一次类似震网的未遂攻击
4月下旬,以色列国家网络管理局收到了有关水利基础设施遭到“重大”网络攻击的报告。根据该局发表的声明,这次攻击包括“对污水处理厂、泵站和下水道的控制系统的攻击。”
该局呼吁水务公司更改互联网口令,确保其控制系统软件更新,并采取其他网络卫生措施加强安全。根据该局的说法,这次攻击没有成功,而且看起来是有人组织协调的。他们关注的是供水中的氯含量。该局要求水务公司寻找任何可能的中断,特别是在供水中有关氯使用的问题。
无论攻击者是谁,都利用了一个对被攻击者来说非常糟糕的时机,全球正在努力应对冠状病毒药疫情。伊利诺伊州商务委员会委员、美国国家公用事业监管委员会水务委员会副主席Maria Bocanegra表示:“我认为,即使面对疫情,仍有真正的坏人试图渗透到关键基础设施中,这真的很不幸。”
尽管针对电网的网络攻击吸引了大部分注意力,但对供水设施的攻击通常很少引起媒体报道或公众关注。考虑到对供水系统的攻击可能造成的重大损害,水务公司对网络安全风险方面的忽视令人惊讶。
工业网络安全公司Dragos的首席威胁分析师Lesley Carhart认为,水务一直是投入资源最少、最能影响生命健康和安全的行业。针对关键基础设施的第一个网络攻击事件不是Stuxnet,而是2000年澳大利亚昆士兰州发生的恶意控制系统网络攻击事件。
在那起事件中,一位SCADA承包商的员工,向负责供水系统的委员会申请一份工作。在申请失败之后,该承包商利用安装在自己的汽车上的盗窃来的无线电设备,并使用一台可能是被盗的计算机向处理厂的污水处理设备发出无线电指令。这一未经授权的入侵导致800,000升未经处理的污水泄漏到当地的公园和河流以及一家酒店的院子里。
然而,在最近的以色列水务攻击事件中,明显的目标不是倾倒任何东西,而是提高供水中的氯含量。涉及水处理的工业控制系统,有一个重要的工作是那些将正确比例的化学物质注入供水系统,然后将其分配出去。水中氯含量超标是非常严重的情况。这次的未遂攻击特别针对非常具体的控制系统进行了伪装,很可能是国家支持的攻击组织。
ICS攻击需要专业知识和计划
工业控制系统的攻击需要很长时间才能发动,因为攻击者必须非常了解这些系统。工业控制系统不仅仅是数字化的,同时也是模拟的和机械的。在通常的工业环境中,包括了PLC [可编程逻辑控制器],PCS [个人通信系统]和SCADA [监控和数据采集] 等不同种类的组合。对于攻击者来说,想对工业过程做些什么,那么就必须了解所有这些设备,而不能只懂网络。
以这次攻击为例,攻击者试图操纵氯含量,同时向操作员发出氯含量正常的信号。至少从理论上讲,这种攻击模式已经达到震网的水平。类似 stuxnet 的攻击,基本上整个攻击都是围绕着离心机控制系统展开的,攻击者所做的很多事情目的是防止操作员看到。
假设发生了这种情况,这意味着以色列当局正在警告供水公司检查其氯含量,因为这些公司的仪器可能会错误地显示氯含量是正常可接受的,而实际上,对系统的网络攻击可能会导致过量的氯被注入供水系统中,这将需要了解大量关于控制系统本身的细节。
以色列国家网络管理局认为,水务公司不能对过于依赖数字系统,或给予过高的信任度,并且要制定用物理方式确认系统状态的操作流程。因为饮用水的重要性不可替代,没有水,人们就活不下去。
供水公司网络安全资源不足
世界各地的供水公司,尤其是美国,估计有7万家供水,很容易受到攻击,因为它们通常规模很小,工作人员几乎没有网络安全方面的专业知识,而且IT人员很少,且没有得到足够的资源来做好网络安全。
正因为如此,而且由于一开始很少有供水公司检测攻击的工具,他们对于背后有雄厚资源支撑的攻击者来说,是很有吸引力的目标。有数据显示,攻击者正在测试新的攻击方法,利用小型公用事业公司和当地公用事业公司作为试验场。因为,攻击这些小型公用事业机构更为容易。
美国对供水公司没有网络安全的要求
与美国的电力行业不同,水务行业在网络安全方面没有任何监管要求,尽管有一个水务信息共享和分析中心(WaterISAC),为水务和废水行业提供一个全面威胁的安全信息源。然而,WaterISAC发布的指导方针是自愿的,许多自来水公司缺乏资源来执行。
美国即将通过的国会立法,2020年《安全社区法案》,该法案旨在加强所有公用事业部门的关键基础设施安全,以应对恐怖主义行为和其他国土安全威胁。它要求建立一个由网络安全和基础设施安全局(CISA)开发的安全指导、最佳实践和其他自愿内容的信息共享交换机制。
数世咨询评:水利设施的网络安全一直都被忽视,此次攻击事件对整个行业都是一次警醒。风险意识,不是亡羊补牢,而是未雨绸缪。
声明:本文来自数世咨询,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
