工业控制系统攻击越来越频繁,但了无新意。
假设现在是1903年,你站在波尔杜(英国康沃尔郡)偏远半岛崖边的一家大旅社前。尽管旅社旁矗立着巨大的天线,还有大型风筝不时将天线带得更高,但你可能不会意识到自己面前是历史性无线电报通信的地点,或者说,首位无线网络攻击受害者的伤心地。古列尔莫·马可尼(Guglielmo Marconi),一位被誉为无线电发明家和无线传输之父的意大利人,正准备无线传输电报消息到300英里外的伦敦皇家科学院。在马可尼开始发送电报前,接收装置发出了来自另一更强无线电信号的莫斯电码信号:
“老鼠……老鼠……老鼠……老鼠。”
很快,针对马可尼的恶言接踵而至。原来,一家有线电报公司聘请了英国魔术师、无线电爱好者内维尔·马斯克林(Nevil Maskelyne)破坏马可尼的演示,想要证明开放无线电通信不是“安全和私密”的信道。
美国能源部的《工业控制系统网络事件历史》报告显示,这是历史上有记录的对工业控制系统(ICS)最早的攻击之一。尽管当时无线电报尚未完全“工业化”,但这一事件仍然表明了社会仰赖的关键ICS所引入的潜在风险。
ICS是控制电厂、水厂、燃气设施、通信基础设施和制造业等工业技术运营的计算机,有时候是相当专业化的专用计算机。ICS还包括监视控制与数据采集(SCADA)系统,此类系统是远程监控ICS运营技术(OT)的计算机。
虽然ICS设备通常非常专业化,但折磨传统计算机的软件和硬件漏洞同样会侵袭ICS设备。长期以来,安全专家一直提醒企业注意黑客也会攻击ICS,而近期Colonial Pipeline勒索软件攻击之类的事件证明了这一点(WatchGuard等很多技术观察者多年前就预测了这一情况)。更令人担忧的是,过去五年间,ICS攻击频频得手,攻击后果也愈趋严重。
不过,我们可以保护这些系统,尤其是在我们吸取历史经验教训的情况下。下面我们就列出从以往ICS攻击中可以学到的五大重要安全经验:
1. 恶意内部人甚至能威胁到最安全的系统
2008年,澳大利亚昆士兰马鲁奇供水服务公司(MWS)开始遭遇污水泵,造成上百万加仑未处理废水意外排放。故障发生时没有任何警报发出。最终调查发现,是一名心怀不满的承包商盗走了计算机和无线电设备,通过故意破坏这些污水泵来发泄自己没有得到长期职位的愤懑之情。
保护自身免遭恶意内部人的侵害并不容易,但设置强大的资产管理控制措施和快速撤销前雇员权限的过程能够有所帮助。此外,这次攻击也让MWS意识到了其设备的无线通信没有加密。如果想使用可公开访问的通信媒介,就必须做好加密保护。
2. 秘而不宣和物理隔离不等同于无法渗透的安全
2010年,伊朗核设施遭受的震网攻击打开了国家支持的ICS网络攻击的潘多拉魔盒。这一复杂攻击导致伊朗浓缩铀离心机疯狂旋转,最终碎裂。攻击中用到了利用四个零日漏洞的超先进恶意软件、针对专用设备的史上首个可编程逻辑控制器(PLC)rootkit,甚至还有所谓的双面间谍携恶意软件突破物理隔离。
若说能从震网事件中学到什么,那就是:投入足够的时间、金钱、意志,即使最安全的设施也可以突破。如果要保护的是关键系统,就得设置非常先进的安全控制措施和规程,抵挡黑客国家队奇计百出的不断攻击。
3. 小心鱼叉式网络钓鱼
据称,2014到2015年间,俄罗斯黑客通过鱼叉式网络钓鱼(内置诱饵Word文档)将BlackEnergy恶意软件安装到乌克兰电力公司的计算机上。该恶意软件使黑客得以中断近25万乌克兰的电力供应长达六小时。(同样的事件在2016年再次出现,用的是CRASHOVERRIDE恶意软件。)这还只是始于鱼叉式网络钓鱼的众多ICS攻击的案例之一,其他案例还包括2012年Shamoon数据删除恶意软件、2012年美国天然气管道攻击和2014年德国钢铁厂黑客事件。
经验教训非常明显:鱼叉式网络钓鱼是ICS攻击中极其常用的战术。一定要经常就如何识别和避免鱼叉式网络钓鱼邮件做好员工培训。
4. 数字攻击可导致物理伤害和死亡
2017年,专家在调查一家沙特阿拉伯石油化工厂的系统故障时发现了非常专业的ICS恶意软件。该恶意软件旨在关停紧急停机与安全系统,造成物理破坏。业界普遍认为TRITON是意在造成人员伤亡的首个网络攻击。
保护ICS系统之所以那么重要,不仅仅是因为我们需要这些系统所提供的服务,还出于对我们人身安全的考量。
5. ICS易遭遇索软件破坏
从以往事例来看,ICS攻击似乎属于黑客国家队和恐怖主义黑客的“业务”范畴,但如今,网络罪犯也加入了发起ICS攻击的行列。比如,全球铝业巨头 Norsk Hydro 遭遇勒索软件感染,导致其关闭部分产品线并恢复到手动过程。此类事件就生动验证了2019年的ICS预测。至于更近期的事件,参考Colonial Pipeline遭遇的勒索软件攻击。
尽管这些事件的根源各不相同,但表明了网络罪犯的技术现在足以攻破ICS公司,而ICS是个不错的勒索目标。同时,这也反映出2020年的ICS运营技术很大程度上形同虚设。若要经营ICS公司,最好配备详细的业务连续性计划和灾难恢复计划,从而在遭遇勒索软件攻击之类的灾难时能够快速恢复服务。
以上只是我们从几次ICS网络攻击中得到的几条教训。还有很多其他经验教训,且同样的案例似乎会在未来更加频繁地出现。