今日頭條
官方微信
官方抖音
資訊頻道
一部靈感來自于“震網Stuxnet”病毒事件的電影《駭客交鋒》(原名“黑帽 Blackhat”),引發了人們對基礎設施攻擊的無限想象。電影由王力宏和湯唯主演,邀請了專業人士作為顧問,其中包括明星黑客Kevin Poulsen。他常使用馬甲“Dark Dante(黑暗但丁)”作案,被稱為史上五大著名黑客之一,后來從良,為Wired News雜志工作,還出版了一本書。谷歌的工程主管,被稱為“信息安全公主”的帕里薩·塔布瑞茲評價該片是她所見過的“最為準確的有關信息安全的電影”。
與高昂的投資相比,這部電影的票房并不好。故事情節不夠緊湊,被定義為了爛片,可這畢竟是首部以工業基礎設施與信息安全對抗為題材的商業電影。如果你是一名工業控制系統從業者,對電影中的PLC一定再熟悉不過了。而且,電影中模擬攻擊的目標---恰恰是我國的核電站!!!
如果我們還繼續認為工業控制系統網絡是安全的,那我們看看利用(軟硬件特征識別、工控蜜罐)技術,能夠在互聯網上發現什么。
1. 可遠程訪問和控制的實時SCADA
燃氣監控:
水廠監控:
2. 可遠程訪問和控制的PLC
3. 遍布互聯網的工控資產
4. 日漸增多的針對工控專有協議的探測(蜜罐監測數據統計http://plcscan.org/blog/dataanalysis/icsscada-honeypot-log/)
結合以上各種現實情況,我們可以嘗試著從中得到以下結論:
(1)從國家的角度,一切以基礎設施為目標的攻擊,均可視為“敵意”行為;
(2)蓄意的破壞還沒有形成規模化、產業化,但大范圍的、具有強烈興趣的試探性“攻擊”頻率正在呈上升趨勢;
(3)核心控制系統不被直接聯網,并不意味著控制網絡的安全,因為多數的無人值守站均可作為入侵的節點。
一、 國內自動化行業形勢
(一)“兩化融合”的發展和現狀
回顧2011年4月6日工信部印發《關于加快推進信息化與工業化深度融合的若干意見》 (工信部聯信[2011]160號):“到2015年,信息化與工業化深度融合取得重大突破,信息技術在企業生產經營和管理的主要領域、主要環節得到充分有效應用,信息技術集成應用水平成為領軍企業核心競爭優勢支撐“兩化”深度融合的信息產業創新發展能力和服務水平明顯提高,應用成本顯著下降,信息化成為新型工業化的重要特征。”
現如今,傳統自動化行業亟待變革,隨著工業4.0、智能制造、工業互聯網這些概念的蓄勢待發,工控安全也正處于變革的十字路口。工控網發布的文章《正在消失的自動化行業》(2016-04-05)中指出,“自動化并不是消失了,而是更為廣泛了”。自動化行業很難有高速成長性,因為自動化行業首先規模并不大,總體也就在1500億不到,而且包含了大量的細分市場。畢竟每年不到15%的增長也沒有多少講故事的空間,再說利潤,一直覺得自動化是個高科技行業,但是,與移動互聯、IT相比,行業的盈利也決定了收入并不豐厚,大部分業內人士都覺得僅僅過得尚可而已。
智能化可能更為符合未來的發展描述,自動化只是智能的一部分,而智能涵蓋了但卻不僅只有自動化,而包括感知、分析、思考、判斷、決策者系列與智能相關,也包括呈現(如VR技術)、反饋等,這些前端與后端構成了智能化的部分。
自動化只是其中的智能執行環節,當然,你也可以說,自動化使其變得更為智能。例如Web技術不能滿足自動化的實時性要求,在傳統意義上這是有一定的道理的,但是,在新的時代,我想Web技術的開放性與低廉成本還是吸引著很多企業,例如:HMI就可以采用Web技術來實現,這對于SCADA的開發而言,就是極大的便利。
當然,Web技術可以不僅僅用于純粹只是為了HMI類的應用,如果可以的話,我們可以在全世界都可以訪問你想訪問的設備,安全是必須的。
(二)國內的經濟形勢
另外一個與工控安全難以落實的重要因素,不得不提的是國內能源領域產能過剩,導致的經濟發展緩慢的現實。當然,受影響的不只在國內,而是全球。
《控制網》整理的一篇文章《一份財報引發的xue案》(2016.2.19)中提到,施耐德電氣2015財年財報顯示法國施耐德電氣宣布,受中國經濟放緩及美國削減石油和天然氣行業投資的影響,其2015財年凈利潤降幅超出預期。該公司將其較弱的盈利能力歸因于中國疲軟的工業以及油價崩潰后美國削減石油和天然氣工業投資。其2015財年的財報反映了工業集團縮減西歐市場而擴大中國和北美風險敞口的策略所帶來的限制。
Emerson公司宣布,由于2015財年大部分時間經濟持續低迷狀況不景, 2015年公司凈銷售額下降9%。油價下跌、全球工業資本支出放緩、新興市場的需求疲軟和美元升值等重大阻力對公司的銷售額造成了負面影響。由于中國的疲弱需求充分抵消了印度和澳大利亞的強勁增長,因此亞洲的基本需求下降了5%。
ABB在充滿挑戰的市場中實現盈利增長。2015年訂單額與上一年持平(按美元計算下降12%)。大額訂單(超過1,500萬美元)增長10%(按美元計算下降5%),抵消了基礎訂單3%的下滑(按美元計算下滑14%)。銷售收入與2014年持平(按美元計算下降11%),因為電力系統業務和電力產品業務的收入增長抵消了離散自動化與運動控制業務以及過程自動化業務的收入下滑。來自服務業務的銷售收入增長6%(按美元計算下降8%),其在ABB銷售收入總額的占比上升1個百分點。在當前宏觀經濟的持續不確定性和全球諸多市場挑戰的環境中,ABB三大主要市場領域的需求持續低迷。電力客戶雖然保持審慎,但仍繼續在提升電網效率和可靠性方面進行選擇性投資。
以數據深刻的說明了能源行業的不給力,而工控系統大多被應用于能源行業的基礎設備控制中。試問這些生產企業連盈利問題還沒有得到解決的前提下,管理者又有多大決心,去解決安全問題呢?
二、 國家(隊)的責任
美國NSA的“七招”(https://www.iad.gov/iad/library/ia-guidance/security-configuration/industrial-control-systems/seven-steps-to-effectively-defend-ics.cfm)不是萬能解藥,與美國相比,受國內體制、信息化與自動化發展的階段、標準與技術的原創性等種種因素的影響,存在著明顯的區別。因此,我們建議國內工控安全采取更直接、更有效的策略來控制工控安全風險。
(1)“兵者,國之大事,死生之地,存亡之道,不可不察也”。
伴隨著消費者移動化、物聯網等新趨勢,工控威脅和潛在攻擊一方面通過多樣化的攻擊手段、專業的工具、有組織地獲取利益,另一方面則表現在國家戰略布局上。此外,攻擊者可以方便的在工控系統中調動大規模資源,攻擊的速度更快、破壞性更強。而防守方僅憑傳統的防守方案已經無法阻擋攻擊,威脅、情報、檢測、防護、態勢感知都是新的防守技術,而更加智能化的安全模式也是應對威脅的新舉措。實時監測開放在互聯網上的工控設備,以及分析和監督在互聯網上以工控設備為目標的掃描、探測、滲透等行為。
(2)從國家層面,加大對技術研發、標準制訂和資料收集等方面的投入,強化對最終工控現場及重點基礎設施安全加固的建設投資。對于目前缺少標準、缺少市場實踐的背景下,用戶需求并不明確,多數信息安全產品(包括工控安全產品)雖然被設計到現場,可實際真正運行、并且能夠起到防護作用的少之甚少。主要原因之一是產品的設計只是應對政策的一廂情愿。而工控行業的維護人員,更加關注穩定性和可維護性。因此,對于政策層面需要引導市場將關注的焦點回到基礎設施本身,重視企業負責人的安全意識培養,規范市場、強化產品準入,把市場的還給市場。
(3)工控安全防護手冊。工業控制系統(ICS)的制造商已經意識到在工業環境中不斷增長的IT安全威脅。為了應對威脅和風險,他們在系統中實施安全機制。然而,只要運營商和系統集成商未能積極參與,所有的達到整個系統的安全性的努力都仍不能發揮最大作用。因此,工控系統的使用者迫切的需要在一定能力指導下,制訂符合自身行業特性的管理方法。基礎生產設施的控制系統是由許多單個的系統組成,因此其強大與安全取決于最薄弱的環節。運營商和集成商必須了解工業控制系統的制造商實施的安全機制,與他們的行業需求保持一致,并在整個系統中采納和應用這些安全機制。支持用戶開發符合ICS制造商和運營商或集成商的定制需求的信息技術安全手冊,分析并派生出切實可行的安全措施,以適合確保生產工廠的ICS安全運行,并最終設計和開發出信息技術安全手冊。
(4)保護目標手段的多樣性。工控安全問題,完全可能演變為恐怖主義的利用手段。除了前面說到政策層面應該是監督和指導,進一步討論,規范信息、事件的收集渠道和通報方法,建設必要的“假目標”,吸引和分析攻擊來源,緩解工控系統被直接攻擊的壓力。“三軍之眾,可使畢受敵而無敗者,奇正是也”。操作方法上,還需要深入的“軍民融合”、“政企聯合”,對于工控安全,我們相信:高手在民間。
伴隨著市場的逐步成熟,無論工業自動化巨頭、傳統安全龍頭,還是新興專業安全廠商都在積極布局,以完善自身的技術、市場和產品。
最后,還是以開篇的電影作為結束,國內的工控安全市場,無論是政策、投融資、論壇等等,前期宣傳投入已經不小,但還沒到迎接首映的程度,希望最終能夠獲得好票房!
來源:燈塔實驗室
北京市公安局海淀分局備案號:11010802023656號