Wilhoit是信息安全供应商Trend Micro的威胁研究员,他通过实验发现攻击和攻击者现在将攻击目标对准工业控制系统(ICS)和SCADA系统,这些系统控制着许多关键基础架构设备,如发电站和水处理设施。
经过28天的工作,Wilhoit一共建立了3个专门用于模拟ICS和SCADA系统安全形势的蜜罐架构,如果实验结果反映了什么问题,那就是工业控制系统已经成为全世界网络攻击者的首选目标,其中包括通常较薄弱的ICS安全领域,如使用默认登录身份信息。实验结果惨不忍睹:Wilhoit发现,攻击者只需要18个小时就能够发现并启动对蜜罐的攻击。这是一个危险的信号,它反映了对手是如何发现和暴露重要基础架构。
在Trend Micro上周发表的一篇标题为“谁在攻击您的ICS设备?”的报告中,Wilhoit详细说明了他所观察的29个不同攻击,并将其定义为“任何事情都可能成为面向互联网的ICS/SCADA系统的威胁”。其中还不包含自动化攻击,如SQL注入或端口扫描。或许不出所料,来自中国的攻击最多,占所记录攻击的35%,但是就连Wilhoit也没有料到攻击范围会涉及如此之多的国家,其中包括日本、荷兰和英国。
攻击:通过鱼叉式钓鱼的恶意软件
来自美国的攻击占所有攻击的19%。Wilhoit拒绝公开这些攻击的更详细信息,因为与Trend Micro合作完成调查工作的法律执法机构不允许公开这些信息。
Wilhoit在黑帽欧洲2013大会上展示了研究结果。他预计实验将发现通常针对上网设备的典型自动化攻击。但是,蜜罐环境却吸引了大范围的攻击,其中包括一个重大攻击:通过鱼叉式钓鱼的恶意软件。虽然网络钓鱼中包含的恶意软件并不是很高明,但是它们发送/攻击的方式很让人意外。
这份报告可以从Trend Micro免费下载,里面有保证面向互联网的ICS与SCADA系统的安全建议,其中包括禁用可信资源的互联网访问、保证应用最新软件补丁和设置安全的登录身份(而不使用默认设置)。虽然这些措施并不一定能够保护ICS和SCADA系统不受最高级攻击的破坏,但是它们能够抵挡最常见的攻击行为。
Wilhoit说:“这些措施中,有一些并不一定能够对付Stuxnet或相似的攻击,但是它可以延缓恶意软件本身的传播和蔓延。报告所提出的建议是一些更安全的最佳实践做法,它们可以帮助提高ICS设备的安全级别。”
即使该报告列举了一些重要基础架构供应商很可能会遇到的各种真实攻击样例。但是,Wilhoit认为还需要公布更多的危害问题,这样负责ICS和SCADA设备的公司才会认真对待这些攻击。他说:“一定要让一些大型公司公布其ICS设备所受攻击的信息,然后才会引起更多公司的注意。”
