国与国之间的战争一直存在,而潜在受害者甚至都不知道自己早已成为地缘政治游戏中的走卒。这种战争看不见硝烟,没有20世纪战争形态中疆域扩张的目标,也没有冷战时期确保互毁的军备竞赛。这场虽未公开但互相心知肚明的战争一直压着武装冲突的阈值在打,目的就是为了推进地缘政治议程,争取对己方有利的态势。
正如人们开始将IT网络攻击看做为了谋取利益的新形式犯罪,我们如今必须认识到,工业网络攻击也可看做是国家间为谋求“和平”取得经济和政治优势而展开的新型“经济战”中所运用的各种战术。
恶意黑客已经展现出染指脆弱ICS(工业控制系统)网络的能力,在过去18个月中人们已经见证了对工业环境成功渗透的大幅增长。尽管这些入侵中大多数尚未形成真正的攻击,但必须将之理解为为了长期目标而在脆弱系统中建立驻留的先导步骤。
那么,为什么工业网络如此受国家黑客的青睐呢?原因有三:
- 工业网络控制下的基础设施具备极高价值。世界经济都建立在工业产品基础上,世界各国的国民医疗健康保障也依赖关键基础设施。
- 攻击ICS网络是可对目标国家造成巨大破坏和经济损失而又不用负责的有效方法。经济网络战的特征之一就是缺乏对攻击的归因溯源。不会有昭示部队集结的卫星图像,也不会实时跟踪到导弹发射,当然更不会有人出来宣称对攻击负责。这些攻击往往在发起很久之后才会被发现,而取证分析也只是指向“有可能”的案犯,太容易加以否认了。
- ICS网络大多既没有监视也没有防护。造成这种局面的原因有几个。历史上,这些网络在该由谁来负责的方面就一直缺乏明确的授权,是安全团队?或者是运营团队?ICS网络上的设备可见性糟糕也是重大问题之一。现场团队常常在网络扫描过程中找出许多之前毫无所觉的资产,让客户大为震惊。而且,普遍认为的工业网络与外部世界足够物理隔离的观点,也已经被证明不过是个错误的认知。
2018年已经见证了多起可证实该战争升级的事件。3月,美国国土安全部(DHS)和FBI发布联合技术警报,声称俄罗斯政府黑客至少从2016年3月起就盯上了多个关键基础设施行业,包括能源、核、商业设施、水、航空和关键制造业。同样是在3月,美国网络司令部发布其新一期司令部视野,承认某些国家支持的黑客组织如今已是美国在网络战领域中近乎对等的竞争对手。
上周,思科Talos威胁情报部门报告称,全球有超过50万台路由器和存储设备被感染了VPNFilter恶意软件。VPNFilter与被广泛认为是俄罗斯之前用于攻击乌克兰基础设施的BlackEnergy恶意攻击载荷高度重合。Talos还观测到乌克兰主机感染的激增,可能预示着黑客正为六月底的乌克兰宪法日庆祝活动做重复攻击准备。之前,在4月时,Talos就警告过,思科交换机中的一个漏洞被高级黑客盯上,在多个国家引发了数起事件,包括某些专门针对关键基础设施的事件。
这些地缘政治攻击及其对工业基础设施的影响开始受到越来越多的关注,有来自媒体的,来自政府的,以及来自公司企业董事会的。这些都是积极的方面,但作为安全人员,最应该关注的还是自己当下能做些什么来减少在未来沦为战争牺牲品或新闻头条主角的风险。