《安点科技工控信息安全简报》由会员分享,可在线阅读,更多相关《安点科技工控信息安全简报(12页珍藏版)》请在金锄头文库上搜索。
1、安点科技:工控信息安全简报工业控制系统(ICS )代表工业设备间的连接越来越广泛和多样化。工业控制系统和工业自动 化是我们社会生活中的宝贵财富电力通过电网输送,石油流经管道,列车在铁轨系统上交 汇,食品和药品在经过生产线成为商品都与之密不可分。然而现实是,越来越多针对工业生 产中工控网络部分的事件正在发生。 2015 年至 2016 年,工控网络事件的发生频率远远大 于往年。有兴趣破坏工控系统的人员可分为以下几大类:1. 具有国家背景的团队为了政治目的攻击工业控制系统。 他们寻求破坏敌国的工控系统以对其造成损害,或潜伏为未来可能的冲突抢占先机,以促进 本国利益。2. 罪犯 他们将工控系统索为人
2、质向企业收取赎金,以及将工控系统漏洞在黑市卖钱。3. 黑客 黑客希望通过攻击工控系统提升自己的社会、政治影响力或知名度。4. 业内人士 业内人士有意或者无意介绍工控系统的漏洞或造成工控网络事故。这种风险包含来自合作伙 伴和供应商产生的风险。 不仅仅是专业保护工控网络和工控设备的安全人员需要意识到相关风险,普通的信息工程师, 企业的领导者,甚至普通员工都应当提升风险意识。工控系统遭受攻击的影响可能是毁灭性的,这可能造成工控设备罢工停产,甚至危及员工和顾客的生命安全。此外,攻击者为了成功的攻击,往往寻求企业的IT网络作为立足点,以此为轴入侵工控系统。这就造成了工控系统攻击的影响覆盖面远远大于工业设
3、备、工控网络 本身,影响扩展到企业网络的每一个部分,甚至影响企业整条供应链。在分析2015年至 2016 年工控系统攻击事件的过程中,几个关键结论浮现出来。国家背景的,以犯罪为目的的以及内部人员所为的工控系统攻击风险将于2016年以及即将 到来的 2017 年持续增加。新的攻击目标,包括轻轨企业在内的新目标很可能出现。同时新的战术,例如攻击工业云入入侵SCAD,以及通过劫持工控系统勒索钱财也将出现或者范围扩大。工控系统攻击的技壁垒正在降低,黑客们可能没有意识到,他们公开漏洞或相关资料,可能 降低低技术能力恶意攻击者的技术壁垒内部人员造成的威胁或不合规访问的不恰当管理将在本年度及之后继续创造攻击
4、漏洞。企业的领导人和网络安全专家需要做出一系列决策应对这些威胁:工控网络管理应当被视作 安全生产管理的一部分得到重视,充分认识工控系统漏洞信息,工控系统攻击可能造成的威 胁以及事故的恶劣影响。综合这些信息,了解工控系统安全风险,并提高工控网络安全建设 的优先级。减轻工控系统安全风险需要做的比仅仅打补丁或者设置防火墙更多,这需要设立 正确的制度和规范,培训员工,确保整条网络得到合理的布局和隔离等。同时,虽然炼油厂、 电厂等等工厂的工控系统是相对静态的,但工控系统设备商,技术工程师以及网络安全专家 应该意识弱点和威胁环境的的变化,并根据敌人发展他们的技术手段。如今工业企业面对的工控网络环境比之前任
5、何时候都危险。工控网络袭击的规模、类型和严 重程度都在快速的增长。2015 年,工业企业向有关当局上报的事件数量达到峰值。根据记 录,2015 年发生的工控网络事件比往年高出20%。一些工业企业公开,工控网络攻击对他们的设备和系统造成物理损坏。国家支持的组织进行 了大规模的网络战役以窃取他国工业企业的数据并在工控网络中建立据点。网络罪犯扩大了传统的攻击策略,发展新兴技术以从工控网络中获利。包括出售监管控制和数据采集系统(SCADA)的访问权,以及掌控工控网络对工业企业加以勒索。在此之外,内部人员无意或恶意违规访问行为使得工业企业为此付出了昂贵的代价。本报告简要介绍了工控网络的工作原理和应用行业
6、,展示2015 年至2016年的主要工控网 络安全事件,帮助业内人事和企业领导快速了解什么是工控网络安全。通过分析这些事件中 的攻击手段,攻击目标的选取,事件的影响,分析攻击策略和攻击目标的变化趋势,以及推 断减轻风险的措施,并预测2016 和 2017年工业企业可能面临的最重大威胁。在 2015 年对全球 314 个工业企业调查中,34%的受访者表示,他们的工业控制网络在过 去的一年被破坏超过两次,其中44%的攻击源头无法辨别。我们可以看到,连接的社会正在面临持续不断的威胁和大量挑战,这将将远远超出我们平时 接触到的远程信息技术和IT信息网络的范畴。企业使用现代工业控制网络获得更好的效率 和
7、更多的收益,但区分传统办公网络或信息网络(IT)和工业操控网络(0T)并不容易,我们 需要有充分的理解以面对互联更加紧密的0T和IT网络内的威胁。工业控制系统是由一些列主机、专用控制设备和网络组成的广泛连接集,通过网络控制工业 生产的各类流程。 工业控制系统通常包括 SCADA(Supervisory Control And Data Acquisition系统,即数据采集与监视控制系统。),DCS(分布式控制系统)与PLC(可编程逻 辑控制器)组成。通过采用工业控制系统,可以提升效率,精确度,与工业安全,但是这也 带来了新的弱点以及潜在可能受到网络攻击而造成设备物理损坏的威胁。随着工业控制系
8、统 广泛的部署,企业领导和工程师以及负责网络安全的从业者意识到潜在的破坏性影响和多变 的威胁环境显得十分重要。什么是工业控制糸统?PLC 可编程逻辑控制器DCS分级控制系统过数字或磺拟式输人/输出 控制容种设备或生产疯程监控工业现场数据 遥控工业现场设备SCADA监规控制和数据采集系统 远程监控工业生产数据 适用于远距离通信IED智能电子设备基于微处理器控制设备电源系统被应用的行业A化工交通制造业用于控制各式各样的王业流程jt 曹港口自动化食品倉料制造业 龍源生产輻输送药物制造业石油勘探和采集攻击若夺取吊卿作权 固性操作员 工会第工直到确規吊机是安全的恶意内部人员 删阶镐轮超速齡造成重大視失勒
9、盍软株生产停工远程访问惡意内部人员嘴鑑资本受损发电呈减少供应链遭受攻击破坏性恶意软件损坏钻机和企业声誉2B7245丁控网络攻击事件总计140工控网络攻击事件图表201020112012201320142015事故统计总体而言,工控系统网络安全事件成上升趋势,美国当局报告的相关事件数量15 财年上升了 20 个百分点,总计 295 起事件报告。2015 年成为接报相关事件最多的一年。工控网络攻击首选目标:关键制造业、能源行业、水利,以及交通。自从ICS-CERT(美国工控安全事件特别处理小组)成立并追踪工控网络安全事件至今,制造业比能源行业经历了更多的相关事件。这种转变表明网络攻击目标转移向关键
10、制造业的趋势,在2014 财年,这种趋势达到了一个 峰值,特别是制造业的生产系统控制设备。这种趋势很大程度归功于一个单一的,大范围的 攻击活动-spearphishing (鱼叉式网络钓鱼是面向特定组织的欺诈行为,目的是不通过授权 访问窃取机密数据。)鱼叉式网络钓鱼攻击是源于黑客组织 Clandestine Wolf 提出的攻击向量攻击方法(攻击向 量指的是黑客用来攻击计算机或者网络服务器的一种手段。攻击向量能够帮助黑客寻找系统 可能存在的任何漏洞,包括人为因素)。德国的钢铁厂攻击事件以及乌克兰电厂攻击事件是 2015 财年度被披露最具破坏性的攻击事件。从企业办公网络渗透到工业控制网络的攻击方
11、式正在上升,然后总量仍较低占总事件数量的 12%-14 至 15财年共增加了33%。虽然像 ICS-CERT 这样的政府机构提供了一些工控 网络攻击的趋势数据,但研究人员很少公开披露特定时间和相关袭击。以下是2015 年发生 的重大工控网络安全事件公开记录细节。2016年4月25日,网络罪犯通过伪装将病毒发送给BWL公司-美国密歇根州一家水电集团,管理员关闭整条公司网络以防止病毒针对其工控网络的潜在入侵。(水利)2016年4月25日,巴伐利亚Gundremingen核电站发现其燃料装载系统潜伏恶意软件(电 力)2016 年 2 月 18 日。未透露姓名的船舶公司系统管理员称,公司一个正在行进中
12、的船队感染了 Locky病毒,病毒是通过一个恶意电子邮件链接传播的。(交通)2016 年的 1 月-2 月,朝鲜附属的秘密组织通过鱼叉式钓鱼软件入侵了两家韩国铁路企业, 韩国国家情报局称这是朝鲜为攻击韩国铁路系统所做的准备。(交通)2016 年 1 月 25 日,不知名的攻击者向以色列供电局以色列电力管理机构发送病毒。被 感染的机器被关闭数日以防止病毒移动进入其工业控制网络。(电力)2015 年 12 月 23 日,俄罗斯背景的黑客组织通过采购网络鱼叉攻击成功入侵乌克兰三家电 厂的SCADA系统,之后打开断路器,造成了 225000个客户的大面积停电。(电力)2015 年 12 月,安全人员披
13、露,据称是伊朗的攻击者入侵了美国一家天然气和地热电力公 司的工业网络,窃取了其网络结构图纸,这份图纸包括控制燃气轮机,锅炉和其他关键设备 的控制器细节,美国和伊朗两国的工业网络战役在2013年的 8月前就开始了(应该说的是 震网)(电力)2015年 12月,朝鲜黑客入侵韩国自动化铁路控制公司网络,偷走了一些没有公开的数据, 其中一些很可能与其工业控制网络有关。(交通)2015 年 12 月,一个俄罗斯背景的黑客组织渗透至两家没有披露名称的乌克兰铁路和采矿 业公司,并部署了恶意软件。恶意软件在乌克兰电厂遭到攻击前被发现,袭击可能计划与电厂攻击同时进行以破坏乌克兰的铁路操作系统。(交通)2015
14、年 12 月,调查人员披露,伊朗黑客通过远程连接纽约鲍曼坝的调制解调器访问其SCADA 系统,黑客获得了水位,温度,已经闸门状态的信息。(水利)2015年 8 月,据称是中国的组织攻击了日本铁路的网络,以窃取铁路安全信息,攻击者使 用钓鱼邮件传递木马,试图访问日本铁路犯罪预防,铁路通信系统,安全检查系统的相关信 息,可这能是针对铁路控制网络系统侦察的尝试。(交通)2015年6月,网络罪犯在黑市售卖SCADA系统的访问方式以及偷来的数据,帖子内包括 SCADA用户界面的截图,IP地址,以及管理水轮发电机的SCADA虚拟系统密码。(水利)2015年6月,据称中国背景的团体首次被发现正在进行一个大规
15、模的网络入侵活动,目标 涉及美国航空航天、国防、建筑与工程业、以及高科技公司的活动。这个组织使用零日漏洞 入侵数百个目标,其中可能涵盖工业控制网络。2015年早期,网络罪犯通过向一名员工发送恶意邮件,将病毒感染到美国电力的公司网络。病毒在办公网络中就得到了有效控制,阻止了病毒向工控网络的潜在性渗透。(电力)在分析2015年至2016 年工控网络安全事件发生的成因中,我们可以发现其中的一些规律 和趋势。国家背景团体、网络犯罪、内部威胁很有可能在2016 年和2017年继续对工业企业造成威胁。包括轻轨运营商在内的的新攻击目标可能出现。例如攻击工业云入入侵SCAD, 以及通过劫持工控系统勒索钱财也将出现或者范围扩大。虽然,这段时间的重大事件黑客的 身影并未出现,但是黑客提供的新攻击资源很可能降低攻击者的技术壁垒。内部威胁和不合 规访问为工控网络攻击提供了路径,这将会在2016年和之后继续创造弱点漏洞。1. 国家支持或具有国家背景的团体(入侵工控网络),已经成为工业企业最重要的威胁, 并 且这个威胁将持续。由于原报告设计过多猜测和未经证实涉及政治的言论,我们忽略原 文具体内容,但实际上,来自国家团体的网络威胁对于任何较为发达国家都很严重。2. 2015 年和 2016 年初,勒索软件的种类和所涉及案例
