《2019工业网络安全现状》报告学习札记
发布时间:
2019-12-24
来源:
作者:
访问量:
40
前言
随着工业自动化和互联网的快速发展,以“云大物移智”为代表的新兴技术正在加速工业4.0的转型发展,IT与OT融合之势不可逆转,工业控制系统面临巨大的网络安全威胁和挑战。最近,得益于荷兰APPLIED RISK公司的《2019年工业网络安全现状》对现今工业网络安全的综合分析,结合我司客户的实际情况和自己的理解,对工业控制系统中网络安全问题进行简要梳理,并初步展望未来工控安全的发展趋势。
安全事件
纵观工业网络安全的历史事件,每一次发生都会引发一定的事故。2010年6月,伊朗核电站遭受“震网”病毒攻击,感染了伊朗浓缩铀工厂五分之一的离心机。“震网”事件打开了工业网络攻击的潘多拉魔盒,自此工业网络安全逐渐进入公众视野。
2014年12月,黑客关闭了伊拉克向土耳其输送原油的输油管道内的探测器和摄像头并向管道内大幅度增压,使输油管道遭到破坏发生爆炸,并且没有引发任何预警。
2015年12月23日,乌克兰电网遭受网络攻击,导致70万用户家庭大规模停电。2017年wanncry病毒席卷全球,中石油2万多座加油站断网。
2018年2月欧洲废水处理服务器被恶意软件入侵,导致废水处理服务器瘫痪。2018年4月美国天然气输气管道公司遭供应链攻击,导致与客户通信系统被关闭。
2019年3月,委内瑞拉国内大部分地区停电,全国交通系统瘫痪,地铁系统关闭,通讯大规模中断。2019年7月,伊朗信息战队闯入美国30多个变电站的控制中心,导致纽约大规模停电了4个小时,造成大规模混乱。
由此可见,工业网络安全至关重要。但在工控系统的设计时特别强调物理安全,功能安全和功能可用性。却很少考虑网络互联的危险,由于没有连接互联网,因此可以保护他们免受恶意软件和通过其他网络途径攻击的侵害。
安全问题
虽然绝大部分工控网络不连接互联网,但是在实际的运营中,还是存在很多的问题。参照客户的实际情况,我总结了以下几点工控系统的主要安全问题。
在技术上:
1. 老旧易受攻击的软件:工控系统和传统互联网不同,一般一套系统可以使用10-20年,由于更新不及时,很多老旧的软件存在着很多的历史漏洞,并且管理维护人员无法在可用可实施的前提下,对固件或是应用系统进行升级。
2. 网络隔离不足:虽然在工控网络数据传输的关键出入口,都部署了防火墙。但是在实际调研中,发现很多用户只是为了符合国家规定,并没有合理配置防火墙,或是配置后,防火墙处于关闭状态。
3. 缺乏系统加固:在大多数工厂,系统多是在很久前采购。工程师的操作站大多数是老旧的win7或者XP系统。并且没有进行补丁更新。
4. 访问控制:大多工厂的上位机都是采用单一的口令控制访问,甚至没有开机口令。
5. 日志记录和监控不足:和传统互联网不同,工厂的服务器或主机大多没有开启日志记录功能,这使当发生安全事件时,对事件的处理与溯源造成了很大的困难。
6. 启用了不安全且不必要的服务:由于用户对计算机安全了解匮乏,经常在上位机开启445、139等端口,对上位机造成威胁。
在管理上:
1:员工的安全意识不足:员工对工控系统安全没有充分的认识,以为网络攻击离他们很遥远。
2:网络安全人员的缺失:在安全事件发生时,人员之间没有明确的职责定义。在整个工厂中只有几个是懂网络安全的人员甚至没有,没有处理安全事件的能力。
3.第三方厂商:很多工厂的系统都是产自国外,对第三方过于依赖。导致没有人会在系统产生问题时修复,没有人敢在运行完好的系统上打上安全补丁,因为打上补丁后,很可能就会造成系统瘫痪,就要返回国外厂家修复,造成大量的经济损失。
攻击向量
由于工控网络环境与互联网环境的差异,在攻击来源上与互联网也有所差异,互联网上的攻击向量,多数来源于内网与外网的边界。而工控的攻击向量有所不同,总结起来有以下几个方面。
1.供应商:供应商为方便服务、远程控制或支持,在软件或固件中设置了“回拨”功能, 一旦攻击者攻陷供应商的基础设施或VPN或获取其VPN登录凭据,这就成了一个明显的弱点。同样,并非所有供应商都具有足够的ICS安全技能,并且可能未对代码进行适当的漏洞测试,或者未按通行的安全标准编写。
2.远程操作:为了支持员工移动办公或远程部署,或允许第三方进行预防性维护,对OT远程访问的需求不断增长。
3.IT与OT的结合:在现今市场上,有不少的IoT设备,主要用于在极端环境下,如高温高压下远程控制PLC等工控设备。在开发IoT传感器和网络时,响应市场需求的速度和价格敏感性通常会超过安全性。 安全性昂贵,边际效益低,即使在高度敏感的环境中,仍可以在市场上找到未经测试的具有过时固件和已知漏洞的设备,并且经常进行部署。
4.移动介质中的恶意软件感染:恶意或无意识的员工可能会使用USB设备、DVD、便携式计算机等感染连接到OT网络的工作站,从而为攻击者提供后门或导致病毒/勒索软件爆发。
5. 接入点和调制解调器配置不当:很多工控设备会在公网上暴漏出来,通过shodan这种在线发现系统即可找到,并且显示详细信息。
6.供应链攻击:向客户提供软件和服务的公司也会受到攻击,假设是,通过创建后门并将恶意载荷隐藏在商业应用程序中,恶意行为体可以在多个客户场所中创建入口向量。
工控漏洞
在工控漏洞的危害性和利用复杂度上,荷兰APPLIED RISK公司《2019年工业网络安全现状》报告中的数据指出,针对工业控制系统的威胁每年都在增加。近年来,CVE的严重程度没有真正的改变。
接近70%的CVE的严重等级为“高”和“危急”。
75%的漏洞可通过网络利用,仅有极少的漏洞需要物理连接或本地访问。
漏洞往往具有较低的复杂度,即不存在专有的访问条件或可减轻的情况。攻击者可以期望对易受攻击的组件实施反复多次攻击。对于85%的CVE,不需要特殊权限。
工控设备和软件中发现的漏洞倾向于可远程被利用,不需要或只需要有限的权限,执行的复杂性要求低,对资产可用性具有“高”或“危急”影响。而且普遍的攻击复杂度都较低。将近百分之七十都无需与用户交互。
未来趋势
APPLIED RISK公司《2019年工业网络安全现状》报告中指出,对比互联网安全,在工控系统的网络安全事件的公开性上,远不如IT界。近年来,企业和消费者对IT域网络安全的意识急剧提高。这是得益于对多起攻击事件的广泛宣传和分析。而在工控安全领域,这些安全事件会对国家级的关键基础设施造成重大影响和破坏,相信在未来的工控领域,也会得到广泛的传播,从而提高企业和人员的安全意识。
在技术上,工业数字化将会导致工控与互联网的界限进一步模糊,新型技术将会涌入工控领域,自动化将会由机器学习和AI决策过程,工控环境传输的数据将会在云中处理。在新型技术的涌入下,安全问题也会随之迎来巨大挑战
在法律法规上,会越来越完善。中国政府发布了《关键基础设施保护条例》;俄罗斯,新加坡,韩国,欧盟,中东地区也采取了相应的措施。
在人才方面,全球范围内ICS网络安全专家短缺是大家的共识。随着工控网络环境的复杂性,人才的短缺会进一步加剧。
思考总结
要做到绝大多数工控环境安全还有很多工作要做,但是对于工控系统拥有者来说,有效的风险管理和网络安全防护是非常有效的。从来没有工控环境是100%安全的,当前我们的首要任务是提高人们网络安全在工业应用中重要性的认识。尽管安全意识水平在提高,但是在该领域中面临的许多挑战都归结为以下事实:缺少风险评估和安全强化的技能;网络安全单独依靠某一家公司是无法实现的;供应链必须经过审查和信任,即使是可靠的供应商提供的解决方案,也可能由于实施不善而产生漏洞;经过专业培训并且配备了精良工具的独立合作伙伴来检测、加固、提出建议并保护OT环境,这是提供有效网络安全的重要方法。
在未来,安全厂商之间,一种被实践证明且行之有效的网络安全方法将形成企业之间的竞争优势,而不是一味的给用户堆放安全设备。
参考文献:《The_State_of_Industrial_Cyber_Security_2019_Applied_Risk》 荷兰Applied Risk公司
作者:天地和兴工控安全研究院 范腾达
天地和兴,工业网络安全,ICS,工控安全,APPLIED,RISK
上一条:
相关资讯
