近年来,伊朗和以色列之间的网络战不断上演,从历次网络战事件来看,工控系统已成为网络战的破坏目标。六方云对网络战的发展趋势,工控系统存在的安全问题进行了分析。并对中国网络安全建设给出了我们的建议。

一、2020年以来伊朗和以色列之间的网络对抗记录

二、伊朗与以色列网络战能力对比

从伊朗与以色列的历次网络战对抗中可明显看出,伊朗网络战能力明显处于劣势,一直被动挨打,甚至受到攻击也无法发现敌人.伊朗对以色列的网络攻击明显少于对手对自己的攻击,且伊朗对以色列的网络攻击多以失败告终.

反观以色列,经济实力雄厚,网络安全基础设施完善,网络技术先进,且有美国在背后撑腰.因此,对伊朗的网络攻击屡屡得手.

三、全球网络战发展趋势

1、网络战与常规战相结合,网络战取得出奇制胜的效果

(1)先通过网络攻击瘫痪对方的防御体系,然后再出动飞机、导弹等进行物理攻击;

(2)通过间谍安装破坏装置,然后再通过网络远程引爆;

(3)通过网络战隐藏己方作战计划和攻击武器,悄无声息的对敌方进行打击.

2、针对关键基础设施的工控系统、军事设施网络

(1)能源:电厂、变电站、电网、水利设施、供水管网、管道燃气网等;(2)交通:港口、航空、铁路、公路等;

(3)军事:兵工厂、弹药库、防空系统、武器装备等.

3、长期潜伏

大家所熟知的震网病毒,从2006年策划开发,2007年部署,到2010年被发现,潜伏了长达3年时间.

四、工控系统成为网络战的破坏目标

仔细分析前述伊朗与以色列之间的网络战事件,可以发现大都与工控系统有关。由于工控系统本身安全性问题(如漏洞多、安全防护缺失等),其已成为网络战的目标和突破口。

工业控制系统(Industrial Control Systems,ICS)是由计算机与工业过程控制部件组成的自动控制系统,它由控制器、传感器、传送器、执行器和输入/输出接口等部分组成。其目前广泛应用于电力、水利、医药、食品以及航空航天等工业领域,堪称重要基础设施的“神经中枢”,关系到国家和企业的战略安全。工控系统直接控制物理设备,一旦工控系统遭受破坏,可能导致现实世界中不可逆转的重大灾难。

2010年,伊朗震网病毒事件曝光,揭开了工业控制系统(“工控系统”)的“神秘面纱”,也拉开了攻击工控系统的序幕。随后十年间爆发了众多与工控系统关联的安全事件,例如:针对电力、水利、能源、交通等基础设施的定向攻击或针对式攻击(APT,advanced persistent threat),对社会秩序造成较大影响;针对生产制造等企业的定向攻击,窃取商业机密,影响正常生产;撒网式攻击,特别是2017年席卷全球的WannaCry勒索病毒,工控系统亦成为“疫”区,且在近两年仍余波不断。

此外,世界知名的黑客大会,如BlackHat、DefCon等,纷纷将工控安全纳入议题;2020年1月世界高水平黑客大赛Pwn2Own更首次将工控纳入比赛。可以看出,工控领域似乎正在成为“黑道”和“白道”的蓝海,工控系统的漏洞和攻击面也正随着工业互联网的发展,更多的暴露于攻击者。

对工控系统攻击可达到的目标

强目的性、针对式的攻击通常是以破坏工控设备、造成工厂停产、工序异常、次品率增加,甚至火灾爆炸等严重后果为目标。现代工厂中,大部分现场生产设备都是由控制系统(如:PLC-可编程逻辑控制器、数控车床、DCS-分布式控制系统)进行现场操作。因此,攻击者的目标是通过直接或间接攻击或影响控制系统而实现。下文将以工厂PLC举例,阐述黑客对工控系统的攻击思路。

例如针对工控系统中的PLC进行攻击,可采用以下一些方式:

(1)针对式直接攻击

直接攻击PLC,是指利用PLC存在的漏洞,或通过口令破解等方式绕过安全认证,成功控制PLC并进行指令修改,实现攻击目的。当前较多的PLC处于内网,尚不能通过互联网直接访问,在此情景下,直接攻击一般通过物理接触PLC,或通过内部办公网络连接到PLC等方式而实现。随着工厂智能化的提升,设备实现互联互通,大量PLC系统连入互联网,将更易于黑客对PLC发起直接攻击。

(2)针对式间接攻击

间接攻击PLC,是指获取PLC上一层监控系统(如HMI、IPC、SCADA等)的控制权,通过监控系统向PLC发送恶意指令,或干扰监控系统与PLC的正常通讯,实现攻击目的。采用间接攻击场景,通常是由于攻击者无法直接接触到控制系统,或对工厂内部PLC系统了解有限,因而转向攻击存在大量攻击者熟悉的IT部件的过程与监控层系统。例如,攻击者首先获得IPC(工业计算机)的控制权,分析IPC和PLC之间的传输模式,构造恶意指令,通过IPC传输给PLC,间接影响PLC的正常工作或阻断生产状态的监控和预警。

(3)非针对式攻击

非针对式攻击,或称为撒网式攻击,是指恶意程序利用系统或网络的共性漏洞,无差异化感染系统并在内网传播,影响正常生产秩序。此类攻击场景虽然不针对工控系统,但由于目前工控环境的安全措施较为薄弱,使得撒网式攻击在世界范围内屡屡得手。撒网式攻击通常以病毒或恶意程序为主,例如,攻击者利用员工安全意识薄弱,发送钓鱼邮件,感染接收者的电脑,再利用网络环境的脆弱性,在办公网快速传播,再蔓延至生产网,感染具有共性漏洞的系统,如IPC等,影响生产或造成破坏。

对工控系统攻击途径

工控系统的攻击途径大体包含内部发起和外部发起两类。内部发起又可分为自办公网渗透到工厂网以及车间现场发起攻击;外部发起包含针对式攻击(如APT)和撒网式攻击。

(1)内部发起

以办公网为起点:

●在办公网环境内,使用nmap等工具扫描和获取网段和资产信息,特别是常规工控系统和IT系统端口,Siemens 102,modbus 502,EthernetIP 44818、445、3389等;

●利用漏洞对识别出的系统进行攻击,包括嗅探、权限绕过或提升、重放攻击、口令猜解、指令注入、永恒之蓝漏洞利用、口令猜解等;

●成功获取系统控制权后,尝试以该主机为跳板,使用Pass the Hash等方式渗透其他系统,找寻工控相关系统PLC、IPC和SCADA等,以实现攻击目的;

●若均未成功,转向采用社会工程等方式进一步获取相关信息(如高权限账号等),同时,考虑设法进入工厂车间内部,转为现场攻击方式;

●一些集成控制系统的中控平台,或者内网的一些类SCADA等组态控制系统的web应用端或者dll、dat容易被劫持后形成工程师站的提权。

以车间现场为起点:

在车间内发起攻击工控系统是最为直接的方法,手段和选择同样是多样化的。进入车间后,仔细观察车间内的情况,寻找IPC或者控制系统的位置,为后续攻击尝试做准备。

攻击尝试一:

●首选目标为控制系统(如PLC),寻找是否存在未上锁,或者网线接口暴露在外的设备;

●尝试了解相关的控制系统基本信息,例如所使用的品牌,版本等;

●尝试使用电脑在现场连接控制系统,利用弱口令等脆弱性,尝试恶意指令注入、权限绕过、重放攻击等。

攻击尝试二:

●尝试对现场运行的IPC或者HMI进行攻击,例如对运行的IPC插入恶意U盘植入恶意程序;

●针对未设置权限的IPC或者HMI直接操作,如修改控制系统的指令等恶意操作。

(2)外部发起

针对式攻击:

●APT 攻击是典型的外部发起的针对式攻击,攻击过程包含对目标企业进行信息收集以初步了解该企业的基本情况;

●利用Google、Baidu等搜索引擎寻找暴露在互联网上的域名或服务器;

●利用爬虫技术尽可能获取网站所有链接、子域名、C段等;

●尝试对网站应用进行高危漏洞利用,例如恶意文件上传、命令执行、SQL注入、跨站脚本、账户越权等;

●尝试获取网站webshell,再提升至服务器权限;

●以该服务器为跳板打入内网环境,转变为内部攻击的模式;

●通过从互联网搜索外网邮箱的用户名,根据企业的特点,针对式地给这些用户发送钓鱼邮件,以中招的电脑为跳板打入内部环境,转变为内部攻击的模式;

●利用伪造门禁卡,或者伪装参观、面试人员或者尾随内部员工的方式进入企业内部,转变成为内部攻击的模式。

撒网式攻击:

●利用Google和Baidu等搜索引擎找出暴露在互联网上企业的域名,若发现可以利用的漏洞则转为针对式攻击;

●利用社工,尽可能多收集企业的员工的邮箱,大批量发送钓鱼邮件;

●使用Shodan搜索引擎,针对暴露在互联网上的工控系统发起攻击,成功后转为内部攻击。

黑客攻击链(Cyber Kill Chain):

一般来说,攻击者通常以低成本、撒网式的攻击手段,如发送钓鱼邮件等社工方式,开始攻击尝试。当受害者点开附在钓鱼邮件内的恶意链接或恶意程序时,“潘多拉之盒”就此打开,攻击者将尝试攻陷受害者的设备,并以此设备为跳板,打入企业内网。如果工控网络未能做到与办公网络的有效隔离,攻击者可以在进入办公网络后扫描并分析发现相关工控资产。当前许多工厂工控环境抵御网络攻击的能力较弱,大多存在弱口令,权限设置不当,共享账号和密码,补丁和脆弱性管理缺失,网络隔离和防护不充分等高危漏洞,使得攻击者利用这些漏洞,在企业工控网内大范围、无阻拦、跨领域的对工控资产进行攻击,最终导致工业数据泄露、设备破坏、工序异常、次品率增加、火灾爆炸甚至威胁员工安全等严重后果,形成完整的黑客攻击链。

工控系统存在的安全问题

1、组织与人员

未落实安全责任:管理层重视不足,部门间安全职责不清晰,无明确安全部门或岗位。

安全意识薄弱:员工对工控系统的安全意识相对薄弱,特别是生产或一线员工。传统型企业的“隐匿式安全”(security by obscurity),认为严格物理安全和访问管理即可确保安全,认为未发生安全事件即是安全,这往往使得企业忽略对网络安全的建设,未能及时补救隐患。

2、管理与监督

“经验式”管理:工控系统自身缺乏安全设计与考量,是很多企业存在的普遍现象,通过实施适当安全保障措施,可以有效弥补。但很多企业并没有建立有效的安全策略和措施,仅依靠个人经验和历史经验进行管理。

应急响应机制缺失:缺少应急响应机制,出现突发事件时无法快速组织人力和部署应对措施来控制事件进一步蔓延,并在最短时间内解决问题和恢复生产。

缺少恰当的口令策略:未设置恰当的口令策略和管理,如弱口令,共享口令,多台主机或设备共用一个口令,以及口令共享给第三方供应商等情形,增加密码泄露风险。

缺乏安全审计日志:系统出现安全事件后,无法追踪和分析事件源头和原因,以避免类似情形的再次发生。

3、网络与架构

“防君子式”网络隔离:内部办公网络和工厂网络缺乏有效隔离,未划分安全域进行防护,导致办公网络的攻击或病毒蔓延至工厂网络,造成生产影响。

不安全的通讯协议:工业控制协议非标准化,且大多存在安全隐患,例如CAN、DNP3.0、Modbus、IEC60870-5-101。

不安全的远程访问:为方便维修工程师和供应商的远程调试,未对远程访问部署安全措施和监控,此类远程访问功能可能是攻击者利用率最高的漏洞之一。

复杂的结构:工控系统的结构相对于IT环境而言更为复杂,攻击面较多。典型的工控环境一般会有以下组成部件:控制器(PLC、数控车床、DCS)、SCADA系统、工业计算机、工业软件、HMI、网络、交换机、路由器、工业数据库等,其中任意一个环节或者部件出现问题就有可能导致整个工控系统被攻击。

4、主机与设备

认证与授权:为了日常使用方便,重要控制系统未设置密码、设置弱密码或共用密码,将密码贴在现场机器上,这些“便利”往往也为攻击者的入侵提供了极大的便利。

防病毒软件:未安装病毒防护软件,未及时更新病毒库,非正版软件等。

操作系统陈旧性:现在的工厂环境中,使用越来越多的计算机系统,然而由于工业控制系统的更新迭代的时间相比于IT系统要长很多,使得工业控制系统中存在大量陈旧的计算机系统,如windows xp、windows 2003等操作系统,存在大量可被攻击利用的高危漏洞。

默认配置:许多工厂在安装设备时,使用了默认口令、默认路径,开启不必要且不安全的端口和服务等默认配置。

离线设备管理:对于离线设备,往往认为是安全的,忽视网络安全保护措施。但随着企业数字化的推进或在业务需要时进行网络连接时,此类设备可能会成为安全体系的短板和缺口。

5、物理防护

硬件调试接口:重要控制系统的机架未上锁,或暴露在外的调试接口未有效防护。

物理端口:未对IPC等通用接口进行有效管理或禁用,如USB、PS/2等外部接口,可能存在设备未授权接入风险,导致病毒感染或者程序非法修改。

外部人员访问:人员进出车间管控不严,特别是外部人员,如供应商等。

五、对中国网络安全的启示

1、网络战离我们并不遥远。中国是受网络攻击最严重的的国家之一,这些攻击行为里面可能有不少是某个国家的网军所为。

2、我们需加大网络安全投入,有效保护关键基础设施;

3、我们需要加大网络安全人才的培养,以保证在未来的网络战中立于不败;

4、落后就要挨打,因此我们需加大网络攻击技术和防御技术的研究。例如应对实时变化的威胁变种,需具有检测未知威胁的能力(如六方云神探产品);

5、及时识别风险,评估不断变化的网络安全风险;

6、及时修复关键基础设施工控系统的漏洞;

7、防止并打击网络空间的犯罪活动;

8、及时有效响应网络安全事件,最大限度缓解潜在重大网络事件带来的后果。

声明:本文来自六方云科技,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。