WNCRYP爆發世界兩大工業控制系統入侵事件,做好防禦工作!
文章推薦指數: 80 %
本期導讀:
伊朗布希爾核電站開車之際為何1/5的離心機報廢?
烏克蘭西部伊萬諾-弗蘭科夫斯克地區為何突然30座變電站下線,使得超過23萬名居民陷入無電可用的困境?
你的工控系統是在「裸奔」嗎?拿什麼手段防禦入侵?
引言
5月12日,一個名為WNCRYPT「永恆之藍」的勒索病毒悄然爆發,並在短短時間內迅速感染了超過150個國家和地區的計算機系統,此次在全球範圍內爆發的WNCRYPT「永恆之藍」勒索病毒事件不僅感染了醫療系統、快遞公司、學校、銀行、警察局等,還感染了很多大型石油石化公司。
隨著信息化的推動和工業化進程的加速,計算機和網絡技術越來越多地應用於工業控制系統,為工業生成帶來極大推動的同時,也帶來了工業控制系統(簡稱工控系統)安全性的問題。
據權威機構統計,截至2017年底,全球發生了1000餘起針對工控系統的攻擊事件。
工控系統是現代工業基礎設施的核心,包括過程控制、數據採集系統、分布式控制系統、程序邏輯控制以及其他控制系統等,廣泛應用於核設施、鋼鐵、有色、化工、石油石化、電力、天然氣、先進位造、水利樞紐、環境保護、鐵路、城市軌道交通、民航、城市供水供氣供熱以及其他與國計民生緊密相關的領域,是國家關鍵基礎設施的重要組成部分。
而工業控制系統的安全,更關係到國家的戰略安全。
如何保證工業控制系統的安全,已引起國家相關部門的高度重視,企業應充分認識工業控制系統信息安全的重要性和緊迫性,切實加強工業控制系統信息安全管理,以保障工業生產運行安全、國家經濟安全和人民生命財產安全。
世界兩大工業控制系統(ICS)事件回顧!
►事件一:世界ICS入侵第一事件伊朗「震網」病毒事件
2011年2月,伊朗突然宣布暫時卸載首座核電站——布希爾核電站的核燃料,西方國家也悄悄對伊朗核計劃進展預測進行了重大修改。
但就在幾個月前,美國和以色列還在警告,伊朗只需一年就能擁有快速製造核武器的能力。
為什麼會突然出現如此重大變化?因為布希爾核電站遭到「震網」病毒攻擊,1/5的離心機報廢。
自2010年8月該核電站啟用後就發生連串故障,伊朗政府表面聲稱是天熱所致,但真正原因卻是核電站遭病毒攻擊。
一種名為「震網」(Stuxnet)的蠕蟲病毒,侵入了伊朗工廠企業甚至進入西門子為核電站設計的工業控制軟體,並可奪取對一系列核心生產設備尤其是核電設備的關鍵控制權。
「震網」包含空前複雜的惡意代碼,是一種典型的計算機病毒,能自我複製,並將副本通過網絡傳輸,任何一台個人電腦只要和染毒電腦相連,自動傳播給其他與之相連的電腦,最後造成大量網絡流量的連鎖效應,導致整個網絡系統癱瘓。
「震網」主要通過U盤和區域網進行傳播,是第一個利用Windows「零日漏洞」,專門針對工業控制系統發動攻擊的惡意軟體,能夠攻擊石油運輸管道、發電廠、大型通信設施、機場等多種工業和民用基礎設施,被稱為「網絡飛彈」。
「震網」無須通過網際網路便可傳播,只要目標計算機使用微軟系統,「震網」便會偽裝RealTek與JMicron兩大公司的數字簽名,順利繞過安全檢測,自動找尋及攻擊工業控制系統軟體,以控制設施冷卻系統或渦輪機運作,甚至讓設備失控自毀,而工作人員卻毫不知情。
由此,「震網」成為第一個專門攻擊物理世界基礎設施的蠕蟲病毒。
可以說,「震網」也是有史以來最高端的蠕蟲病毒,是首個超級網絡武器!
►事件二:烏克蘭電網攻擊事件
2015年12月23號下午3:30,烏克蘭西部伊萬諾-弗蘭科夫斯克地區的居民們結束了一天的工作,陸續走向通往溫暖家中的寒冷街道。
而在負責當地電力供應的Prykarpattyaoblenergo控制中心,運維人員也即將完成自己的當次輪班。
但就在這一切順利推進的同時,平靜被打破了,一 位當值人員在整理桌上文件時,突然發現自己的計算機螢幕上的光標開始四處游移。
他看到光標指向負責當地變電站斷路器的導航按鈕,點擊對話框並選擇斷開斷路器——這項操作將使得整座變電站全面下線。
接下來,螢幕上出現了確認窗口以覆核上述操作,這位運維人員目瞪口呆地看著光標移動到框體之內並點擊了確定。
這時他已經可以肯定,城外的某處區域內數以千計的居民將因此陷入黑暗與寒冷當中。
這位運維人員立刻抓起滑鼠,試圖奪回對光標的控制權——但他的反應似乎還是慢了一點。
光標隨後朝著另一個斷路器控制按鈕移動,而設備亦突然將他從控制面板中登出。
雖然他反覆嘗試重複登錄,但攻擊者變更了他的密碼內容,使其無法順利完成驗證。
這時候,他能做的只有無奈地盯著螢幕,眼睜睜地看著設備中的惡意幽靈斷開一個又一個斷路器,最終導致約30座變電站下線。
然而攻擊者並沒有就這樣停下腳步。
此次攻擊還影響到另外兩座配電中心,這意味著遭遇下線的變電站數量幾乎翻了一倍,使得超過23萬名居民陷入無電可用的困境。
不僅如此,其亦無法從總計三座電力供應中心的兩座處獲取備用電力,這意味著運維人員自身也被停電引發的黑暗所籠罩。
作為有史以來首例得到確認的電力設施攻擊行動,此次烏克蘭電力中心遇襲案的組織者們並不是碰巧接入其網絡並發動功能測試攻擊的機會主義者;根據相關廣泛調查得出的最新結論,這群惡意人士擁有高超的技術水平及藏身策略。
他們已經拿出幾個月時間對攻擊細節進行精心策劃,包括首先偵察並研究網絡條件、獲取運維人員登錄憑證,而後發動這次嚴密編排下的同步攻擊活動。
無論如何,此次攻擊成功影響到了烏克蘭的發電設施,並給全球各國的諸多配電中心帶來值得借鑑的重要啟示,無論停電事故的真正意圖是什麼,這都是有史以來第一次針對電力網絡開展的攻擊行為。
當運維人員當時可能根本不知道螢幕上四處亂動的光標究竟意味著什麼,但如今全世界的運維人員都得到了一項明確的警告——目前這種攻擊持續時間不長且危害並不嚴重,但下一次可就不一定了。
你的工控系統不是在「裸奔」,作為儀表人你拿什麼阻擋?
什麼是工業控制系統
工業控制系統(ICS)是由各種自動化控制組件以及對實時數據進行採集、監測的過程控制組件,共同構成的確保工業基礎設施自動化運行、過程控制與監控的業務流程管控系統。
其核心組件包括SCADA、DCS、PLC、RTU、IED以及接口技術等。
目前ICS主要面臨以下風險
ICS風險的主要根源
-
漏洞隱蔽性和嚴重性;
-
採用專用的硬體、軟體和通信協議。
-
安全重視不夠、連接無序、數據保護和應急管理不足;設計上考慮到封閉性、主要以傳統安全為主。
-
默認配置、連接、組網、採購升級無序;主要基於工業應用的場景和執行效率。
工控平台的脆弱性
-
平台本身的安全漏洞問題;
-
殺毒軟體安裝及升級更新問題;
-
大量默認配置和默認口令;
-
專用平台和通用平台漏洞。
工控網絡的脆弱性
TCP/IP等通用協議與開發標準引入工業控制系統,特別是物聯網、雲計算、移動網際網路等新興技術,使得理論上絕對的物理隔離網絡正因為需求和業務模式的改變而不再切實可行。
傳統的威脅同樣會在工業網絡中重現。
-
邊界安全策略缺失;
-
系統安全防禦機制缺失;
-
管理制度缺失或不完善;
-
網絡配置規範缺失;
-
監控與應急響應機制缺失;
-
網絡通信(無線接入+撥號網絡)保障機制缺失;
-
基礎設施可用性保障機制缺失。
安全管理、標準和人才的脆弱性
缺乏完整有效安全管理、標準和資金投入是當前我國工業控制系統的難題之一。
其次,過多的強調網絡邊界的防護、內部環境的封閉,讓內部安全管理變得混亂。
另外,既了解工控系統原理和業務操作又懂信息安全的人才少之又少,為混亂的工控安全管理埋下了伏筆。
最後,內網審計、監控、准入、認證、終端管理等缺失也是造成工控系統安全威脅的重要原因。
如:使用U盤、光碟導致的病毒傳播、筆記本電腦的隨意接入與撥號、ICS缺少監控和審計等問題。
工業控制系統信息安全規範
2016年12月27日,國家網際網路信息辦公室發布《國家網絡空間安全戰略》
2016年10月17日,工業和信息化部發布《工業控制系統信息安全防護指南》
2016年10月13日,《GB/T 33009 工業自動化和控制系統網絡安全 集散控制系統(DCS)》發布
美國《工業控制系統安全指南》也對ICS系統安全防護作出了指導意見。
如何做好工控安全防護工作
一、安全軟體選擇與管理
(一)在工業主機上採用經過離線環境中充分驗證測試的防病毒軟體或應用程式白名單軟體,只允許經過工業企業自身授權和安全評估的軟體運行。
(二)建立防病毒和惡意軟體入侵管理機制,對工業控制系統及臨時接入的設備採取病毒查殺等安全預防措施。
二、配置和補丁管理
(一)做好工業控制網絡、工業主機和工業控制設備的安全配置,建立工業控制系統配置清單,定期進行配置審計。
(二)對重大配置變更制定變更計劃並進行影響分析,配置變更實施前進行嚴格安全測試。
(三)密切關注重大工控安全漏洞及其補丁發布,及時採取補丁升級措施。
在補丁安裝前,需對補丁進行嚴格的安全評估和測試驗證。
三、 邊界安全防護
(一)分離工業控制系統的開發、測試和生產環境。
(二)通過工業控制網絡邊界防護設備對工業控制網絡與企業網或網際網路之間的邊界進行安全防護,禁止沒有防護的工業控制網絡與網際網路連接。
(三)通過工業防火牆、網閘等防護設備對工業控制網絡安全區域之間進行邏輯隔離安全防護。
四、物理和環境安全防護
(一)對重要工程師站、資料庫、伺服器等核心工業控制軟硬體所在區域採取訪問控制、視頻監控、專人值守等物理安全防護措施。
(二)拆除或封閉工業主機上不必要的USB、光碟機、無線等接口。
若確需使用,通過主機外設安全管理技術手段實施嚴格訪問控制。
五、身份認證
(一)在工業主機登錄、應用服務資源訪問、工業雲平台訪問等過程中使用身份認證管理。
對於關鍵設備、系統和平台的訪問採用多因素認證。
(二)合理分類設置帳戶權限,以最小特權原則分配帳戶權限。
(三)強化工業控制設備、SCADA軟體、工業通信設備等的登錄帳戶及密碼,避免使用默認口令或弱口令,定期更新口令。
(四)加強對身份認證證書信息保護力度,禁止在不同系統和網絡環境下共享。
六、遠程訪問安全
(一)原則上嚴格禁止工業控制系統面向網際網路開通HTTP、FTP、Telnet等高風險通用網絡服務。
(二)確需遠程訪問的,採用數據單向訪問控制等策略進行安全加固,對訪問時限進行控制,並採用加標鎖定策略。
(三)確需遠程維護的,採用虛擬專用網絡(VPN)等遠程接入方式進行。
(四)保留工業控制系統的相關訪問日誌,並對操作過程進行安全審計。
七、安全監測和應急預案演練
(一)在工業控制網絡部署網絡安全監測設備,及時發現、報告並處理網絡攻擊或異常行為。
(二)在重要工業控制設備前端部署具備工業協議深度包檢測功能的防護設備,限制違法操作。
(三)制定工控安全事件應急響應預案,當遭受安全威脅導致工業控制系統出現異常或故障時,應立即採取緊急防護措施,防止事態擴大,並逐級報送直至屬地省級工業和信息化主管部門,同時注意保護現場,以便進行調查取證。
(四)定期對工業控制系統的應急響應預案進行演練,必要時對應急響應預案進行修
訂。
八、資產安全
(一)建設工業控制系統資產清單,明確資產責任人,以及資產使用及處置規則。
(二)對關鍵主機設備、網絡設備、控制組件等進行冗餘配置。
九、數據安全
(一)對靜態存儲和動態傳輸過程中的重要工業數據進行保護,根據風險評估結果對數據信息進行分級分類管理。
(二)定期備份關鍵業務數據。
(三)對測試數據進行保護。
十、供應鏈管理
(一)在選擇工業控制系統規劃、設計、建設、運維或評估等服務商時,優先考慮具備工控安全防護經驗的企事業單位,以合同等方式明確服務商應承擔的信息安全責任和義務。
(二)以保密協議的方式要求服務商做好保密工作,防範敏感信息外泄。
十一、落實責任
通過建立工控安全管理機制、成立信息安全協調小組等方式,明確工控安全管理責任人,落實工控安全責任制,部署工控安全防護措施。
結束語
工控系統安全是關係國計民生的重大戰略問題,在當前新形勢下,如何對工控系統進行防護,防止來自內部、外部的安全威脅和惡意攻擊,是信息安全領域面臨的重大挑戰,我們儀表人首先要解決好安全認識問題,這一點是工控安全的難點和重點問題,其次在夯實網絡安全基礎方面,「做好等級保護、風險評估、漏洞發現等基礎性工作,完善網絡安全監測預警和網絡安全重大事件應急處置機制」。
美國《工業控制系統安全指南》可做參考!
儀表圈,儀表人自己的圈子!
經驗+知識+見解+工具
你所不知道的工業控制系統安全有多嚴重
據權威工業安全事件信息庫RISI統計,截止到2011年10月,全球已發生200餘起針對工業控制系統的攻擊事件。2001年後,通用開發標準與網際網路技術的廣泛使用,使針對工業控制系統(ICS)的...
第一時間詳解《工業控制系統信息安全防護指南》
11月3日,工信部網站正式發布「工業和信息化部關於印發《工業控制系統信息安全防護指南》的通知」 (以下簡稱通知),牛君第一時間聯繫威努特的技術專家對通知進行了解讀,以下是全文:
深度解析工控系統病毒的危害 是誰扼殺了其安全的未來之路?
以往,黑客多以金融、商業信息系統為攻擊對象,以竊取用戶及企業信息為牟利目的。然近年來,黑客的攻擊範圍及性質發生了變化,以往不被重視的工業控制系統(ICS),成為黑客攻擊的新目標。一、工業控制系統...
搶先看|《2015年工業控制網絡安全態勢報告》
4月11日,由匡恩網絡撰寫的《2015年工業控制網絡安全態勢報告》正式公開發布,該報告披露了大量國內外重大工控網絡安全的事件和案例,並進行了深度分析,是了解國內外工控安全形勢,幫助政府、研究機構...
雙創「英雄匯」-安洽科技悉心守護工控系統
認知物聯網 應對新挑戰 今年5月12日,新型勒索軟體「Wannacry」大鬧全球。這不禁讓我們聯想到《速度與激情8》里的場景——黑客組織黑掉數百輛汽車,把交通狀況本就混亂不堪的紐約變成了主角們的...
躲過了「永恆之藍」,但工控系統並非高枕無憂
「永恆之藍」勒索蠕蟲全球攻擊事件漸漸平息,此次蠕蟲攻擊主要波及網際網路、企業內網和機構專網,尚沒有工業控制系統遭遇攻擊的事件發生,但這並非意味著工業控制系統可以高枕無憂,在類似「永恆之藍」這樣的...
穀神星網絡:震驚世界的七大工控網絡安全事件
近年來,針對工業控制系統的各種網絡攻擊事件日益增多,暴露出工業控制系統在安全防護方面的嚴重不足。穀神星網絡科技為大家匯總了世界七大典型的世界工控網絡安全事件,以了解工業控制系統所面臨的安全威脅,...
當心!95%工業控制系統有漏洞,面臨巨大安全風險
全球近年來發生多起重大工業信息安全事件。一些組織或個人通過對工業設施和工業系統進行網絡攻擊,謀求達成政治訴求或經濟訴求。目前,我國絕大多數工業控制系統在沒有防護措施的情況下暴露於網際網路,且含有...
軌道交通監控系統安全防護——需求分析
今天給大家分享我做過的安全解決方案的實例中的需求分析,文章刪除了甲方的敏感信息、技術細節和乙方的產品信息(規避廣告嫌疑)。軌道交通監控系統安全防護需求分析軌道交通監控系統現狀及問題目前,城市軌道...
解密:足以毀掉世界工業的工業網絡病毒「震網」
近日,德國西門子公司與因特爾網絡安全部門合作,展開了對西門子工業信息網絡系統的過程控制進行網絡安全布控。其實,網絡信息的安全性對於現代工業至關重要,尤其是像德國西門子這樣的龐大的工業網絡集群公司。
布控工控安全防護工作,安全設備的「智慧」大腦
近日,信軟司組織召開《工業控制系統信息安全防護指南》宣貫會,要求工業控制系統應用企業要從工業控制設備的安全配置及定期進行配置審計等十一個方面做好工控安全防護工作。複雜的工控網絡必然需要配置多種安...
黑客攻擊、木馬植入——工業網際網路頭懸四把利劍
工業互聯,方興未艾。各路設備,加速入網。以信息網絡技術加速創新與滲透融合為突出特徵的新工業革命,正不斷加速全球經濟數字化轉型步伐。世界主要國家競相把深化製造業與網際網路融合、發展工業網際網路作為...