天地和兴工控安全研究院 编译

编者按:知名工业安全公司Claroty联合创始人Galina Antova本月11日在《安全周刊》发表文章《工业网络成为地缘政治斗争的新战场》称,有充分的证据表明,民族国家敌手正在将能源和其他关键基础设施领域作为攻击目标。这些网络的运营至关重要,因此对于攻击者而言更具有价值。预计可以看到更多攻击,这被视为推进地缘政治进程的一种经济战形式。民族国家敌手已经越过了红线,在更传统的领域中构成战争。然而,到目前为止,西方国家政府还没有做出适当的回应,这进一步鼓励了俄罗斯民族国家攻击者的胆识。以己度人,转换立场,同样的警示也适用于我国的关键基础设施领域。特别是网络空间安全工作中OT安全也明显落后IT安全的背景之下,更需要彻底抛弃那种“我不是攻击目标”的不切实际的幻想,切实引入“敌情想定”的思想,扎实推进关键基础设施安全防御工作。

一、网络攻击是地缘政治冲突在网络空间的映射

《安全周刊》1月8日报道,网络安全专家认为,伊朗可能会发动网络攻击以回应美国最近一次空袭杀死了其高级军事指挥官卡西姆·索莱曼尼(Qassem Soleimani)少将,如果这些网络袭击将关键基础设施或工业控制系统(ICS)作为目标,许多人怀疑伊朗是否有能力造成重大破坏。尽管如此,相关组织仍然建议做好防范准备以应对真正网络攻击的发生。美伊冲突由线下移师线上,从实体空间延展至网络空间。双方你来我往,暗流涌动。

在卡西姆·索莱曼尼死讯宣布后不久,一些自称来自伊朗的黑客攻陷了美国一个政府机构的网站,但攻击并没有太高的技术复杂度。更大的担忧是,伊朗可能对运营ICS的组织和关键基础设施发起攻击,这可能导致更大的损失。

IBM最近透露存在一个与伊朗相关的擦除器恶意软件,该恶意软件曾被用于中东能源和工业组织的针对性很强的网络攻击。

美国中情局和国土安全部下属关键基础设施保护局(CISA)当地时间8日发表联合公报,警告伊朗近期可能从两方面对美国构成威胁,首先可能会在海外针对美国人发动袭击,此外伊朗也有可能针对美国采取网络攻击手段。

1月上旬工业网络安全公司Dragos已经发现越来越多的攻击组织瞄准了北美的电力公司。Dragos在其名为《北美电力网络威胁形势》的最新报告中说:“随着对手及其赞助商投入更多的精力和金钱来获得注重效果的能力,对电力部门造成中断性或损毁性攻击的风险将大大增加。”

Dragos目前跟踪总共已知针对工业控制系统(ICS)的11个威胁组,其中有7个攻击了北美的电力公司。它追踪的这些威胁组织PARISITE、XENOTIME、MAGNALLIUM、DYMALLOY、RASPITE、ALLANITE和COVELLITE.Hacker,越来越多地瞄准北美的电力公司。Dragos去年的报告发现,XENOTIME是2017年Triton / Trisis恶意软件攻击沙特阿拉伯一家石化厂的幕后肇事者,已经开始瞄准美国和亚太地区的电力公司。

在最新的报告中,Dragos透露,MAGNALLIUM在2019年秋季也开始瞄准美国的电力公司。MAGNALIUM被其他公司称为APT33和Elfin,至少从2013年开始活跃。

尽管一些专家怀疑伊朗是否有能力通过网络攻击对关键基础设施造成重大或广泛的损坏,但在如此复杂凶险的地缘政治争斗中,一切皆有可能发生。众多网络安全专家已建议,美国关键基础设施领域的组织采取措施保护其网络安全。

在2020年2月8日,伊朗电信网络在当日(周六)上午受到大面积干扰,持续数小时。“网络数据显示,从当地时间上午11点45分开始,与伊朗几家主要网络运营商的网络连接数量明显下降,这也严重影响了蜂窝和固定电话的运营商。在一小时后,部分网络连接开始恢复,但其他网络直到七小时后才开始恢复。在早上的一段时间内,伊朗全国的网络连接降至正常水平的75%。”伊朗电信基础设施公司的一位名叫Sadjad Bonabi的官员推测道,此次网络中断或是由DDoS攻击引起的,而此类攻击就源于北美洲。据悉诸如这样的攻击已经发生过无数次了。去年12月份,在一周之内,伊朗就受到过3次网络攻击。

二、地缘政治局势紧张导致对关键基础设施的攻击增加

援引英国TechRadar科技2月10日报道,对于海湾合作委员会(GCC))中大多数关键基础设施提供商而言,通过网络战使系统下线是当下最大的担忧。一位业内专家说,预计海湾合作委员会(GCC)国家今年将更多地遭遇政府资助的攻击活动或APT(先进的持续威胁)攻击,数量上将远远大于网络犯罪活动。

普华永道中东地区数字、网络安全弹性和基础架构的合伙人兼负责人西蒙娜·韦尔纳基亚(Simone Vernacchia)告诉TechRadar科技,地缘政治紧张局势将导致针对国家关键基础设施的攻击并通过网络战使系统下线是该地区最大的担忧之一,其次才是犯罪活动。

此外,他说,从地缘政治角度来看,该地区存在紧张局势,而且全球不同威胁行为体也有兴趣进行旨在破坏关键基础设施的攻击,因为这将对国家安全产生重大影响。

他说:“这比派遣军队要经济合算得多,而且是一种很好的伪装方式,只需要坐在电脑前就可以完成。已经有案件发生,明年还会再次发生。”

Vernacchia预测更多的攻击旨在终止或损坏该地区主要石油、天然气、石化和电网的供应。例如,乌克兰的停电和伊朗核浓缩离心机的损毁。

研究人员发现了一种新的恶意软件Snakehose,该恶意软件杀死了与OT/ICS相关的特定进程,以确保勒索软件会影响特定枚举软件使用的数据和文件。但是,目前尚无强有力的证据表明该恶意软件是专门针对OT环境而构建的。

Vernacchia说:“与世界上许多其他地区相比,电网在海湾地区很重要。停止空调和供水将对该地区的经济造成严重打击,特别是在夏天。”

尽管从政治上说网络袭击背后存在某个国家的支持很容易,但要真正找到民族国家支持网络攻击的确定性证据总是“困难的”。

“我们发现攻击者用特定的语言发表评论,甚至在一天的特定时间进行编码,以证明攻击背后存在着一个不同的民族国家。每个人都试图在某些情况下伪装成其他人。

新挑战

虽然许多国家/地区要求披露攻击信息,并为消费者提供一种了解其数据是否可能被滥用以及为低网络安全成熟度提供可视化影响的方法,但到目前为止,海湾地区在这方面取得的进展非常有限。

他说:“在西方,机构有披露违规行为的责任和义务。在该地区,与欧盟、美国或其他一些国家相比,对任何政府或实体都没有公开披露违规行为的要求。”

此外,重工业行业正在进行的数字化转型无疑推动了连接OT(ICS和SCADA设备)和IT的发展,由此增加了远程攻击者渗透关键基础设施的OT网络的潜在风险,这也带来了新的挑战。海湾地区正在加速这种转形发展。

Vernacchia表示,这还可能使勒索软件感染事件从IT转移到OT,从而影响关键基础设施的运行。同时,该地区已经发生了出于经济利益动机的网络攻击,主要针对规模较小但进行大型金融交易的实体。

他说:“该地区的自由区中有一些实体从事股票和借贷交易,攻击者找到了将钱汇入中国台湾或香港,再从那里汇入中国大陆或非洲的途径。”

但是,在迪拜、阿布扎比和巴林等金融中心发生的犯罪活动将继续增长,但与西方相比,犯罪活动将减少,因为这些交易涉及的个人数量有限,且交易水平较高。与大型经济体中进行的同等规模交易相比,个人信任度更高。“从犯罪投资的角度来看,攻击更大的地区可能会有更多的乐趣。”

三、工业网络成为地缘政治斗争的新战场

《安全周刊》2月11日刊发工业安全公司Claroty联合创始人Galina Antova的文章,称有充分的证据表明,民族国家敌手正在将能源和其他关键基础设施领域作为攻击目标。这些网络的运营至关重要,因此对于攻击者而言更具有价值。我们预计可以看到更多攻击,这被视为推进地缘政治进程的一种经济战形式。民族国家敌手已经越过了红线,在更传统的领域中构成战争。然而,到目前为止,西方国家政府还没有做出适当的回应,这进一步鼓励了俄罗斯民族国家攻击者的胆识。

考虑第一起事件,该事件提供了民族国家对关键基础设施发动战争的要素:对乌克兰电网的袭击发生在2015年12月和2016年12月。一个现在被普遍认可的结论是,俄罗斯发动了针对电力公司网络内工业控制系统(ICS)组件的攻击。显然,这是一种力量和能力展示,许多人认为这是西方类似进一步行动的试验台-与其说是技术能力,不如说是西方的反应。在任何其他战争领域中,这将被视为越过红线。但是,世界没有做出相应的反应。

第二波来了WannaCry ,随后更重要的是NotPetya。在此类不断升级的战争中,NotPetya的重大升级是为了迅速而随意地传播而设计的。它透露了明确的信号,即在乌克兰开展业务的外国公司不应该在那里。这次世界做出了回应,但回应推迟了。差不多九个月后,白宫发表声明谴责俄罗斯军方发动了“历史上最具破坏性和代价最高的网络攻击”,但仍未采取明确行动。

美国国土安全部和联邦调查局随后发布了一系列的联合咨询建议,指出俄罗斯民族国家的行为体已经攻入许多关键的基础设施网络。美国网络司令部也发布文件描述了应对网络空间威胁的新方法,包括“向前防御并不断对抗我们的对手”。他们在文件中承认,美国选择在限制条件下行动,“包括我们传统上对敌人活动作出反应的高门槛”。因此,很难知道“向前防御”的最终影响,但是很明显,随着赌注的增加和不可否认的证据,美国正在向这一新常态扩张。

工业网络成为极具吸引力的目标

为了使组织了解如何防御这些攻击,了解导致ICS网络成为攻击目标的原因很重要。

首先,这些系统运行着全球的基础设施,涉及大众的生活和福祉,它们为攻击者提供了重大的机会,从物理上和经济上造成破坏和损害。大约有45%的《财富》 2000强公司依靠ICS网络来开展业务,如供水、采矿、电力、制药、食品和饮料等行业。而其余55%的公司则依靠工业控制系统来满足运输、HVAC系统、灯光和电梯等基本需求。ICS网络无处不在。

其次,工业网络的生命周期非常长。许多已经运行了35年以上。随着这些老化的网络开始连接到IT系统进行自动化和输入,它们缺乏安全控制。无法跟上安全更新,因此它们被容易暴露出来。此外,这些组织的IT安全团队对这些网络的可见性为零,并且没有遥测。潜在的重大破坏以及ICS网络的暴露和缺乏可见性,使这些网络成为攻击者的诱人目标。

防御者的预期

我们可能还没有处于对手公开造成人身伤害的阶段,例如关闭部分电网或污染供水。但是,我们正处于一个阶段,他们经常在武装冲突的门槛以下行动,利用其强大的魔兽争夺经济和政治优势,同时保持合理的可否认性。

像这些对手一样思考,防御者经过训练可以这样做,并且知道这些侵略者不希望他们的行动被视为公开的战争行为,所以我们可以预见,会出现削弱公众信任的情况。例如,破坏顶级制药公司的生产造成短缺,或篡改食品和饮料公司的产品质量。他们有很多方法可以不采取公然行动而破坏我们的经济福祉。

防御者的机会

那么我们该怎么办呢?好消息是,对这类攻击的意识正在提高。政府对网络战争采取了更加激进的立场。媒体将重点放在对工业网络和关键基础设施的攻击上。越来越多的财富500强公司获得了董事会的支持和预算,以加强ICS网络的安全性。

另一个好消息是,作为防御者,我们对于OT安全处于空白期。运营技术(OT)网络没有现代化的安全控制措施,因此我们有机会从头开始构建安全程序。通过专注于最大程度地降低风险的措施,可以迅速缩小IT安全和OT安全之间25年以上的差距。

参考资源

https://www.techradar.com/news/attacks-on-critical-infrastructure-to-rise-due-to-increase-in-geopolitical-tensions

https://www.securityweek.com/industrial-networks-latest-geopolitical-battleground

http://www.tdhxkj.com/index.php/qiyexinwenfee836fb53c1adb9ffca0f12/2020/01-13/244.html

声明:本文来自工业互联网安全应急响应中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。