近年來,伊朗和以色列之間的網絡戰不斷上演,從歷次網絡戰事件來看,工控系統已成為網絡戰的破壞目標。六方云對網絡戰的發展趨勢,工控系統存在的安全問題進行了分析。并對中國網絡安全建設給出了我們的建議。
一、2020年以來伊朗和以色列之間的網絡對抗記錄
二、伊朗與以色列網絡戰能力對比
三、全球網絡戰發展趨勢
四、工控系統成為網絡戰的破壞目標
五、對中國網絡安全的啟示
六、伊朗與以色列歷次重要安全事件回顧
一、2020年以來伊朗和以色列之間的網絡對抗記錄
二、伊朗與以色列網絡戰能力對比
從伊朗與以色列的歷次網絡戰對抗中可明顯看出,伊朗網絡戰能力明顯處于劣勢,一直被動挨打,甚至受到攻擊也無法發現敵人。伊朗對以色列的網絡攻擊明顯少于對手對自己的攻擊,且伊朗對以色列的網絡攻擊多以失敗告終。
反觀以色列,經濟實力雄厚,網絡安全基礎設施完善,網絡技術先進,且有美國在背后撐腰。因此,對伊朗的網絡攻擊屢屢得手。
三、全球網絡戰發展趨勢
1、網絡戰與常規戰相結合,網絡戰取得出奇制勝的效果
(1)先通過網絡攻擊癱瘓對方的防御體系,然后再出動飛機、導彈等進行物理攻擊;
(2)通過間諜安裝破壞裝置,然后再通過網絡遠程引爆;
(3)通過網絡戰隱藏己方作戰計劃和攻擊武器,悄無聲息的對敵方進行打擊。
2、針對關鍵基礎設施的工控系統、軍事設施網絡
(1)能源:電廠、變電站、電網、水利設施、供水管網、管道燃氣網等;
(2)交通:港口、航空、鐵路、公路等;
(3)軍事:兵工廠、彈藥庫、防空系統、武器裝備等。
3、長期潛伏
大家所熟知的震網病毒,從2006年策劃開發,2007年部署,到2010年被發現,潛伏了長達3年時間。
四、工控系統成為網絡戰的破壞目標
仔細分析前述伊朗與以色列之間的網絡戰事件,可以發現大都與工控系統有關。由于工控系統本身安全性問題(如漏洞多、安全防護缺失等),其已成為網絡戰的目標和突破口。
工業控制系統(Industrial Control Systems,ICS)是由計算機與工業過程控制部件組成的自動控制系統,它由控制器、傳感器、傳送器、執行器和輸入/輸出接口等部分組成。其目前廣泛應用于電力、水利、醫藥、食品以及航空航天等工業領域,堪稱重要基礎設施的“神經中樞”,關系到國家和企業的戰略安全。工控系統直接控制物理設備,一旦工控系統遭受破壞,可能導致現實世界中不可逆轉的重大災難。
2010年,伊朗震網病毒事件曝光,揭開了工業控制系統(“工控系統”)的“神秘面紗”,也拉開了攻擊工控系統的序幕。隨后十年間爆發了眾多與工控系統關聯的安全事件,例如:針對電力、水利、能源、交通等基礎設施的定向攻擊或針對式攻擊(APT,advanced persistent threat),對社會秩序造成較大影響;針對生產制造等企業的定向攻擊,竊取商業機密,影響正常生產;撒網式攻擊,特別是2017年席卷全球的WannaCry勒索病毒,工控系統亦成為“疫”區,且在近兩年仍余波不斷。
此外,世界知名的黑客大會,如BlackHat、DefCon等,紛紛將工控安全納入議題;2020年1月世界高水平黑客大賽Pwn2Own更首次將工控納入比賽。可以看出,工控領域似乎正在成為“黑道”和“白道”的藍海,工控系統的漏洞和攻擊面也正隨著工業互聯網的發展,更多的暴露于攻擊者。
對工控系統攻擊可達到的目標
強目的性、針對式的攻擊通常是以破壞工控設備、造成工廠停產、工序異常、次品率增加,甚至火災爆炸等嚴重后果為目標。現代工廠中,大部分現場生產設備都是由控制系統(如:PLC-可編程邏輯控制器、數控車床、DCS-分布式控制系統)進行現場操作。因此,攻擊者的目標是通過直接或間接攻擊或影響控制系統而實現。下文將以工廠PLC舉例,闡述黑客對工控系統的攻擊思路。
例如針對工控系統中的PLC進行攻擊,可采用以下一些方式:
(1)針對式直接攻擊
直接攻擊PLC,是指利用PLC存在的漏洞,或通過口令破解等方式繞過安全認證,成功控制PLC并進行指令修改,實現攻擊目的。當前較多的PLC處于內網,尚不能通過互聯網直接訪問,在此情景下,直接攻擊一般通過物理接觸PLC,或通過內部辦公網絡連接到PLC等方式而實現。隨著工廠智能化的提升,設備實現互聯互通,大量PLC系統連入互聯網,將更易于黑客對PLC發起直接攻擊。
(2)針對式間接攻擊
間接攻擊PLC,是指獲取PLC上一層監控系統(如HMI、IPC、SCADA等)的控制權,通過監控系統向PLC發送惡意指令,或干擾監控系統與PLC的正常通訊,實現攻擊目的。采用間接攻擊場景,通常是由于攻擊者無法直接接觸到控制系統,或對工廠內部PLC系統了解有限,因而轉向攻擊存在大量攻擊者熟悉的IT部件的過程與監控層系統。例如,攻擊者首先獲得IPC(工業計算機)的控制權,分析IPC和PLC之間的傳輸模式,構造惡意指令,通過IPC傳輸給PLC,間接影響PLC的正常工作或阻斷生產狀態的監控和預警。
(3)非針對式攻擊
非針對式攻擊,或稱為撒網式攻擊,是指惡意程序利用系統或網絡的共性漏洞,無差異化感染系統并在內網傳播,影響正常生產秩序。此類攻擊場景雖然不針對工控系統,但由于目前工控環境的安全措施較為薄弱,使得撒網式攻擊在世界范圍內屢屢得手。撒網式攻擊通常以病毒或惡意程序為主,例如,攻擊者利用員工安全意識薄弱,發送釣魚郵件,感染接收者的電腦,再利用網絡環境的脆弱性,在辦公網快速傳播,再蔓延至生產網,感染具有共性漏洞的系統,如IPC等,影響生產或造成破壞。
對工控系統攻擊途徑
工控系統的攻擊途徑大體包含內部發起和外部發起兩類。內部發起又可分為自辦公網滲透到工廠網以及車間現場發起攻擊;外部發起包含針對式攻擊(如APT)和撒網式攻擊。
(1)內部發起
以辦公網為起點:
在辦公網環境內,使用nmap等工具掃描和獲取網段和資產信息,特別是常規工控系統和IT系統端口,Siemens 102,modbus 502,EthernetIP 44818、445、3389等;
利用漏洞對識別出的系統進行攻擊,包括嗅探、權限繞過或提升、重放攻擊、口令猜解、指令注入、永恒之藍漏洞利用、口令猜解等;
成功獲取系統控制權后,嘗試以該主機為跳板,使用Pass the Hash等方式滲透其他系統,找尋工控相關系統PLC、IPC和SCADA等,以實現攻擊目的;
若均未成功,轉向采用社會工程等方式進一步獲取相關信息(如高權限賬號等);
同時,考慮設法進入工廠車間內部,轉為現場攻擊方式;
一些集成控制系統的中控平臺,或者內網的一些類SCADA等組態控制系統的web應用端或者dll、dat容易被劫持后形成工程師站的提權。
以車間現場為起點:
在車間內發起攻擊工控系統是最為直接的方法,手段和選擇同樣是多樣化的。
進入車間后,仔細觀察車間內的情況,尋找IPC或者控制系統的位置,為后續攻擊嘗試做準備。
攻擊嘗試一:
首選目標為控制系統(如PLC),尋找是否存在未上鎖,或者網線接口暴露在外的設備;
嘗試了解相關的控制系統基本信息,例如所使用的品牌,版本等;
嘗試使用電腦在現場連接控制系統,利用弱口令等脆弱性,嘗試惡意指令注入、權限繞過、重放攻擊等。
攻擊嘗試二:
嘗試對現場運行的IPC或者HMI進行攻擊,例如對運行的IPC插入惡意U盤植入惡意程序;
針對未設置權限的IPC或者HMI直接操作,如修改控制系統的指令等惡意操作。
(2)外部發起
針對式攻擊:
APT 攻擊是典型的外部發起的針對式攻擊,攻擊過程包含
對目標企業進行信息收集以初步了解該企業的基本情況;
利用Google、Baidu等搜索引擎尋找暴露在互聯網上的域名或服務器;
利用爬蟲技術盡可能獲取網站所有鏈接、子域名、C段等;
嘗試對網站應用進行高危漏洞利用,例如惡意文件上傳、命令執行、SQL注入、跨站腳本、賬戶越權等;
嘗試獲取網站webshell,再提升至服務器權限;
以該服務器為跳板打入內網環境,轉變為內部攻擊的模式;
通過從互聯網搜索外網郵箱的用戶名,根據企業的特點,針對式地給這些用戶發送釣魚郵件,以中招的電腦為跳板打入內部環境,轉變為內部攻擊的模式;
利用偽造門禁卡,或者偽裝參觀、面試人員或者尾隨內部員工的方式物理進入企業內部,轉變成為內部攻擊的模式。
撒網式攻擊:
利用Google和Baidu等搜索引擎找出暴露在互聯網上企業的域名,若發現可以利用的漏洞則轉為針對式攻擊;
利用社工,盡可能多收集企業的員工的郵箱,大批量發送釣魚郵件;
使用Shodan搜索引擎,針對暴露在互聯網上的工控系統發起攻擊,成功后轉為內部攻擊。
黑客攻擊鏈(Cyber Kill Chain):
一般來說,攻擊者通常以低成本、撒網式的攻擊手段,如發送釣魚郵件等社工方式,開始攻擊嘗試。當受害者點開附在釣魚郵件內的惡意鏈接或惡意程序時,“潘多拉之盒”就此打開,攻擊者將嘗試攻陷受害者的設備,并以此設備為跳板,打入企業內網。如果工控網絡未能做到與辦公網絡的有效隔離,攻擊者可以在進入辦公網絡后掃描并分析發現相關工控資產。當前許多工廠工控環境抵御網絡攻擊的能力較弱,大多存在弱口令,權限設置不當,共享賬號和密碼,補丁和脆弱性管理缺失,網絡隔離和防護不充分等高危漏洞,使得攻擊者利用這些漏洞,在企業工控網內大范圍、無阻攔、跨領域的對工控資產進行攻擊,最終導致工業數據泄露、設備破壞、工序異常、次品率增加、火災爆炸甚至威脅員工安全等嚴重后果,形成完整的黑客攻擊鏈。
工控系統存在的安全問題
(1)組織與人員
未落實安全責任:管理層重視不足,部門間安全職責不清晰,無明確安全部門或崗位。
安全意識薄弱:員工對工控系統的安全意識相對薄弱,特別是生產或一線員工。傳統型企業的“隱匿式安全”(security by obscurity),認為嚴格物理安全和訪問管理即可確保安全,認為未發生安全事件即是安全,這往往使得企業忽略對網絡安全的建設,未能及時補救隱患。
(2)管理與監督
“經驗式”管理:工控系統自身缺乏安全設計與考量,是很多企業存在的普遍現象,通過實施適當安全保障措施,可以有效彌補。但很多企業并沒有建立有效的安全策略和措施,僅依靠個人經驗和歷史經驗進行管理。
應急響應機制缺失:缺少應急響應機制,出現突發事件時無法快速組織人力和部署應對措施來控制事件進一步蔓延,并在最短時間內解決問題和恢復生產。
缺少恰當的口令策略:未設置恰當的口令策略和管理,如弱口令,共享口令,多臺主機或設備共用一個口令,以及口令共享給第三方供應商等情形,增加密碼泄露風險。
缺乏安全審計日志:系統出現安全事件后,無法追蹤和分析事件源頭和原因,以避免類似情形的再次發生。
(3)網絡與架構
“防君子式”網絡隔離:內部辦公網絡和工廠網絡缺乏有效隔離,未劃分安全域進行防護,導致辦公網絡的攻擊或病毒蔓延至工廠網絡,造成生產影響。
不安全的通訊協議:工業控制協議非標準化,且大多存在安全隱患,例如CAN、DNP3.0、Modbus、IEC60870-5-101。
不安全的遠程訪問:為方便維修工程師和供應商的遠程調試,未對遠程訪問部署安全措施和監控,此類遠程訪問功能可能是攻擊者利用率最高的漏洞之一。
復雜的結構:工控系統的結構相對于IT環境而言更為復雜,攻擊面較多。典型的工控環境一般會有以下組成部件:控制器(PLC、數控車床、DCS)、SCADA系統、工業計算機、工業軟件、HMI、網絡、交換機、路由器、工業數據庫等,其中任意一個環節或者部件出現問題就有可能導致整個工控系統被攻擊。
(4)主機與設備
認證與授權:為了日常使用方便,重要控制系統未設置密碼、設置弱密碼或共用密碼,將密碼貼在現場機器上,這些“便利”往往也為攻擊者的入侵提供了極大的便利。
防病毒軟件:未安裝病毒防護軟件,未及時更新病毒庫,非正版軟件等。
操作系統陳舊性:現在的工廠環境中,使用越來越多的計算機系統,然而由于工業控制系統的更新迭代的時間相比于IT系統要長很多,使得工業控制系統中存在大量陳舊的計算機系統,如windows xp、windows 2003等操作系統,存在大量可被攻擊利用的高危漏洞。
默認配置:許多工廠在安裝設備時,使用了默認口令、默認路徑,開啟不必要且不安全的端口和服務等默認配置。
離線設備管理:對于離線設備,往往認為是安全的,忽視網絡安全保護措施。但隨著企業數字化的推進或在業務需要時進行網絡連接時,此類設備可能會成為安全體系的短板和缺口。
(5)物理防護
硬件調試接口:重要控制系統的機架未上鎖,或暴露在外的調試接口未有效防護。
物理端口:未對IPC等通用接口進行有效管理或禁用,如USB、PS/2等外部接口,可能存在設備未授權接入風險,導致病毒感染或者程序非法修改。
外部人員訪問:人員進出車間管控不嚴,特別是外部人員,如供應商等。
五、對中國網絡安全的啟示
1、網絡戰離我們并不遙遠。中國是受網絡攻擊最嚴重的的國家之一,這些攻擊行為里面可能有不少是某個國家的網軍所為。
2、我們需加大網絡安全投入,有效保護關鍵基礎設施;
3、我們需要加大網絡安全人才的培養,以保證在未來的網絡戰中立于不敗;
4、落后就要挨打,因此我們需加大網絡攻擊技術和防御技術的研究。例如應對實時變化的威脅變種,需具有檢測未知威脅的能力(如六方云神探產品);
5、及時識別風險,評估不斷變化的網絡安全風險;
6、及時修復關鍵基礎設施工控系統的漏洞;
7、防止并打擊網絡空間的犯罪活動;
8、及時有效響應網絡安全事件,最大限度緩解潛在重大網絡事件帶來的后果。
來源:六方云
