为了尽量减少遭受网络攻击的概率,工业控制系统(ICS)应当运行于物理隔离的环境下
为了尽量减少遭受网络攻击的概率,工业控制系统(ICS)应当运行于物理隔离的环境下。但真实情况并非如此。在卡巴斯基实验室发表的关于ICS威胁环境的报告中,卡巴斯基实验室专家发现13,698台工业控制系统主机暴露于互联网中,而且这些主机很可能都属于大型组织。这些组织包括能源行业、交通运输行业、航空行业、石油和天然气行业、化工行业、汽车制造行业、食品和饮料行业、政府机构、金融机构和医疗机构。这些主机中,有91.1%包含可被远程利用的漏洞。更糟的是,这些工业控制系统主机中,有3.3%包含严重的可远程执行的漏洞。
将工业控制系统组件暴露于互联网上能够带来很多机会,但是也会造成很多安全问题。一方面,联网的系统能够在遇到紧急情况时更为灵活和更快地做出响应,部署更新。但是另一方面,接入互联网,让网络罪犯有机会远程控制关键工业控制系统组件,可能导致设备物理损坏,甚至给整个关键基础设施造成潜在危害。
针对工业控制系统(ICS)的复杂攻击并不新鲜。2015年,一个有组织的被称为BlackEnergy的黑客APT组织针对乌克兰一家电力公司进行了攻击。同样是这一年,欧洲发生了两起类似的同网络攻击有关的事件,一家位于德国的钢铁厂和华沙肖邦机场遭受攻击。
由于攻击面很广,所以未来将会出现越来越多这样的攻击。我们发现的位于104个国家的13,698台主机只是互联网上包含ICS组件的主机中的一小部分。
为了帮助各种组织发现工业控制系统(ICS)中的潜在风险,卡巴斯基实验室专家对ICS威胁进行了全面调查。他们的分析基于OSINT(开源情报)和公共来源信息(如ICS CERT),研究期限为2015年。
工业控制系统威胁环境报告的主要发现为:
- 我们在互联网上,共发现有188,019台具有工业控制系统(ICS)组件的主机,这些主机来自全球170个国家。
- 这些可远程访问的包含ICS组件的主机大多数位于美国(30.5% - 57,417台)和欧洲。在欧洲,德国位居首位(13.9% - 26,142台主机),其次为西班牙(5.9% - 11,264台)和法国(5.6% - 10,578台)。
- 可远程访问的ICS主机中,有92%(172,082台)包含漏洞。其中,87%包含中等风险漏洞,7%包含高危漏洞。
- 过去五年中,ICS组件中的漏洞数量增长了五倍:从2010年的19个漏洞增长到2015年的189个漏洞。包含漏洞最多的ICS组件为人机界面(HMI)、电子设备和SCADA系统。
- 所有能够外部访问的ICS设备中,有91.6%(172,338台主机)使用了较弱的互联网连接协议,让攻击者有机可乘,能够实施“中间人”攻击。
“我们的研究显示,ICS基础设施的规模越大,存在严重安全漏洞的几率也越大。这并不是某个软件厂商或硬件厂商的问题。从本质上来说,ICS环境是混合了多种不同的互联组件,很多组件都连接互联网,并且存在安全问题。任何人都无法100%保证某一种ICS系统在任何指定的时间不包含安全漏洞。但是,这并不意味着我们没有办法保护工厂、电站或者是智慧城市街区抵御网络攻击。了解工业设施中所使用的组件中存在漏洞,是对这一设施进行安全管理的基本要求。这就是我们这篇报告的目的之一:让人们意识到这些系统的安全状况,”卡巴斯基实验室关键基础设施保护总监Andrey Suvorov说。
为了保护ICS环境抵御网络攻击,卡巴斯基实验室安全专家建议采取以下安全措施:
- 进行安全审计:最快的办法是邀请精通工业安全的专家查找和消除报告中描述的安全漏洞。
- 获取外部情报:当今的IT安全非常依赖有关潜在攻击手段的知识。从信誉良好的供应商获取此类情报,能够帮助组织和企业预测自己的工业基础设施未来可能遇到的攻击。
- 在企业或组织安全边界范围内和范围外都提供保护。错误不时会发生。但是,适当的安全策略必须将一部分资源用于攻击检测和响应,在攻击涉及关键的重要对象之前将其拦截。
- 评估高级保护手段:即使有些包含漏洞的节点不能修补或移除,也可以使用针对SCADA系统的默认拒绝方案,定期检查控制器的完整性,对网络进行监控,增强企业的整体安全性,减少遭遇攻击的几率。
卡巴斯基实验室愿意同受影响国家的计算机紧急响应小组和执法机关合作,将相关攻击情报告知受感染组织和个人,帮助他们清除威胁。
为了保护自己以及您所在组织不受这种网络间谍攻击组织的侵害,卡巴斯基实验室的安全专家建议采取以下安全措施:
- 遵循基础的互联网安全规则行事:不要打开来自未知发件人的邮件附件,定期更新所使用的软件和操作系统;
- 使用可靠的能够应对最为复杂的网络威胁的安全解决方案;
- 一定要注意,有些看上去合法(正常)的文档可能是针对你所在企业或组织进行的针对性攻击的第一阶段。大型企业可以使用反针对性攻击解决方案拦截企业网络中的危险行为,在恶意软件安装和窃取数据之前将其拦截;
- 目前,确保安全的最佳办法是时刻关注针对性攻击的最新演化情况。使用威胁情报服务了解攻击者使用的最新攻击手段,掌握何种保护手段能够让这些攻击手段变得无效。
要阅读关于工业控制系统威胁环境报告全文,请访问Securelist.com.
