躲過了「永恆之藍」,但工控系統並非高枕無憂
文章推薦指數: 80 %
「永恆之藍」勒索蠕蟲全球攻擊事件漸漸平息,此次蠕蟲攻擊主要波及網際網路、企業內網和機構專網,尚沒有工業控制系統遭遇攻擊的事件發生,但這並非意味著工業控制系統可以高枕無憂,在類似「永恆之藍」這樣的安全威脅面前,工業控制系統也同樣面臨著巨大的安全風險。
工業控制系統大量使用了標準IT產品
工業控制系統(以下簡稱工控系統)基於IT技術,控制反應裝置、生產設備、交通運輸機車車輛等工業設備的運行,被稱為工業系統的「神經中樞」,廣泛應用於電力、核電、石油化工、軌道交通、智能製造等領域。
因IT行業的快速發展,工控系統大量使用了標準化的IT產品,例如標準交換機、PC機,Windows作業系統,軟體中間件等,在提高工控系統性能、降低採購成本的同時,也引入了信息安全風險。
Windows作業系統被用於核電、火電、石油煉化等高危險性流程行業工控系統中的操作員監控、實時資料庫、歷史資料庫等關鍵設備和組件,也被用於軌道交通信號系統的調度、聯鎖監控等關鍵操作。
工業場景圖
工控系統與IT系統在信息安全目標方面有所不同。
從某種意義上說,工控系統在面對信息安全威脅時更「脆弱」。
很多工控系統,特別是火電、核電、石油煉化等流程自動化行業的工控系統需要7*24小時不間斷運行,工控系統非正常停機將造成重大的經濟損失甚至會造成爆炸、環境污染等嚴重的社會危害。
某種信息安全攻擊,即使不對工控系統數據進行篡改或竊取,只是迫使工控系統不運行或不正常運行就會造成嚴重危害。
與此同時,工控系統相對IT系統產品更新換代周期長,一套工控系統普遍要使用十年以上,且大部分工控系統沒有進行充分的信息安全防護。
目前工業現場還大量使用Windows XP,Windows Server 2003等作業系統。
即使使用Win7等系統也普遍同教育網一樣沒有關閉445等埠,甚至有些工業軟體需要使用445埠進行文件傳輸,不能關閉。
這就造成工控系統比企業內網更容易受到病毒攻擊。
永恆之藍(WannaCry)病毒對工控系統的威脅
此次永恆之藍(WannaCry)病毒將Windows用戶文件加密,有可能造成安裝在作業系統上的工業軟體、實時資料庫等不能正常工作,造成整個工控系統不能正常運行。
目前大部分流程自動化和軌道交通行業的工業控制網絡並沒有同網際網路相連,永恆之藍(WannaCry)病毒沒有第一時間大規模侵入工業控制網絡。
如果病毒發生變種,如:潛伏期、U盤傳播等,病毒通過違規外聯、U盤擺渡等方式傳入的風險仍將存在,存在嚴重的安全隱患。
360工業網際網路安全實驗室對典型工控系統進行了永恆之藍(WannaCry)病毒發作推演和復現,發現此病毒嚴重影響工控系統正常運行。
360工業網際網路安全實驗室在仿真系統上試驗圖
針對IT系統的緊急處理措施不適用於工控系統
目前政府相關主管部門和許多機構、企業發布了IT系統應對永恆之藍(WannaCry)病毒的應對指南。
這些緊急處理措施有許多並不適用於工控系統。
例如:
- 立刻進行作業系統升級,打補丁。
對於需要7*24小時不間斷運行的工控系統,不能隨意進行作業系統升級。
因為作業系統升級有可能需要重啟系統,也有可能在安裝過程中對工控系統正常運行產生影響,甚至有可能升級的作業系統版本與工業軟體存在兼容性問題。
工控系統的作業系統升級一般在停機檢修時完成,而且在升級前必須經過工控系統廠商嚴格的兼容性測試。
- 立刻關閉445等埠。
如上文提到,有些工業軟體會用到445埠,不能關閉。
所以工業客戶如果想關閉445等埠,必須提前經過工控系統廠商確認。
- 安裝殺毒軟體進行病毒查殺。
對於安裝殺毒軟體,常規IT系統殺毒軟體不能用於工控系統。
已經發生多起因殺毒軟體誤殺造成的工控系統停機事件。
工業控制系統可採用的應對措施
- 摸清現狀,儘量做到實時監測。
立即採用工具或部署旁路檢測設備,監控工控系統網絡病毒感染情況。
目前很多工控系統都屬於信息安全「裸奔」狀態,工業企業對工控系統和工業網絡中的威脅情況一無所知。
緊急部署旁路檢測設備,監控工控系統網絡病毒感染情況是當務之急。
這些旁路檢測設備大部分都使用交換機鏡像流量,可以在工控系統運行時部署。
- 部署結合大數據威脅情報的新一代工業態勢感知和安全管控平台。
結合雲端威脅情報大數據能力實時監測工控系統信息安全狀況,發現威脅,甚至可以進行攻擊溯源。
360工業態勢感知和安全管控平台
- 可能的情況下,儘快升級最新補丁。
聯絡設備供應商,服務集成商,在確認補丁不會影響業務運營前提下,儘快升級相關補丁。
- 加強管理,避免病毒傳入。
目前很多工控系統還沒有聯網,非法計算機接入和U盤可能是病毒最重要的傳播媒介。
所以工業企業須嚴格管理,避免非法計算機接入和非法U盤的使用,這是近期工業企業工控信息安全的重要任務。
雖然簡單,也是非常有效的手段。
- 立刻備份,制定應急預案。
建議工業企業檢查自己的數據備份、版本管理情況,嚴格管理。
也需要建立企業的病毒處理預案,建議提前準備好經過安全防護處理的操作員站、伺服器等設備。
如果病毒發作,第一時間斷網,把經過防護處理的計算機投入使用。
有條件的話在工業網絡中架設kill switch域名服務。
- 在停機檢修期間進行系統升級,部署工控系統專用防護設備和軟體。
企業在風險和成本分析可行的情況下,部署工控系統專用防護設備和軟體,例如:主機白名單軟體和工控專用防火牆,從而提升縱深防護能力。
此次永恆之藍(WannaCry)病毒的發作給行業敲醒了警鐘,我們切實感受到了勒索病毒的危害。
在RSA 2017大會上,工業勒索是信息安全專家重點關注的內容。
如何應對工業勒索的威脅,甚至考慮到如何系統化處理好工業安全問題,還需要國家高度重視,並進行頂層設計、系統實施、加強監管,需要工業企業、工控系統廠商、安全廠商共同努力。
工業安全需要走的路很長。
作者:360企業安全集團 王弢/楊東曉
原創 | 智能製造背景下化工行業工業控制系統安全分析與探討
摘要:文章介紹了化工行業工業控制系統信息安全面臨的形勢,研究與分析在智能製造的背景下存在的信息安全漏洞與風險,提出了防範措施與建議。1概述眾所周知,工業控制系統(Industrial and C...
WNCRYP爆發世界兩大工業控制系統入侵事件,做好防禦工作!
本期導讀:伊朗布希爾核電站開車之際為何1/5的離心機報廢?烏克蘭西部伊萬諾-弗蘭科夫斯克地區為何突然30座變電站下線,使得超過23萬名居民陷入無電可用的困境?你的工控系統是在「裸奔」嗎?拿什麼手...
由台積電「中毒」停擺帶來的工控安全啟示
台積電工廠病毒事件帶來的教訓是慘痛的,據估算,其帶來的損失超過10億人民幣(台積電官方預估此次病毒感染事件將導致晶圓出貨延遲以及成本增加,對公司第三季的營收影響約為百分之三,毛利率的影響約為一個...
你所不知道的工業控制系統安全有多嚴重
據權威工業安全事件信息庫RISI統計,截止到2011年10月,全球已發生200餘起針對工業控制系統的攻擊事件。2001年後,通用開發標準與網際網路技術的廣泛使用,使針對工業控制系統(ICS)的...
當心!95%工業控制系統有漏洞,面臨巨大安全風險
全球近年來發生多起重大工業信息安全事件。一些組織或個人通過對工業設施和工業系統進行網絡攻擊,謀求達成政治訴求或經濟訴求。目前,我國絕大多數工業控制系統在沒有防護措施的情況下暴露於網際網路,且含有...
資安保護形勢越發嚴峻,這項技術使資安防護更加完整
2018年1月中國資訊通信研究院公布《中國企業資料保護白皮書》,顯示保護信息安全刻不容緩。自2017年5月勒索蠕蟲WannaCry病毒爆發,至2017年10月出現Arena新型勒索病毒,導致企業...
如何打造可信可控的物聯網工業環境?
電腦病毒是每個人都熟悉的概念,而在工控安全領域這種威脅依然存在,且防護難度大,危害面積廣。工控上位機(工程師站和操作員站)是SCADA、DCS系統軟硬體組態的操作介面,承擔數據服務站的角色,負責...
雙創「英雄匯」-安洽科技悉心守護工控系統
認知物聯網 應對新挑戰 今年5月12日,新型勒索軟體「Wannacry」大鬧全球。這不禁讓我們聯想到《速度與激情8》里的場景——黑客組織黑掉數百輛汽車,把交通狀況本就混亂不堪的紐約變成了主角們的...
軌道交通監控系統安全防護——需求分析
今天給大家分享我做過的安全解決方案的實例中的需求分析,文章刪除了甲方的敏感信息、技術細節和乙方的產品信息(規避廣告嫌疑)。軌道交通監控系統安全防護需求分析軌道交通監控系統現狀及問題目前,城市軌道...
安點科技工控信息安全三部曲 防護/監控/審計
「敵人正變得的越來越聰明,更有效率,因此更成功的穿透了我們的工業網絡",最近BoozAllen調查報告印證了這一事實。該公司調查了314個散布在全球各地的工業控制系統,其中34%在本年度遭受了兩...