寫(xiě)在前面的話
最近這段時(shí)間,包括勒索軟件在內(nèi)的網(wǎng)絡(luò)犯罪活動(dòng)已經(jīng)成為了各行各業(yè)目前所面臨的一種嚴(yán)重的網(wǎng)絡(luò)威脅。雖然WannaCry并非是專門(mén)用來(lái)針對(duì)ICS(工業(yè)控制系統(tǒng))設(shè)備的,而且現(xiàn)在也沒(méi)有證據(jù)可以表明攻擊者打算用WannaCry來(lái)針對(duì)ICS網(wǎng)絡(luò)的擁有者。但根據(jù)目前的情況來(lái)看,WannaCry確實(shí)也攻擊過(guò)ICS設(shè)備,而且還成功導(dǎo)致了系統(tǒng)發(fā)生崩潰。
我之所以在文章的開(kāi)頭提到WannaCry,是因?yàn)槲掖蛩阍谶@篇文章中跟大家討論ICS網(wǎng)絡(luò)目前所面臨的安全風(fēng)險(xiǎn)。值得一提的是,攻擊者如果想要破壞ICS設(shè)備的正常運(yùn)轉(zhuǎn),他們根本不需要設(shè)計(jì)出復(fù)雜的攻擊技術(shù)來(lái)利用工控系統(tǒng)中的0day漏洞,而WannaCry的殺傷力也足以能夠證明這一點(diǎn)了。
雖然這個(gè)漏洞幾乎所有的Windows操作系統(tǒng)都存在,這一點(diǎn)的確沒(méi)錯(cuò),但這款惡意軟件也絕對(duì)是一流的
工控系統(tǒng)的安全風(fēng)險(xiǎn)
ICS網(wǎng)絡(luò)所面臨的安全風(fēng)險(xiǎn)是一種系統(tǒng)性風(fēng)險(xiǎn),而這種風(fēng)險(xiǎn)并不是單獨(dú)由安全漏洞所決定的。沒(méi)錯(cuò),漏洞的確是其中的一個(gè)主要問(wèn)題,因?yàn)樗鼈兇淼氖枪粽呖赡芾玫墓敉緩健5覀円残枰溃肭諭CS網(wǎng)絡(luò)相對(duì)來(lái)說(shuō)還是比較容易的,而且近十年來(lái)所發(fā)生的各種針對(duì)ICS設(shè)備的黑客攻擊事件也是最好的證明。一旦攻擊者成功入侵了ICS/OT網(wǎng)絡(luò),那對(duì)于ICS網(wǎng)絡(luò)來(lái)說(shuō)絕對(duì)會(huì)是一場(chǎng)浩劫。
訪問(wèn)ICS/OT網(wǎng)絡(luò)
“空氣隔離ICS/OT環(huán)境”這種概念早就已經(jīng)死了,因?yàn)槌鲇诙喾N原因,這種網(wǎng)絡(luò)與外界的互聯(lián)互通越來(lái)越多了,而這一事實(shí)也就給攻擊者提供了兩條主要的開(kāi)放攻擊途徑,不過(guò)這兩種攻擊方法都需要非常高端和新穎的漏洞利用技術(shù)予以配合:
1. 通過(guò)“某種工具”利用IT網(wǎng)絡(luò)的互聯(lián)互通性訪問(wèn)ICS/OT網(wǎng)絡(luò),這里所謂的“某種工具”指的是例如網(wǎng)絡(luò)釣魚(yú)攻擊和水坑攻擊等技術(shù)。
2. 直接從外部訪問(wèn)ICS/OT網(wǎng)絡(luò)(通過(guò)被入侵的VPN或未監(jiān)控的遠(yuǎn)程訪問(wèn))。
根據(jù)Mandiant提供的調(diào)查信息,在北美地區(qū),一般在攻擊者成功入侵了IT網(wǎng)絡(luò)之后的第99天(平均值)才有可能被檢測(cè)到,而且目標(biāo)網(wǎng)絡(luò)系統(tǒng)中還部署了大量的安全檢測(cè)工具。而在ICS/OT網(wǎng)絡(luò)中,安全監(jiān)控系統(tǒng)是一種稀缺資源,當(dāng)攻擊者入侵了ICS/OT網(wǎng)絡(luò)之后,目前幾乎沒(méi)有方法能夠檢測(cè)到他們的存在。
當(dāng)然了,除了從外部訪問(wèn)ICS網(wǎng)絡(luò)之外,我們也不能夠完全忽略那些來(lái)自內(nèi)部的安全威脅。比如說(shuō),有的網(wǎng)絡(luò)缺乏對(duì)訪問(wèn)憑證的限制,有的則沒(méi)有撤銷舊員工的訪問(wèn)憑證,而這些都是我們?cè)谖磥?lái)可能會(huì)遇到的麻煩。
破壞ICS/OT網(wǎng)絡(luò)遠(yuǎn)比你想象的還要簡(jiǎn)單
由于ICS/OT網(wǎng)絡(luò)在安全監(jiān)控方面存在明顯的不足之處,那么一旦攻擊者成功入侵了網(wǎng)絡(luò),那么他們就可以有大量時(shí)間來(lái)了解網(wǎng)絡(luò)組件的拓?fù)浣Y(jié)構(gòu),并監(jiān)控和分析網(wǎng)絡(luò)中所有的進(jìn)程。除此之外,ICS網(wǎng)絡(luò)中的很多設(shè)備都缺乏最基本的安全管理機(jī)制。比如說(shuō)設(shè)備A,由于設(shè)備A在設(shè)計(jì)之初的主要功能就是為了優(yōu)化實(shí)時(shí)通信的,所以設(shè)備A才缺乏適當(dāng)?shù)纳矸蒡?yàn)證機(jī)制和加密功能,但大家都知道這樣的一臺(tái)設(shè)備絕對(duì)是不安全的。實(shí)際上,工控系統(tǒng)中絕大多數(shù)的控制器都不具備對(duì)信息數(shù)據(jù)進(jìn)行加密的能力,而這些設(shè)備之所以沒(méi)有具備這樣的能力,其實(shí)是有各種各樣的原因的,至少我們?cè)?5年內(nèi)都不用去期待這一方面能夠有什么重大轉(zhuǎn)變了。
很多工控系統(tǒng)都會(huì)使用PLC(可編程邏輯控制器)來(lái)作為工業(yè)環(huán)境的通信解決方案,但我們要知道的事,攻擊者可以使用合法的命令來(lái)與PLC直接進(jìn)行通信,而這種行為將有可能給ICS帶來(lái)不可估量的嚴(yán)重后果。對(duì)于攻擊者來(lái)說(shuō),一旦成功進(jìn)入了目標(biāo)ICS網(wǎng)絡(luò),那么開(kāi)啟或關(guān)閉一個(gè)進(jìn)程就像是使用一款標(biāo)準(zhǔn)工程工具一樣簡(jiǎn)單,而攻擊者所使用的合法命令更加不會(huì)被ICS/OT網(wǎng)絡(luò)標(biāo)記為可疑行為。不僅如此,攻擊者還可以輕而易舉地修改PLC上加載的程序,甚至運(yùn)行一個(gè)新的程序都是有可能的。PLC可不會(huì)要求操作人員進(jìn)行身份驗(yàn)證,而且就算是控制器具有身份驗(yàn)證能力,但這些功能也有可能已經(jīng)被禁用了。
所以,無(wú)論P(yáng)LC是否存在漏洞,攻擊者都可以利用PLC黑進(jìn)ICS網(wǎng)絡(luò)之中。因此,我們?cè)跈z查ICS組件的安全性時(shí)一定要保持耐心,并且盡可能利用現(xiàn)存的資源和系統(tǒng)功能來(lái)改變ICS網(wǎng)絡(luò)目前所處的安全困境。
現(xiàn)在的情況意味著什么?
ICS/OT網(wǎng)絡(luò)是一種高風(fēng)險(xiǎn)資產(chǎn),因此我們必須要找到一種方法來(lái)更好地監(jiān)控與ICS網(wǎng)絡(luò)有關(guān)的各種活動(dòng)。就目前的情況來(lái)看,攻擊者不僅可以給ICS設(shè)備帶來(lái)嚴(yán)重的安全問(wèn)題,而且還可以竊取公司寶貴的知識(shí)產(chǎn)權(quán)。除此之外,有的攻擊者甚至還會(huì)以ICS網(wǎng)絡(luò)為籌碼進(jìn)行勒索活動(dòng),或者將ICS作為切入點(diǎn)來(lái)入侵企業(yè)的IT網(wǎng)絡(luò)環(huán)境。我們不可能一夜之間就解決這些網(wǎng)絡(luò)所面臨的系統(tǒng)性風(fēng)險(xiǎn),而且在可預(yù)見(jiàn)的未來(lái)我們很可能也無(wú)法很好地解決這些問(wèn)題。因此,我們現(xiàn)在就要馬上行動(dòng),我們沒(méi)有時(shí)間像以前一樣按部就班地進(jìn)行研究和審查了,我們必須以全新的角度和思想來(lái)制定并執(zhí)行嚴(yán)格的安全策略,并將ICS/OT網(wǎng)絡(luò)的安全等級(jí)提升到一個(gè)新的層次。
| 
