大型組織的工控系統(tǒng)中有91.1%面臨網(wǎng)絡(luò)威脅

中國工控信息安全市場(chǎng)正在經(jīng)歷“井噴期”的前夜。正所謂山雨欲來風(fēng)滿樓，市場(chǎng)正在發(fā)生悄然變化，信息安全也必將成為一個(gè)為工業(yè)界所普遍關(guān)注的問題。某業(yè)內(nèi)人士曾大聲疾呼：在工控安全沒有大規(guī)模地成為社會(huì)問題之前，我們要有足夠的技術(shù)儲(chǔ)備，足夠的實(shí)戰(zhàn)經(jīng)驗(yàn)，以便較好地應(yīng)對(duì)即將來臨的問題。

為了盡量減少遭受網(wǎng)絡(luò)攻擊的概率，工業(yè)控制系統(tǒng)（ICS）應(yīng)當(dāng)運(yùn)行于物理隔離的環(huán)境下。但真實(shí)情況并非如此。在卡巴斯基實(shí)驗(yàn)室發(fā)表的關(guān)于ICS威脅環(huán)境的報(bào)告中，卡巴斯基實(shí)驗(yàn)室專家發(fā)現(xiàn)13,698臺(tái)工業(yè)控制系統(tǒng)主機(jī)暴露于互聯(lián)網(wǎng)中，而且這些主機(jī)很可能都屬于大型組織。這些組織包括能源行業(yè)、交通運(yùn)輸行業(yè)、航空行業(yè)、石油和天然氣行業(yè)、化工行業(yè)、汽車制造行業(yè)、食品和飲料行業(yè)、政府機(jī)構(gòu)、金融機(jī)構(gòu)和醫(yī)療機(jī)構(gòu)。這些主機(jī)中，有91.1%包含可被遠(yuǎn)程利用的漏洞。更糟的是，這些工業(yè)控制系統(tǒng)主機(jī)中，有3.3%包含嚴(yán)重的可遠(yuǎn)程執(zhí)行的漏洞。

將工業(yè)控制系統(tǒng)組件暴露于互聯(lián)網(wǎng)上能夠帶來很多機(jī)會(huì)，但是也會(huì)造成很多安全問題。一方面，聯(lián)網(wǎng)的系統(tǒng)能夠在遇到緊急情況時(shí)更為靈活和更快地做出響應(yīng)，部署更新。但是另一方面，接入互聯(lián)網(wǎng)，讓網(wǎng)絡(luò)罪犯有機(jī)會(huì)遠(yuǎn)程控制關(guān)鍵工業(yè)控制系統(tǒng)組件，可能導(dǎo)致設(shè)備物理損壞，甚至給整個(gè)關(guān)鍵基礎(chǔ)設(shè)施造成潛在危害。

針對(duì)工業(yè)控制系統(tǒng)（ICS）的復(fù)雜攻擊并不新鮮。2015年，一個(gè)有組織的被稱為BlackEnergy的黑客APT組織針對(duì)烏克蘭一家電力公司進(jìn)行了攻擊。同樣是這一年，歐洲發(fā)生了兩起類似的同網(wǎng)絡(luò)攻擊有關(guān)的事件，一家位于德國的鋼鐵廠和華沙肖邦機(jī)場(chǎng)遭受攻擊。

由于攻擊面很廣，所以未來將會(huì)出現(xiàn)越來越多這樣的攻擊。我們發(fā)現(xiàn)的位于104個(gè)國家的13,698臺(tái)主機(jī)只是互聯(lián)網(wǎng)上包含ICS組件的主機(jī)中的一小部分。

為了幫助各種組織發(fā)現(xiàn)工業(yè)控制系統(tǒng)（ICS）中的潛在風(fēng)險(xiǎn)，卡巴斯基實(shí)驗(yàn)室專家對(duì)ICS威脅進(jìn)行了全面調(diào)查。他們的分析基于OSINT（開源情報(bào)）和公共來源信息（如ICS CERT），研究期限為2015年。

工業(yè)控制系統(tǒng)威脅環(huán)境報(bào)告的主要表現(xiàn)為：

1.我們?cè)诨ヂ?lián)網(wǎng)上，共發(fā)現(xiàn)有188,019臺(tái)具有工業(yè)控制系統(tǒng)（ICS）組件的主機(jī)，這些主機(jī)來自全球170個(gè)國家。

2.這些可遠(yuǎn)程訪問的包含ICS組件的主機(jī)大多數(shù)位于美國（30.5% - 57,417臺(tái)）和歐洲。在歐洲，德國位居首位（13.9%-26,142臺(tái)主機(jī)），其次為西班牙（5.9%-11,264臺(tái)）和法國（5.6%-10,578臺(tái)）。

3.可遠(yuǎn)程訪問的ICS主機(jī)中，有92%（172,082臺(tái)）包含漏洞。其中，87%包含中等風(fēng)險(xiǎn)漏洞，7%包含高危漏洞。

4.過去五年中，ICS組件中的漏洞數(shù)量增長(zhǎng)了五倍：從2010年的19個(gè)漏洞增長(zhǎng)到2015年的189個(gè)漏洞。包含漏洞最多的ICS組件為人機(jī)界面（HMI）、電子設(shè)備和SCADA系統(tǒng)。

　5.所有能夠外部訪問的ICS設(shè)備中，有91.6%（172,338臺(tái)主機(jī)）使用了較弱的互聯(lián)網(wǎng)連接協(xié)議，讓攻擊者有機(jī)可乘，能夠?qū)嵤爸虚g人”攻擊。

卡巴斯基實(shí)驗(yàn)室關(guān)鍵基礎(chǔ)設(shè)施保護(hù)總監(jiān)Andrey Suvorov說：“我們的研究顯示，ICS基礎(chǔ)設(shè)施的規(guī)模越大，存在嚴(yán)重安全漏洞的幾率也越大。這并不是某個(gè)軟件廠商或硬件廠商的問題。從本質(zhì)上來說，ICS環(huán)境是混合了多種不同的互聯(lián)組件，很多組件都連接互聯(lián)網(wǎng)，并且存在安全問題。任何人都無法100%保證某一種ICS系統(tǒng)在任何指定的時(shí)間不包含安全漏洞。但是，這并不意味著我們沒有辦法保護(hù)工廠、電站或者是智慧城市街區(qū)抵御網(wǎng)絡(luò)攻擊。了解工業(yè)設(shè)施中所使用的組件中存在漏洞，是對(duì)這一設(shè)施進(jìn)行安全管理的基本要求。這就是我們這篇報(bào)告的目的之一：讓人們意識(shí)到這些系統(tǒng)的安全狀況。”

為了保護(hù)ICS環(huán)境抵御網(wǎng)絡(luò)攻擊，卡巴斯基實(shí)驗(yàn)室安全專家建議采取以下安全措施：

1.進(jìn)行安全審計(jì)：最快的辦法是邀請(qǐng)精通工業(yè)安全的專家查找和消除報(bào)告中描述的安全漏洞。

2.獲取外部情報(bào)：當(dāng)今的IT安全非常依賴有關(guān)潛在攻擊手段的知識(shí)。從信譽(yù)良好的供應(yīng)商獲取此類情報(bào)，能夠幫助組織和企業(yè)預(yù)測(cè)自己的工業(yè)基礎(chǔ)設(shè)施未來可能遇到的攻擊。

3.在企業(yè)或組織安全邊界范圍內(nèi)和范圍外都提供保護(hù)。錯(cuò)誤不時(shí)會(huì)發(fā)生。但是，適當(dāng)?shù)陌踩呗员仨殞⒁徊糠仲Y源用于攻擊檢測(cè)和響應(yīng)，在攻擊涉及關(guān)鍵的重要對(duì)象之前將其攔截。

4.評(píng)估高級(jí)保護(hù)手段：即使有些包含漏洞的節(jié)點(diǎn)不能修補(bǔ)或移除，也可以使用針對(duì)SCADA系統(tǒng)的默認(rèn)拒絕方案，定期檢查控制器的完整性，對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)控?增強(qiáng)企業(yè)的整體安全性，減少遭遇攻擊的幾率。