各種自適應密鑰管理協議。

IIoT系統的常見攻擊與對策

正如前文所述，SCADA只是IIoT中的一種主要硬件系統。而整個生態體系是一個多元的協作網絡。因此，與之對應的網絡攻擊也是全面、立體且復雜的。近年來，諸如：水利、電力、交通、以及公共事業等關鍵性基礎設施，都已經廣泛地連接或應用到了各類IIoT生態系統中。我們有必要梳理出將針對IIoT系統的準確性、可靠性和安全性等多方面的威脅與攻擊。總的說來，我們歸納為如下五個方面：

網絡釣魚攻擊與對策

為了破壞IIoT系統網絡，并控制與其連接的操作系統，釣魚攻擊者會針對安全意識薄弱的操作員與供應商，利用社會工程策略和設立虛假網站等手段，誘騙其點擊惡意鏈接或安裝惡意軟件，進而達到傳統的網絡釣魚攻擊的效果。

目前，可用于自動檢測和分析IIoT網絡釣魚攻擊策略包括：

• 創建Web瀏覽器的擴展，以掃描用戶網站的安全屬性、證書，以主動發現其是否包含危險性代碼或誤導性URL。
• 通過基于關聯規則和分類的網站排名，在對象和關聯標準之間創建相關性，以檢測釣魚特征。
• 構建瀏覽器沙箱，作為處理網絡釣魚攻擊數據的代理，一旦發現攻擊，立即觸發警報。
• 采用智能Web應用防火墻（IWAF，Intelligence Web Application Firewall）。這是一種用于識別關鍵基礎設施中的網絡釣魚攻擊的自動主動安全工具。它使用機器學習的脈沖神經（spiking neuron）模型，解析出IIoT設備上的網絡流量特征，對網絡釣魚攻擊進行識別和分類，創建出失陷指標（IoC，indicators of compromise），并將其轉換為組策略對象（GPO），從而建立防火墻規則，以阻止網絡釣魚攻擊。
• 進一步使用進化脈沖神經網絡（eSNN，evolving spiking neural network），在基于區域的策略防火墻內部，構建智能化的URL過濾器，以模擬人腦的運作方式，查找出那些由算法所生成的有害域名。
• 利用URL編碼（UE）技術，在執行DNS查詢之前，通過神經網絡計算URL之間的相關系數，解析URL的分散可視化，分析各種域名之間的關系，然后將解讀出的映射存儲起來，以便處理域名空間的復雜性，從而在垃圾郵件中提取URL的序列模型，識別和發現惡意網站地址。在整個過程中，為了根據URL的特征實現對網站的分類，其機器學習技術會提取IP地址、WHOIS記錄和網絡釣魚URL等詞匯特征，并利用數據表達式來構建規則簽名，進而過濾可疑的域名。

勒索軟件的攻擊與對策

與通常的勒索軟件不同，IIoT勒索軟件通常具有針對性，更專注于基礎的系統組件，以造成拒絕服務（DoS）或鎖死生產環境中的文件被等危害。而且，為了盡快恢復生產，工業組織往往不得不支付贖金，以換回訪問權限。其中，IIoT的邊緣網關特別容易受到勒索軟件的攻擊。一旦得手，攻擊者就會迅速更改網關的密碼，然后用惡意代碼替換到原有固件。在完全控制了網關的基礎上，攻擊者便可據此加密各種從PLC和I/O設備處獲得的數據，以及通過互聯網注入或提取數據。

目前，可用于自動檢測和分析勒索軟件攻擊策略包括：

• 通過收集和分析與系統性能相關的數據，如：CPU使用率、內存負載、I/O設備使用率、以及CPU處理需求等，將這些指標與IIoT系統在無惡意軟件時的正常指標進行比較，及時發現網關在遭遇勒索軟件攻擊時，系統資源利用率和處理請求等指標會大幅提升這一特征，并作為預測依據，以便及時采取隔離等措施，進而大幅提升IIoT系統應對此類攻擊的抵御能力。
• 使用在數據包和數據流級別同時運行的兩個獨立分類器，基于會話的流量特征，動態創建機器學習的檢測模型，以查找諸如Locky之類的勒索軟件。
• 采用結合了經典自動化編碼（CAE）和變分自動化編碼（VAE）的混合深度檢測模型，最小化數據的維度，以提供準確的惡意行為可視化。

針對協議的攻擊與對策

IIoT系統的OSI網絡框架，通常由物理層、數據鏈路層、網絡層、傳輸層和應用層，這五個層級組成。前四層使用的協議與傳統物聯網相似，包括：IEEE 802.15.4 6LoWPAN、藍牙低能耗（BLE）、IEEE 802.11（供WiFi使用）、LTE、以及UDP/TCP協議等。顯然，針對每個層級上不同協議的攻擊也各不相同：

1.對物理層和數據鏈路層的攻擊與對策

• 在這兩個層面上，DoS攻擊最為普遍。它會用相同的頻率傳輸信號，以干擾會話，占用和耗盡傳感器節點的原有連接與傳輸資源，降低甚至終止節點的處理能力。通常，擁塞區域映射模型（JAM）可以通過將數據包重新路由到備用信道上，來繞過無線傳感器網絡（WSN）的擁塞區域，進而起到減緩作用。
• MitM攻擊，也是一種常見手段。攻擊者會通過WSN和RFID傳感器網絡（RRSN）實施數據的篡改。AES、WEP、WPA2等加密技術，能夠有效地應對此類風險。

2.對網絡層的攻擊與對策

• 在該層面上，惡意設備會通過直接路由攻擊，來修改數據傳輸的路由表，進而通過DoS攻擊淹沒網絡資源并阻塞數據。而SVELTE框架等物聯網特定入侵檢測系統（IDS）解決方案，可以通過出口過濾、疏散分類、授權與控制技術，來提供有效的防御。
• 針對鄰居發現協議（NDP）的攻擊，會導致網絡通信的中斷，以及目標系統被欺騙泄漏數據。而IPSec和安全鄰居發現（SEND）兩種安全技術可以有效防御此類攻擊。
• 此外，作為一種濃縮的傳輸協議，數據報傳輸層安全（DTLS）也可保護網絡層數據傳輸的完整性和機密性。

3.對傳輸層的攻擊與對策

• 在該層面上，去同步攻擊往往通過插入帶有虛構命令標志序列號的消息，來干擾終端同步。而消息身份驗證可以有效地起到防御此類攻擊的效果。
• SYN洪泛攻擊往往利用海量SYN消息（但不發送ACK消息，以響應被攻擊方的SYN ACK），來阻塞目標消息隊列，并阻止其處理有效的SYN查詢。而通過改進傳輸協議中的內存和隊列管理，以及通過數據包過濾、屏蔽和代理（中介）等方法，可以減緩此類攻擊。
• 由于缺乏內置的數據加密和身份驗證措施，為帶寬有限的物聯網應用所創建的簡單通信系統MQTT極易受到傳輸層攻擊。而基于屬性的加密（ABE）方式通過提供廣播編碼，實現了可擴展且可靠的安全MQTT協議，能夠將安全的消息傳遞給多個預期接收方。

4.對應用層的攻擊與對策

• 在應用層，由于SCADA的Modbus消息協議缺少對虛假主從IP地址的識別，因此未經授權的遠程攻擊者可以通過提交具有錯誤IP地址的請求，發起MitM攻擊。
• 如果Modbus的主設備和代理設備連接的驗證檢測不到位，外部攻擊者可以利用Modbus主設備向任何從設備發送隨機命令，而無需完成身份驗證。
• 如果在處理請求消息和單獨的輸入讀取響應上存在開發缺陷，Modbus系統會被攻擊者濫用，在SCADA網絡上發起分布式拒絕服務（DDoS）攻擊。
• 由于Modbus-TCP將Modbus協議報頭擴展了7個字節，并大幅限制了數據包的大小，因此攻擊者可以制作一個超過260字節的自定義數據包，并將其發送到Modbus主從設備處。一旦設備未被正確地設置為拒絕此類數據包，則可能會遭遇緩沖區溢出攻擊。針對應用層的攻擊，我們可以使用具有深度數據包檢查功能工業防火墻，利用基于多項特征數據聚類優化模型的企業級IDS，以及基于自主漸進神經網絡和支持向量機（SVM）模型的網絡入侵防御系統（NIPS），來識別各種異常的Modbus-TCP流量模式。

對供應鏈的攻擊與對策

相對于組織的IT系統，IIoT環境顯然要復雜得多。特別是在工業4.0的OT環境，網絡與設備中的許多部件都是由多個供應商生產，再由另一個供應商組裝，最后由第三方交付（如下圖所示）。整個供應鏈環境難免潛藏安全隱患，例如：硬件設備的芯片中可能被植入惡意代碼，安裝后門，或是本身使用了帶有缺陷的芯片。這些潛在的威脅不但會持續增長與蔓延，而且具有一定的隱蔽性，可能在很長一段時間內都不被注意或發現。

對此，我們可以引入物聯網供應鏈威脅的風險分析（RIoTS）。作為一種用于物聯網等互聯技術的風險分析技術，它建議采用攻擊樹的方法，對供應商及其組件進行建模，以發現供應商的潛在威脅，暴露IIoT系統內部隱藏的危險，以便制定針對供應鏈攻擊的預防策略。針對IIoT供應鏈攻擊的防護，我們可以從部件的上線前、中、后三個階段進行實施：

1.上線前

• 身份驗證：必須使用不可偽造的加密密鑰，來驗證部件的簽名證書
• 遵守標準：所有被納入IIoT的部件都必須遵守相關行業標準
• 安全測試：部件在被投入生產環境之前，必須完成基本的安全性測試

2.上線中

• 分段分離：不但要對部件所處的關鍵網絡進行分段，而且要將其與外部網絡相分離
• 安全集成：在集成到第三方部件或生產環境時，必須持續對部件及其所處的網絡狀態進行風險識別與評估

3.上線后

• 檢測警告：持續檢查部件的行為與狀態，按需發送警告
• 安全更新：軟件必須通過安全的連接方式予以更新與運維

小結

不可否認，由于工業系統更注重的是生產設備的穩定運行，因此它們的服役周期往往較長，部件較為陳舊、升級難免不及時到位。鑒于這些復雜因素，在日常運營的過程中，攻擊者會持續針對IIoT系統及網絡的各個層級，根據發現到的各類漏洞，利用各種手段，展開不同的攻擊。因此，我們有必要持續保持高度警惕，深入識別多條威脅向量，運用多種成熟的或前沿的防御技術與對抗策略，來積極應對，打好“組合拳”。

作者介紹

陳峻（Julian Chen），51CTO社區編輯，具有十多年的IT項目實施經驗，善于對內外部資源與風險實施管控，專注傳播網絡與信息安全知識與經驗。