安点科技工控信息安全简报
安点科技:工控信息安全简报
工业控制系统(ICS)代表工业设备间的连接越来越广泛和多样化。工业控制系统和工业自动化是我们社会生活中的宝贵财富—电力通过电网输送,石油流经管道,列车在铁轨系统上交汇,食品和药品在经过生产线成为商品都与之密不可分。然而现实是,越来越多针对工业生产中工控网络部分的事件正在发生。2015年至2016年,工控网络事件的发生频率远远大于往年。
有兴趣破坏工控系统的人员可分为以下几大类:
1.具有国家背景的团队为了政治目的攻击工业控制系统。
他们寻求破坏敌国的工控系统以对其造成损害,或潜伏为未来可能的冲突抢占先机,以促进本国利益。
2.罪犯
他们将工控系统索为人质向企业收取赎金,以及将工控系统漏洞在黑市卖钱。
3.黑客
黑客希望通过攻击工控系统提升自己的社会、政治影响力或知名度。
4.业内人士
业内人士有意或者无意介绍工控系统的漏洞或造成工控网络事故。这种风险包含来自合作伙伴和供应商产生的风险。
不仅仅是专业保护工控网络和工控设备的安全人员需要意识到相关风险,普通的信息工程师,企业的领导者,甚至普通员工都应当提升风险意识。
工控系统遭受攻击的影响可能是毁灭性的,这可能造成工控设备罢工停产,甚至危及员工和顾客的生命安全。此外,攻击者为了成功的攻击,往往寻求企业的IT网络作为立足点,以此为轴入侵工控系统。这就造成了工控系统攻击的影响覆盖面远远大于工业设备、工控网络本身,影响扩展到企业网络的每一个部分,甚至影响企业整条供应链。
在分析2015年至2016年工控系统攻击事件的过程中,几个关键结论浮现出来。
国家背景的,以犯罪为目的的以及内部人员所为的工控系统攻击风险将于2016年以及即将到来的2017年持续增加。
新的攻击目标,包括轻轨企业在内的新目标很可能出现。同时新的战术,例如攻击工业云入入侵SCAD,以及通过劫持工控系统勒索钱财也将出现或者范围扩大。
工控系统攻击的技壁垒正在降低,黑客们可能没有意识到,他们公开漏洞或相关资料,可能降低低技术能力恶意攻击者的技术壁垒
内部人员造成的威胁或不合规访问的不恰当管理将在本年度及之后继续创造攻击漏洞。
企业的领导人和网络安全专家需要做出一系列决策应对这些威胁:工控网络管理应当被视作安全生产管理的一部分得到重视,充分认识工控系统漏洞信息,工控系统攻击可能造成的威胁以及事故的恶劣影响。综合这些信息,了解工控系统安全风险,并提高工控网络安全建设的优先级。减轻工控系统安全风险需要做的比仅仅打补丁或者设置防火墙更多,这需要设立正确的制度和规范,培训员工,确保整条网络得到合理的布局和隔离等。同时,虽然炼油厂、电厂等等工厂的工控系统是相对静态的,但工控系统设备商,技术工程师以及网络安全专家应该意识弱点和威胁环境的的变化,并根据敌人发展他们的技术手段。
如今工业企业面对的工控网络环境比之前任何时候都危险。工控网络袭击的规模、类型和严重程度都在快速的增长。2015年,工业企业向有关当局上报的事件数量达到峰值。根据记录,2015年发生的工控网络事件比往年高出20%。
一些工业企业公开,工控网络攻击对他们的设备和系统造成物理损坏。国家支持的组织进行了大规模的网络战役以窃取他国工业企业的数据并在工控网络中建立据点。
网络罪犯扩大了传统的攻击策略,发展新兴技术以从工控网络中获利。包括出售监管控制和数据采集系统(SCADA)的访问权,以及掌控工控网络对工业企业加以勒索。
在此之外,内部人员无意或恶意违规访问行为使得工业企业为此付出了昂贵的代价。
本报告简要介绍了工控网络的工作原理和应用行业,展示2015年至2016年的主要工控网络安全事件,帮助业内人事和企业领导快速了解什么是工控网络安全。通过分析这些事件中
的攻击手段,攻击目标的选取,事件的影响,分析攻击策略和攻击目标的变化趋势,以及推断减轻风险的措施,并预测2016和2017年工业企业可能面临的最重大威胁。
在2015年对全球 314个工业企业调查中,34%的受访者表示,他们的工业控制网络在过去的一年被破坏超过两次,其中44%的攻击源头无法辨别。
我们可以看到,连接的社会正在面临持续不断的威胁和大量挑战,这将将远远超出我们平时接触到的远程信息技术和IT信息网络的范畴。企业使用现代工业控制网络获得更好的效率和更多的收益,但区分传统办公网络或信息网络(IT)和工业操控网络(OT)并不容易,我们需要有充分的理解以面对互联更加紧密的OT和IT网络内的威胁。
工业控制系统是由一些列主机、专用控制设备和网络组成的广泛连接集,通过网络控制工业生产的各类流程。工业控制系统通常包括SCADA(Supervisory Control And Data Acquisition 系统,即数据采集与监视控制系统。),DCS(分布式控制系统)与PLC(可编程逻辑控制器)组成。通过采用工业控制系统,可以提升效率,精确度,与工业安全,但是这也带来了新的弱点以及潜在可能受到网络攻击而造成设备物理损坏的威胁。随着工业控制系统广泛的部署,企业领导和工程师以及负责网络安全的从业者意识到潜在的破坏性影响和多变的威胁环境显得十分重要。
事故统计
总体而言,工控系统网络安全事件成上升趋势,美国当局报告的相关事件数量15财年上升了20个百分点,总计295起事件报告。2015年成为接报相关事件最多的一年。
工控网络攻击首选目标:关键制造业、能源行业、水利,以及交通。
自从ICS-CERT(美国工控安全事件特别处理小组)成立并追踪工控网络安全事件至今,制造业比能源行业经历了更多的相关事件。
这种转变表明网络攻击目标转移向关键制造业的趋势,在2014财年,这种趋势达到了一个峰值,特别是制造业的生产系统控制设备。这种趋势很大程度归功于一个单一的,大范围的 攻击活动-spearphishing(鱼叉式网络钓鱼是面向特定组织的欺诈行为,目的是不通过授权访问窃取机密数据。)
鱼叉式网络钓鱼攻击是源于黑客组织Clandestine Wolf提出的攻击向量攻击方法(攻击向量指的是黑客用来攻击计算机或者网络服务器的一种手段。攻击向量能够帮助黑客寻找系统可能存在的任何漏洞,包括人为因素)。德国的钢铁厂攻击事件以及乌克兰电厂攻击事件是2015财年度被披露最具破坏性的攻击事件。
从企业办公网络渗透到工业控制网络的攻击方式正在上升,然后总量仍较低占总事件数量的12%-14至15财年共增加了33%。虽然像 ICS-CERT这样的政府机构提供了一些工控网络攻击的趋势数据,但研究人员很少公开披露特定时间和相关袭击。以下是2015年发生的重大工控网络安全事件公开记录细节。
知名工控网络安全事件时间线
2016年4月25日,网络罪犯通过伪装将病毒发送给BWL公司-美国密歇根州一家水电集团,管理员关闭整条公司网络以防止病毒针对其工控网络的潜在入侵。(水利)
2016年4月25日,巴伐利亚Gundremingen核电站发现其燃料装载系统潜伏恶意软件。(电力)
2016年2月18日。未透露姓名的船舶公司系统管理员称,公司一个正在行进中的船队感染了Locky病毒,病毒是通过一个恶意电子邮件链接传播的。(交通)
2016年的1月-2月,朝鲜附属的秘密组织通过鱼叉式钓鱼软件入侵了两家韩国铁路企业,韩国国家情报局称这是朝鲜为攻击韩国铁路系统所做的准备。(交通)
2016年1月25日,不知名的攻击者向以色列供电局—以色列电力管理机构发送病毒。被感染的机器被关闭数日以防止病毒移动进入其工业控制网络。(电力)
2015年12月23日,俄罗斯背景的黑客组织通过采购网络鱼叉攻击成功入侵乌克兰三家电厂的SCADA系统,之后打开断路器,造成了225000个客户的大面积停电。(电力)
2015年12月,安全人员披露,据称是伊朗的攻击者入侵了美国一家天然气和地热电力公司的工业网络,窃取了其网络结构图纸,这份图纸包括控制燃气轮机,锅炉和其他关键设备的控制器细节,美国和伊朗两国的工业网络战役在2013年的8月前就开始了(应该说的是震网)(电力)
2015年12月,朝鲜黑客入侵韩国自动化铁路控制公司网络,偷走了一些没有公开的数据,其中一些很可能与其工业控制网络有关。(交通)
2015年12月,一个俄罗斯背景的黑客组织渗透至两家没有披露名称的乌克兰铁路和采矿业公司,并部署了恶意软件。恶意软件在乌克兰电厂遭到攻击前被发现,袭击可能计划与电厂攻击同时进行以破坏乌克兰的铁路操作系统。(交通)
2015年12月,调查人员披露,伊朗黑客通过远程连接纽约鲍曼坝的调制解调器访问其SCADA系统,黑客获得了水位,温度,已经闸门状态的信息。(水利)
2015年8月,据称是中国的组织攻击了日本铁路的网络,以窃取铁路安全信息,攻击者使用钓鱼邮件传递木马,试图访问日本铁路犯罪预防,铁路通信系统,安全检查系统的相关信息,可这能是针对铁路控制网络系统侦察的尝试。(交通)
2015年6月,网络罪犯在黑市售卖SCADA系统的访问方式以及偷来的数据,帖子内包括SCADA用户界面的截图,IP地址,以及管理水轮发电机的SCADA虚拟系统密码。(水利)
2015年6月,据称中国背景的团体首次被发现正在进行一个大规模的网络入侵活动,目标涉及美国航空航天、国防、建筑与工程业、以及高科技公司的活动。这个组织使用零日漏洞入侵数百个目标,其中可能涵盖工业控制网络。
2015年早期,网络罪犯通过向一名员工发送恶意邮件,将病毒感染到美国电力的公司网络。病毒在办公网络中就得到了有效控制,阻止了病毒向工控网络的潜在性渗透。(电力)
在分析2015年至2016年工控网络安全事件发生的成因中,我们可以发现其中的一些规律和趋势。国家背景团体、网络犯罪、内部威胁很有可能在2016年和2017年继续对工业企业造成威胁。包括轻轨运营商在内的的新攻击目标可能出现。例如攻击工业云入入侵SCAD,以及通过劫持工控系统勒索钱财也将出现或者范围扩大。虽然,这段时间的重大事件黑客的身影并未出现,但是黑客提供的新攻击资源很可能降低攻击者的技术壁垒。内部威胁和不合规访问为工控网络攻击提供了路径,这将会在2016年和之后继续创造弱点漏洞。
1. 国家支持或具有国家背景的团体(入侵工控网络),已经成为工业企业最重要的威胁,
并
且这个威胁将持续。由于原报告设计过多猜测和未经证实涉及政治的言论,我们忽略原文具体内容,但实际上,来自国家团体的网络威胁对于任何较为发达国家都很严重。
2. 2015年和2016年初,勒索软件的种类和所涉及案例发生了剧烈增长。这对工业控制网
络所有者来说形成了巨大威胁:感染工业控制设备可能造成广泛且真实的影响,这使得工控系统成为攻击者的首选目标。针对工控网络的勒索软件与信息网中的勒索软件是不同的,它们不是对文件进行加密,而是中断工控系统的操作或使得某一资产禁止访问。勒索软件正在快速扩张,其样本从2015年第二季度的少于100000个激增至2015年第二季度的1,200,000个,同时这一数字还在持续快速增长。