2016年3例严重工控安全事故经验教训总结

​​

[[176374]]

如今，随着物理控制和电子系统的高度集成，在严峻的安全威胁形势下，工业控制系统(ICS)安全事关国家关键基础设施安全和民生安全，必须大力加强安全管理。在此，我们就2016年三次主要ICS事件进行讨论，综合专家意见，总结经验。

1 Operation GHOUL(食尸鬼)行动

2016年8月，卡巴斯基安全实验室揭露了针对工控行业的“食尸鬼”网络攻击活动，攻击通过伪装阿联酋国家银行电邮，使用鱼叉式钓鱼邮件，对中东和其它国家的工控组织发起了定向网络入侵。攻击中使用键盘记录程序HawkEye收集受害系统相关信息。

卡巴斯基目前发现了全球130多个受攻击目标，大多为石化、海洋、军事、航空航天和重型机械等行业，涉及西班牙、巴基斯坦、阿联酋、印度、中国、埃及等国。攻击使用的鱼叉式邮件主要发送对象为目标机构的高级管理人员，如销售和市场经理、财务和行政经理、采购主管、工程师等。

观点：必须注重人员安全意识问题

​​Lane Thames​​, Tripwire漏洞安全研究组专家。他认为，从“食尸鬼”行动可以看出，在安全防范时，必须要注重人员安全意识问题。

2 BLACKENERGY(黑暗力量)攻击导致的断电事故

2015年12月23日，乌克兰电力供应商Prykarpattyaoblenergo通报了持续三个小时的大面积停电事故，受影响地区涉及伊万诺-弗兰科夫斯克、卡卢什、多利纳等多个乌克兰城市。后经调查发现，停电事故为网络攻击导致。攻击者使用附带有恶意代码的Excel邮件附件渗透了某电网工作站人员系统，向电网网络植入了BlackEnergy恶意软件，获得对发电系统的远程接入和控制能力。

​​

[[176375]]

​​

BlackEnergy木马病毒，2007年被Arbor网络公司首次发现，之后，该恶意软件功能经历了多种变化，从相对简单的DDoS到拥有模块化结构的Rootkit技术，再到后来的具有插件支持、远程代码执行、数据采集等功能，在其最新升级版本中，还支持代理服务器、UAC绕过技术等。BlackEnergy在早期主要被黑客用于发送垃圾邮件、网上银行诈骗等。

观点：必须制订和遵守安全规则

Pavel Oreški，Tripwire网络安全专家，他认为此次攻击表明，恶意邮件和垃圾邮件对某些组织机构来说仍然是一种严重的安全威胁。

3 伊朗黑客攻击美国大坝事件

2016年3月24日，美国司法部公开指责7名伊朗黑客入侵了纽约鲍曼水坝(Bowman Avenue Dam)的一个小型防洪控制系统。幸运的是，经执法部门后期调查确认，黑客还没有完全获得整个大坝计算机系统的控制权，仅只是进行了一些信息获取和攻击尝试。这些伊朗黑客可能为伊朗伊斯兰革命卫队服务，他们还涉嫌攻击了包括摩根大通、美国银行、纽约证券交易所在内的46家金融机构。

​​

[[176376]]

观点：组织机构必须采取循序渐进的多重防护策略，同时要具备网络运行快速恢复能力

Keirsten Brager,CISSP, CASP, Tripwire驻某大型电力设施工程师。她认为，该事件可能比较复杂，但组织机构内部可以采取有效的保护措施。事件报道中主要突出了三方面问题：第三方机构感染了恶意软件、僵尸网络发起了对网站的DDoS攻击、远程入侵漏洞。虽然没有任何一种解决方案是完美的，但一些深度防御策略可以缓解类似威胁风险。

恶意软件：防御，检测，响应

DDoS攻击：检测、缓解

安全认证：多因素认证

这些攻击事件表明，最好的安全防护策略之一是针对远程访问的多因素身份认证。针对恶意软件、DDoS和远程入侵等攻击，组织机构内部可以建立弹性的安全防御策略。但即使是最全面的部署防御也不是最安全最完美的。因此，对组织机构来说，具备持续监测响应能力，快速从网络攻击事件中恢复和运行才是最主要的。

总结

为应对未知安全事故，工控组织机构可以通过加强雇员安全培训、制订安全规则、采取多种安全防护措施，最大程度地实现全方位安全防护目的。