今日頭條
官方微信
官方抖音
資訊頻道1 引言
隨著工業(yè)信息化的快速發(fā)展,涉及國計(jì)民生的電力、交通、市政、化工、關(guān)鍵制造業(yè)等行業(yè)的工業(yè)控制系統(tǒng)(以下簡稱工控系統(tǒng)),因其重要性及其重視功能實(shí)現(xiàn)而缺乏足夠安全性考慮所造成的自身安全缺陷,使其面臨著來自各種黑客組織或敵對勢力日益嚴(yán)峻的網(wǎng)絡(luò)威脅[1][2]。我們的研究表明:伊朗核電站的“震網(wǎng)病毒”事件之后,信息網(wǎng)絡(luò)及系統(tǒng)相關(guān)的高風(fēng)險(xiǎn)安全漏洞正在逐漸被雪藏[3]。我們認(rèn)為造成這種現(xiàn)象的最大可能是:大量高風(fēng)險(xiǎn)未公開的漏洞通過地下經(jīng)濟(jì)被出賣,或被某些國家/組織高價(jià)收購,目的是利用其開發(fā)0-day攻擊或高級持久威脅(Advanced Persistent Threat ,APT)的攻擊技術(shù),為未來可能的網(wǎng)絡(luò)對抗做準(zhǔn)備[1]。2010年以來一系列的APT攻擊事件表明,利用0-day漏洞或“水坑”模式的新型攻擊正成為網(wǎng)絡(luò)空間安全防護(hù)的新挑戰(zhàn)[1]。而工控系統(tǒng)因其對于國家的重要性,將極可能使其成為未來網(wǎng)絡(luò)戰(zhàn)的重要攻擊目標(biāo),除了伊朗核電站的“震網(wǎng)病毒”事件之外,最近公開的“蜻蜓組織”[4]利用Havex惡意代碼[5][6][7]攻擊歐美上千家能源企業(yè)等工控系統(tǒng)領(lǐng)域頻發(fā)的安全事件也在進(jìn)一步證實(shí)這種推斷。
不管攻擊者的目的是出于經(jīng)濟(jì)目的(如南美某國電網(wǎng)被攻擊者敲詐勒索[8])、意識形態(tài)的紛爭(如“燕子行動(dòng)”[9]),甚至是國家間網(wǎng)絡(luò)戰(zhàn)對抗的需要(如“震網(wǎng)事件”、“蜻蜓組織攻擊事件[4]”),我們都必須深入研究工控系統(tǒng)的安全性及其可能遭受到的各種威脅,加強(qiáng)行業(yè)用戶的信息安全意識培訓(xùn),進(jìn)行工控系統(tǒng)的信息安全狀況調(diào)查及系統(tǒng)脆弱性評估與整改,并在此基礎(chǔ)上提供切實(shí)有效的信息安全防護(hù)措施,以確保這些關(guān)系國計(jì)民生的工控系統(tǒng)的安全運(yùn)營。
本文將在前期研究的基礎(chǔ)[1][2][10]上,對體現(xiàn)工控系統(tǒng)自身脆弱性的公開漏洞情況進(jìn)行統(tǒng)計(jì)分析,并結(jié)合近期典型工控安全攻擊事件,分析工控系統(tǒng)當(dāng)前所面臨的安全威脅態(tài)勢及應(yīng)對策略。
2 工控系統(tǒng)的脆弱性分析
截止到2014年6月,我們以綠盟科技安全漏洞庫收錄的工控系統(tǒng)相關(guān)漏洞為基礎(chǔ),參考美國CVE[11]、ICS-CERT以及中國國家信息安全漏洞共享平臺所發(fā)布的漏洞信息[12] [13],整理出了549個(gè)與工控系統(tǒng)相關(guān)的公開漏洞。本節(jié)將重點(diǎn)分析公開工控漏洞的統(tǒng)計(jì)特征和變化趨勢,主要涉及漏洞的總體變化趨勢、漏洞的嚴(yán)重程度、漏洞所影響的工控系統(tǒng)類型、漏洞的危害等幾個(gè)方面。
2.1 公開漏洞數(shù)總體上保持快速增長的趨勢
圖1 工控漏洞的年度變化趨勢
圖1給出了當(dāng)前所收集工控漏洞年度增量的變化趨勢,在2011年之前,公開披露的工業(yè)控制系統(tǒng)相關(guān)漏洞數(shù)量相當(dāng)少,但在2011年出現(xiàn)快速增長,這可能是因?yàn)?010年的Stuxnet蠕蟲事件之后,人們對工業(yè)控制系統(tǒng)安全問題持續(xù)關(guān)注以及工業(yè)控制系統(tǒng)廠商分析解決歷史遺留安全問題所造成的。隨著各方面對工業(yè)控制系統(tǒng)的安全日益重視,工業(yè)控制系統(tǒng)的相關(guān)公開漏洞數(shù)量仍將保持一個(gè)快速增長的總體趨勢。
2.2 工控系統(tǒng)漏洞涉及廠商依然以國際廠商為主
圖2給出了公開漏洞涉及主要工控系統(tǒng)廠商的統(tǒng)計(jì)分析情況。分析結(jié)果表明,公開漏洞所涉及的工控系統(tǒng)廠商仍然是以國際著名廠商為主,西門子(Siemens)、施耐德電氣(Schneider)、研華科技(Advantech)、通用電氣(GE)與羅克韋爾自動(dòng)化(Rockwell Automation)占據(jù)漏洞數(shù)排行榜的前五名。用戶調(diào)研結(jié)果表明,這些國際著名工控系統(tǒng)廠商的產(chǎn)品在國內(nèi)市場上占據(jù)優(yōu)勢地位,甚至某些產(chǎn)品在某些行業(yè)處于明顯的壟斷地位。這種情況必然會(huì)造成這些廠商的產(chǎn)品倍受系統(tǒng)攻防雙方的重視和關(guān)注,而且也比較容易獲得研究分析用戶的產(chǎn)品,這很可能就是公開漏洞涉及到的工控系統(tǒng)廠商總是以國際廠商為主的主要原因。由于漏洞數(shù)量與產(chǎn)品自身的安全性、復(fù)雜度、受研究者關(guān)注程度以及工控系統(tǒng)廠商對自身系統(tǒng)安全性的自檢力度都有關(guān)系,所以我們并不能簡單地認(rèn)為公開漏洞數(shù)量越多的廠商產(chǎn)品越不安全[10]。但是卻可以通過該信息評估用戶工控系統(tǒng)所存在的安全脆弱性狀況,并據(jù)此進(jìn)行系統(tǒng)的安全加固、調(diào)整安全防護(hù)策略,來增強(qiáng)系統(tǒng)的整體安全防護(hù)能力。
圖2 公開漏洞涉及的工控系統(tǒng)廠商( Top10)
圖3給出了2014年上半年新增漏洞涉及工控廠商的情況,其中西門子以新增25個(gè)公開漏洞,占比39%依然位居首位,研華科技則以新增10個(gè)公開漏洞,占比15.4%而升據(jù)第二。施耐德電氣則以半年新增4個(gè)漏洞(占比6%)依然位列三甲之內(nèi)。但需要注意的是,與圖2的總體情況相比仍有不小的變化:
(1)日本橫河電機(jī)株式會(huì)社(YOKOGAWA)首次進(jìn)入我們的關(guān)注視野,就以半年新增4個(gè)漏洞,與施耐德電氣并列2014半年度新增漏洞的第三名。日本橫河電機(jī)作為工控行業(yè)的著名跨國公司之一,其集散型控制系統(tǒng)(DCS)、PLC等工控產(chǎn)品在國內(nèi)石油、化工等大型工廠生產(chǎn)過程有著較為廣泛的應(yīng)用,自然也會(huì)受到重點(diǎn)關(guān)注。
(2)排名第四、第五的Cogent、Ecava則是兩家專業(yè)的工控軟件廠商,表明除了著名國際廠商之外,在工控軟件某個(gè)子領(lǐng)域內(nèi)相對領(lǐng)先的企業(yè)也日益受到關(guān)注。
2.3 工控系統(tǒng)存在嚴(yán)重的安全隱患及攻擊威脅
本文在分析這些漏洞的嚴(yán)重性時(shí),將主要根據(jù)CVE的CVSS評估值來判斷,并劃分為高、中、低三種情況。圖4表明,2014年的新增漏洞中“高危”漏洞(CVSS值范圍7.0~10.0)超過一半(51%),且基本上都是嚴(yán)重性程度為“中”以上(CVSS值大于等于4.0)的漏洞。
圖3 2014年新增工控漏洞涉及的主要廠商
圖4 2014年新增漏洞按嚴(yán)重程度的分類分析
這些漏洞可導(dǎo)致的主要攻擊威脅的統(tǒng)計(jì)分析如圖5所示:其中,拒絕服務(wù)類漏洞占比最高(約33%),這對強(qiáng)調(diào)業(yè)務(wù)連續(xù)性的工控系統(tǒng)來說不是一個(gè)好消息。位居其次的是緩沖區(qū)溢出類漏洞,其占比也高達(dá)20%,這類漏洞較多則可能是因?yàn)楣た叵到y(tǒng)在軟件開發(fā)階段缺乏嚴(yán)格的編程規(guī)范及要求。同樣,可導(dǎo)致信息泄露、遠(yuǎn)程控制及權(quán)限提升類的工控漏洞也是攻擊者最為關(guān)注的,利用這些漏洞可以竊取制造企業(yè)的設(shè)計(jì)圖紙、生產(chǎn)計(jì)劃、工藝流程等敏感信息,甚至能獲得工控系統(tǒng)的控制權(quán),干擾、破壞工控業(yè)務(wù)的正常生產(chǎn)或運(yùn)營活動(dòng)。
顯然,這些漏洞可能造成的主要威脅情況也可以從側(cè)面說明當(dāng)前工控系統(tǒng)安全所應(yīng)關(guān)注的主要安全問題。
圖5 2014年新增漏洞的威脅分類分析( TOP 5)
2.4 與 SCADA/HMI相關(guān)的漏洞為主,占比超過 40%
圖6給出2014年新增漏洞按產(chǎn)品相關(guān)分類的情況,其中,與SCADA/HMI相關(guān)的漏洞為主,其占比超過40%;PLC相關(guān)的漏洞以近30%的占比緊隨其后。而集散控制系統(tǒng)(DCS)及OPC相關(guān)的漏洞也各占將近10%的份額。這表明攻、防雙方都可能把主要精力放在工控系統(tǒng)的控制設(shè)備或工業(yè)控制管理軟件系統(tǒng)的安全性分析上了。當(dāng)然,工控系統(tǒng)的網(wǎng)絡(luò)設(shè)備(網(wǎng)絡(luò)交換機(jī))及工業(yè)網(wǎng)絡(luò)管理軟件的安全性也受到了一定的關(guān)注。
圖6 2014年新增漏洞涉及的工控產(chǎn)品
3 工控系統(tǒng)面臨的信息安全威脅
3.1 工控信息安全事件增長快速,能源行業(yè)易受攻擊
近年來,工業(yè)控制系統(tǒng)相關(guān)的信息安全事件正在呈快速增長的趨勢(如圖7)。2013年度內(nèi)處理的信息安全事件就達(dá)256件[13],而這些事件又多分布在能源、關(guān)鍵制造業(yè)、市政、交通等涉及國計(jì)民生的關(guān)鍵基礎(chǔ)行業(yè)(如圖8);其中以電力為主的能源行業(yè)相關(guān)的信息安全事件高達(dá)151件,接近全年信息安全事件的三分之二。這與能源行業(yè)對于現(xiàn)實(shí)社會(huì)的重要性及其工控系統(tǒng)的自動(dòng)化程度、信息化程度較高有相當(dāng)?shù)年P(guān)系。
圖7 ICS-CERT歷年公布工控信息安全事件的統(tǒng)計(jì)分析
圖8 2013年工控信息安全事件涉及的重要行業(yè)( ICS-CERT)
3.2 APT已成為針對工控系統(tǒng)的主要攻擊方式
自2010年APT出現(xiàn)在公眾視野之后,業(yè)內(nèi)已經(jīng)陸續(xù)報(bào)道了數(shù)十起APT攻擊事件,其中不乏針對工控系統(tǒng)的攻擊事件[1]。自Stuxnet、Flame、Duqu這些著名的攻擊手段之后,2014年6月25日ICS-CERT在題為“ICS Focused Malware”的安全通告ICS-ALERT-14-176-02[5]中,通報(bào)了一種類似震網(wǎng)病毒(Stuxnet)的專門針對工控系統(tǒng)攻擊的新惡意代碼。安全廠商F-Secure首先發(fā)現(xiàn)了這種惡意代碼并將其作為后門命名為W32/Havex.A,F(xiàn)-Secure稱它是一種通用的遠(yuǎn)程訪問木馬(RAT,即Remote Access Trojan)。
圖9 Havex的攻擊原理
根據(jù)ICS-CERT、F-secure、Symentec等多家安全公司的研究表明[5~7]:Havex多被用于從事工業(yè)間諜活動(dòng),其主要攻擊對象是歐洲的許多使用和開發(fā)工業(yè)應(yīng)用程序和機(jī)械設(shè)備的公司。而且網(wǎng)絡(luò)攻擊者傳播Havex惡意軟件方式有多種:除了利用工具包、釣魚郵件、垃圾郵件、重定向到受感染的Web網(wǎng)站等傳統(tǒng)感染方式外,還采用了“水坑式”攻擊方式,即通過滲透到目標(biāo)軟件公司的Web站點(diǎn),并等待目標(biāo)安裝那些合法APP的感染惡意代碼的版本。ICS-CERT的安全通告稱當(dāng)前至少已發(fā)現(xiàn)3個(gè)著名的工業(yè)控制系統(tǒng)提供商的Web網(wǎng)站已受到該惡意代碼的感染。
F-Secure聲稱他們已收集和分析了Havex RAT的88個(gè)變種,并認(rèn)為Havex及其變種多通過利用OPC標(biāo)準(zhǔn)被用來從目標(biāo)網(wǎng)絡(luò)和機(jī)器獲取權(quán)限并搜集大量數(shù)據(jù) [6][7](如圖9)。但攻擊者應(yīng)該不僅僅是對這些目標(biāo)公司的系統(tǒng)信息感興趣,而必然會(huì)對獲取那些目標(biāo)公司所屬的ICS或SCADA系統(tǒng)的控制權(quán)更感興趣。
3.3 黑客組織是工控系統(tǒng)所面臨的最大安全威脅
在2014年1月,網(wǎng)絡(luò)安全公司CrowdStrike曾披露了一項(xiàng)被稱為“Energetic Bear”的網(wǎng)絡(luò)間諜活動(dòng),在這項(xiàng)活動(dòng)中黑客們可能試圖滲透歐洲、美國和亞洲能源公司的計(jì)算機(jī)網(wǎng)絡(luò)。據(jù)CrowStrke稱,那些網(wǎng)絡(luò)攻擊中所用的惡意軟件就是Havex RAT和SYSMain RAT,該公司懷疑Havex RAT有可能以某種方式被俄羅斯黑客連接,或者由俄羅斯政府資助實(shí)施。
賽門鐵克在其研究報(bào)告中聲稱黑客組織Energetic Bear(也被稱為“Dragonfly”[4])1,使用一種復(fù)雜的網(wǎng)絡(luò)武器Havex,在18個(gè)月的時(shí)間里影響了幾乎84個(gè)國家,并使1000多家歐洲和北美能源公司受損;而且大多數(shù)受害者機(jī)構(gòu)基本上都位于美國、西班牙、法國、意大利、德國、土耳其和波蘭等國家。顯然,“蜻蜓組織”有能力造成多個(gè)歐洲國家的能源供應(yīng)中斷,具有極大的社會(huì)危害性。
賽門鐵克、F-secure、CrowdStrike等多家安全公司[4][6]在研究后基本認(rèn)為:蜻蜓黑客組織的主要目標(biāo)是實(shí)施間諜活動(dòng),而且它似乎是有資源、有規(guī)模、有組織的,甚至懷疑在它最近的攻擊活動(dòng)背后有政府的參與。Stuxnet、Flame、Duqu、Havex之后,隨著攻擊者對工控系統(tǒng)研究的進(jìn)一步深入,針對工控系統(tǒng)攻擊的惡意代碼仍將會(huì)層出不窮,而且還可能在發(fā)起攻擊活動(dòng)的黑客組織背后更多地體現(xiàn)國家、政治組織或經(jīng)濟(jì)組織的意志。因而,面對攻擊技術(shù)與手段日益先進(jìn)、復(fù)雜、成熟的針對工控系統(tǒng)進(jìn)行攻擊的黑客組織,工控系統(tǒng)所面臨的安全威脅也將日益嚴(yán)峻。
4 工控系統(tǒng)信息安全的檢測及防護(hù)
面對來自黑客、敵對組織日益嚴(yán)峻的網(wǎng)絡(luò)安全威脅,工業(yè)控制系統(tǒng)的安全性正日益受到我國的高度重視,并已從政策、標(biāo)準(zhǔn)、技術(shù)、解決方案等多個(gè)方面進(jìn)行了積極應(yīng)對:工業(yè)控制系統(tǒng)相關(guān)的信息安全標(biāo)準(zhǔn)正在制訂過程中,電力、石化、制造、煙草等多個(gè)行業(yè),已在國家主管部門的指導(dǎo)下進(jìn)行安全檢查、整改[15][16][17]。而安全檢查與整改中最重要的就是工控系統(tǒng)自身脆弱性的監(jiān)測與發(fā)現(xiàn),只有及時(shí)發(fā)現(xiàn)工控系統(tǒng)存在的漏洞及所面臨的安全威脅,才能進(jìn)一步執(zhí)行相應(yīng)的安全加固及防護(hù)工作。
4.1 工控系統(tǒng)的脆弱性檢測
工控系統(tǒng)與傳統(tǒng)信息系統(tǒng)的較大差異性以及安全需求的不同[2],使得很難直接采用傳統(tǒng)的適用于IT信息系統(tǒng)的漏洞掃描器,而是必須需要支持相應(yīng)工控協(xié)議、能識別工控系統(tǒng)及其應(yīng)用管理軟件并能夠檢測其漏洞及配置隱患的專業(yè)工控漏洞掃描器,而且為保證系統(tǒng)的安全運(yùn)行,多數(shù)情況下不允許對在線系統(tǒng)進(jìn)行掃描檢測,只能在工控設(shè)備上線前或維護(hù)期間進(jìn)行系統(tǒng)的漏洞掃描。
此外,由于工控系統(tǒng)及業(yè)務(wù)系統(tǒng)的異構(gòu)性、行業(yè)性的特點(diǎn)明顯,安全廠商也難以推出通用性的工控系統(tǒng)漏洞掃描類的產(chǎn)品。
1蜻蜓組織是一個(gè)至少自 2011年起便開始活躍的東歐黑客團(tuán)體。該組織最初的攻擊目標(biāo)是美國和加拿大的國防和航空企業(yè),但從 2013年開始將主要目標(biāo)轉(zhuǎn)向許多國家的石油管道運(yùn)營商、發(fā)電企業(yè)和其他能源工控設(shè)備提供商;即以那些使用工控系統(tǒng)來管理電、水、油、氣和數(shù)據(jù)系統(tǒng)的機(jī)構(gòu)為新的攻擊目標(biāo)。
為了更好地實(shí)現(xiàn)工控系統(tǒng)的信息安全檢查與評估工作,工控系統(tǒng)的脆弱性檢測與評估工作,需要安全行業(yè)、工控行業(yè)的主管部門、廠商與科研機(jī)構(gòu)盡早建立多方合作機(jī)制,并促進(jìn)建立國家或行業(yè)級的漏洞信息分享平臺。綠盟科技目前已成功研發(fā)出“工業(yè)控制系統(tǒng)漏洞掃描系統(tǒng)”[14],并在部分客戶環(huán)境中進(jìn)行了試用驗(yàn)證,預(yù)期2014年9月正式發(fā)布上市。該產(chǎn)品的及時(shí)推出有助于各重點(diǎn)行業(yè)的安全檢查與整改工作。
4.2 針對 APT攻擊的檢測與防護(hù)
針對APT逐步滲透攻擊的特點(diǎn),技術(shù)報(bào)告《工業(yè)控制系統(tǒng)的安全研究與實(shí)踐》[1]中提出一個(gè)針對工控系統(tǒng)APT攻擊的檢測與防護(hù)方案,針對APT攻擊的每個(gè)階段討論了相應(yīng)的應(yīng)對策略:(1)做好網(wǎng)站漏洞、掛馬檢測及安全防護(hù),全方位抵御水坑攻擊;(2)提高員工安全意識、部署入侵防范系統(tǒng),防范社會(huì)工程攻擊,阻斷C&C通道;(3)加強(qiáng)對工控系統(tǒng)組件中的漏洞及后門監(jiān)測并提供針對性的安全防護(hù);(4)異常行為的檢測與審計(jì),識別發(fā)現(xiàn)業(yè)務(wù)中可能存在的異常流量與異常操作行為。
鑒于工控系統(tǒng)業(yè)務(wù)場景比較穩(wěn)定、操作行為比較規(guī)范的實(shí)際情況,在實(shí)施異常行為審計(jì)的同時(shí),也可以考慮引入基于白環(huán)境的異常監(jiān)測模型,對工控系統(tǒng)中的異常操作行為進(jìn)行實(shí)時(shí)檢測與發(fā)現(xiàn)。
5 結(jié)語
本文基于對近期公開的工控系統(tǒng)相關(guān)漏洞及安全事件的統(tǒng)計(jì)分析的基礎(chǔ)上,主要討論工控系統(tǒng)自身的脆弱性以及所面臨的安全威脅發(fā)展態(tài)勢,提出了針對工控安全威脅的檢測與防護(hù)建議;并呼吁建立主管部門、用戶、工控廠商、安全廠商以及科研機(jī)構(gòu)等參與的多方合作機(jī)制,實(shí)現(xiàn)優(yōu)勢互補(bǔ),共同促進(jìn)工控信息安全行業(yè)的快速發(fā)展。
作者簡介
李鴻培,博士,高級工程師,現(xiàn)就職于北京神州綠盟信息安全科技股份有限公司,主要研究方向涉及網(wǎng)絡(luò)安全、可信網(wǎng)絡(luò)體系架構(gòu)、安全信息智能處理技術(shù)及工業(yè)控制系統(tǒng)信息安全研究等。
參考文獻(xiàn)
[1]李鴻培,忽朝儉,王曉鵬.工業(yè)控制系統(tǒng)的安全研究與實(shí)踐[R].綠盟科技,2014,3.
[2]李鴻培,于旸,忽朝儉,曹嘉.工業(yè)控制系統(tǒng)及其安全性研究[R].綠盟科技. 2013,6.
[3]鮑旭華,李鴻培.2012上半年NSFOCUS安全威脅態(tài)勢報(bào)告[R],綠盟科技. 2012,8.
[4]ICSFocused Malware Alert(ICS-ALERT-14-176-02A)[EB],http://ics-cert.us-cert.gov/alerts/ICS-
ALERT-14-176-02A.
[5]Havex:類似Stuxnet的惡意軟件襲擊歐洲SCADA系統(tǒng)[EB]. http://www.freebuf.com/news/37861.html.
[6]FireEye:發(fā)現(xiàn)SCADA間諜軟件Havex的最新變種[EB]. http://www.freebuf.com/news/38954.html.
[7]南美某國電網(wǎng)被攻擊,攻擊者進(jìn)行敲詐勒索[EB]. http://www.e-works.net.cn/report/fs/fs.html .
[8]2013年度全球重、特大網(wǎng)絡(luò)安全事件回顧[EB]. http://www.hackdig.com/?12/hack-7727.htm.
[9]李鴻培,王曉鵬.2014綠盟科技工控系統(tǒng)安全態(tài)勢報(bào)告[R].綠盟科技. 2014,9.
[10]CVE.http://www.cve.mitre.org/.
[11]CNVD. http://www.cnvd.org.cn/.
[12]ICS-CERT Monthly Monitor Newsletters. ICS-MM201404. http://ics-cert.us-cert.gov/monitors/ICS-MM201404.
[13]綠盟工控漏洞掃描系統(tǒng)白皮書[Z].
[14]工信部.關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知.
[15]電監(jiān)會(huì).電力工控信息安全專項(xiàng)監(jiān)管工作方案.
[16]國家煙草局.工業(yè)企業(yè)生產(chǎn)區(qū)與管理區(qū)網(wǎng)絡(luò)互聯(lián)安全規(guī)范[Z].
摘自《工業(yè)控制系統(tǒng)信息安全專刊(第一輯)》
北京市公安局海淀分局備案號:11010802023656號