今日頭條
官方微信
官方抖音
資訊頻道1 引言
隨著工業信息化的快速發展,涉及國計民生的電力、交通、市政、化工、關鍵制造業等行業的工業控制系統(以下簡稱工控系統),因其重要性及其重視功能實現而缺乏足夠安全性考慮所造成的自身安全缺陷,使其面臨著來自各種黑客組織或敵對勢力日益嚴峻的網絡威脅[1][2]。我們的研究表明:伊朗核電站的“震網病毒”事件之后,信息網絡及系統相關的高風險安全漏洞正在逐漸被雪藏[3]。我們認為造成這種現象的最大可能是:大量高風險未公開的漏洞通過地下經濟被出賣,或被某些國家/組織高價收購,目的是利用其開發0-day攻擊或高級持久威脅(Advanced Persistent Threat ,APT)的攻擊技術,為未來可能的網絡對抗做準備[1]。2010年以來一系列的APT攻擊事件表明,利用0-day漏洞或“水坑”模式的新型攻擊正成為網絡空間安全防護的新挑戰[1]。而工控系統因其對于國家的重要性,將極可能使其成為未來網絡戰的重要攻擊目標,除了伊朗核電站的“震網病毒”事件之外,最近公開的“蜻蜓組織”[4]利用Havex惡意代碼[5][6][7]攻擊歐美上千家能源企業等工控系統領域頻發的安全事件也在進一步證實這種推斷。
不管攻擊者的目的是出于經濟目的(如南美某國電網被攻擊者敲詐勒索[8])、意識形態的紛爭(如“燕子行動”[9]),甚至是國家間網絡戰對抗的需要(如“震網事件”、“蜻蜓組織攻擊事件[4]”),我們都必須深入研究工控系統的安全性及其可能遭受到的各種威脅,加強行業用戶的信息安全意識培訓,進行工控系統的信息安全狀況調查及系統脆弱性評估與整改,并在此基礎上提供切實有效的信息安全防護措施,以確保這些關系國計民生的工控系統的安全運營。
本文將在前期研究的基礎[1][2][10]上,對體現工控系統自身脆弱性的公開漏洞情況進行統計分析,并結合近期典型工控安全攻擊事件,分析工控系統當前所面臨的安全威脅態勢及應對策略。
2 工控系統的脆弱性分析
截止到2014年6月,我們以綠盟科技安全漏洞庫收錄的工控系統相關漏洞為基礎,參考美國CVE[11]、ICS-CERT以及中國國家信息安全漏洞共享平臺所發布的漏洞信息[12] [13],整理出了549個與工控系統相關的公開漏洞。本節將重點分析公開工控漏洞的統計特征和變化趨勢,主要涉及漏洞的總體變化趨勢、漏洞的嚴重程度、漏洞所影響的工控系統類型、漏洞的危害等幾個方面。
2.1 公開漏洞數總體上保持快速增長的趨勢
圖1 工控漏洞的年度變化趨勢
圖1給出了當前所收集工控漏洞年度增量的變化趨勢,在2011年之前,公開披露的工業控制系統相關漏洞數量相當少,但在2011年出現快速增長,這可能是因為2010年的Stuxnet蠕蟲事件之后,人們對工業控制系統安全問題持續關注以及工業控制系統廠商分析解決歷史遺留安全問題所造成的。隨著各方面對工業控制系統的安全日益重視,工業控制系統的相關公開漏洞數量仍將保持一個快速增長的總體趨勢。
2.2 工控系統漏洞涉及廠商依然以國際廠商為主
圖2給出了公開漏洞涉及主要工控系統廠商的統計分析情況。分析結果表明,公開漏洞所涉及的工控系統廠商仍然是以國際著名廠商為主,西門子(Siemens)、施耐德電氣(Schneider)、研華科技(Advantech)、通用電氣(GE)與羅克韋爾自動化(Rockwell Automation)占據漏洞數排行榜的前五名。用戶調研結果表明,這些國際著名工控系統廠商的產品在國內市場上占據優勢地位,甚至某些產品在某些行業處于明顯的壟斷地位。這種情況必然會造成這些廠商的產品倍受系統攻防雙方的重視和關注,而且也比較容易獲得研究分析用戶的產品,這很可能就是公開漏洞涉及到的工控系統廠商總是以國際廠商為主的主要原因。由于漏洞數量與產品自身的安全性、復雜度、受研究者關注程度以及工控系統廠商對自身系統安全性的自檢力度都有關系,所以我們并不能簡單地認為公開漏洞數量越多的廠商產品越不安全[10]。但是卻可以通過該信息評估用戶工控系統所存在的安全脆弱性狀況,并據此進行系統的安全加固、調整安全防護策略,來增強系統的整體安全防護能力。
圖2 公開漏洞涉及的工控系統廠商( Top10)
圖3給出了2014年上半年新增漏洞涉及工控廠商的情況,其中西門子以新增25個公開漏洞,占比39%依然位居首位,研華科技則以新增10個公開漏洞,占比15.4%而升據第二。施耐德電氣則以半年新增4個漏洞(占比6%)依然位列三甲之內。但需要注意的是,與圖2的總體情況相比仍有不小的變化:
(1)日本橫河電機株式會社(YOKOGAWA)首次進入我們的關注視野,就以半年新增4個漏洞,與施耐德電氣并列2014半年度新增漏洞的第三名。日本橫河電機作為工控行業的著名跨國公司之一,其集散型控制系統(DCS)、PLC等工控產品在國內石油、化工等大型工廠生產過程有著較為廣泛的應用,自然也會受到重點關注。
(2)排名第四、第五的Cogent、Ecava則是兩家專業的工控軟件廠商,表明除了著名國際廠商之外,在工控軟件某個子領域內相對領先的企業也日益受到關注。
2.3 工控系統存在嚴重的安全隱患及攻擊威脅
本文在分析這些漏洞的嚴重性時,將主要根據CVE的CVSS評估值來判斷,并劃分為高、中、低三種情況。圖4表明,2014年的新增漏洞中“高危”漏洞(CVSS值范圍7.0~10.0)超過一半(51%),且基本上都是嚴重性程度為“中”以上(CVSS值大于等于4.0)的漏洞。
圖3 2014年新增工控漏洞涉及的主要廠商
圖4 2014年新增漏洞按嚴重程度的分類分析
這些漏洞可導致的主要攻擊威脅的統計分析如圖5所示:其中,拒絕服務類漏洞占比最高(約33%),這對強調業務連續性的工控系統來說不是一個好消息。位居其次的是緩沖區溢出類漏洞,其占比也高達20%,這類漏洞較多則可能是因為工控系統在軟件開發階段缺乏嚴格的編程規范及要求。同樣,可導致信息泄露、遠程控制及權限提升類的工控漏洞也是攻擊者最為關注的,利用這些漏洞可以竊取制造企業的設計圖紙、生產計劃、工藝流程等敏感信息,甚至能獲得工控系統的控制權,干擾、破壞工控業務的正常生產或運營活動。
顯然,這些漏洞可能造成的主要威脅情況也可以從側面說明當前工控系統安全所應關注的主要安全問題。
圖5 2014年新增漏洞的威脅分類分析( TOP 5)
2.4 與 SCADA/HMI相關的漏洞為主,占比超過 40%
圖6給出2014年新增漏洞按產品相關分類的情況,其中,與SCADA/HMI相關的漏洞為主,其占比超過40%;PLC相關的漏洞以近30%的占比緊隨其后。而集散控制系統(DCS)及OPC相關的漏洞也各占將近10%的份額。這表明攻、防雙方都可能把主要精力放在工控系統的控制設備或工業控制管理軟件系統的安全性分析上了。當然,工控系統的網絡設備(網絡交換機)及工業網絡管理軟件的安全性也受到了一定的關注。
圖6 2014年新增漏洞涉及的工控產品
3 工控系統面臨的信息安全威脅
3.1 工控信息安全事件增長快速,能源行業易受攻擊
近年來,工業控制系統相關的信息安全事件正在呈快速增長的趨勢(如圖7)。2013年度內處理的信息安全事件就達256件[13],而這些事件又多分布在能源、關鍵制造業、市政、交通等涉及國計民生的關鍵基礎行業(如圖8);其中以電力為主的能源行業相關的信息安全事件高達151件,接近全年信息安全事件的三分之二。這與能源行業對于現實社會的重要性及其工控系統的自動化程度、信息化程度較高有相當的關系。
圖7 ICS-CERT歷年公布工控信息安全事件的統計分析
圖8 2013年工控信息安全事件涉及的重要行業( ICS-CERT)
3.2 APT已成為針對工控系統的主要攻擊方式
自2010年APT出現在公眾視野之后,業內已經陸續報道了數十起APT攻擊事件,其中不乏針對工控系統的攻擊事件[1]。自Stuxnet、Flame、Duqu這些著名的攻擊手段之后,2014年6月25日ICS-CERT在題為“ICS Focused Malware”的安全通告ICS-ALERT-14-176-02[5]中,通報了一種類似震網病毒(Stuxnet)的專門針對工控系統攻擊的新惡意代碼。安全廠商F-Secure首先發現了這種惡意代碼并將其作為后門命名為W32/Havex.A,F-Secure稱它是一種通用的遠程訪問木馬(RAT,即Remote Access Trojan)。
圖9 Havex的攻擊原理
根據ICS-CERT、F-secure、Symentec等多家安全公司的研究表明[5~7]:Havex多被用于從事工業間諜活動,其主要攻擊對象是歐洲的許多使用和開發工業應用程序和機械設備的公司。而且網絡攻擊者傳播Havex惡意軟件方式有多種:除了利用工具包、釣魚郵件、垃圾郵件、重定向到受感染的Web網站等傳統感染方式外,還采用了“水坑式”攻擊方式,即通過滲透到目標軟件公司的Web站點,并等待目標安裝那些合法APP的感染惡意代碼的版本。ICS-CERT的安全通告稱當前至少已發現3個著名的工業控制系統提供商的Web網站已受到該惡意代碼的感染。
F-Secure聲稱他們已收集和分析了Havex RAT的88個變種,并認為Havex及其變種多通過利用OPC標準被用來從目標網絡和機器獲取權限并搜集大量數據 [6][7](如圖9)。但攻擊者應該不僅僅是對這些目標公司的系統信息感興趣,而必然會對獲取那些目標公司所屬的ICS或SCADA系統的控制權更感興趣。
3.3 黑客組織是工控系統所面臨的最大安全威脅
在2014年1月,網絡安全公司CrowdStrike曾披露了一項被稱為“Energetic Bear”的網絡間諜活動,在這項活動中黑客們可能試圖滲透歐洲、美國和亞洲能源公司的計算機網絡。據CrowStrke稱,那些網絡攻擊中所用的惡意軟件就是Havex RAT和SYSMain RAT,該公司懷疑Havex RAT有可能以某種方式被俄羅斯黑客連接,或者由俄羅斯政府資助實施。
賽門鐵克在其研究報告中聲稱黑客組織Energetic Bear(也被稱為“Dragonfly”[4])1,使用一種復雜的網絡武器Havex,在18個月的時間里影響了幾乎84個國家,并使1000多家歐洲和北美能源公司受損;而且大多數受害者機構基本上都位于美國、西班牙、法國、意大利、德國、土耳其和波蘭等國家。顯然,“蜻蜓組織”有能力造成多個歐洲國家的能源供應中斷,具有極大的社會危害性。
賽門鐵克、F-secure、CrowdStrike等多家安全公司[4][6]在研究后基本認為:蜻蜓黑客組織的主要目標是實施間諜活動,而且它似乎是有資源、有規模、有組織的,甚至懷疑在它最近的攻擊活動背后有政府的參與。Stuxnet、Flame、Duqu、Havex之后,隨著攻擊者對工控系統研究的進一步深入,針對工控系統攻擊的惡意代碼仍將會層出不窮,而且還可能在發起攻擊活動的黑客組織背后更多地體現國家、政治組織或經濟組織的意志。因而,面對攻擊技術與手段日益先進、復雜、成熟的針對工控系統進行攻擊的黑客組織,工控系統所面臨的安全威脅也將日益嚴峻。
4 工控系統信息安全的檢測及防護
面對來自黑客、敵對組織日益嚴峻的網絡安全威脅,工業控制系統的安全性正日益受到我國的高度重視,并已從政策、標準、技術、解決方案等多個方面進行了積極應對:工業控制系統相關的信息安全標準正在制訂過程中,電力、石化、制造、煙草等多個行業,已在國家主管部門的指導下進行安全檢查、整改[15][16][17]。而安全檢查與整改中最重要的就是工控系統自身脆弱性的監測與發現,只有及時發現工控系統存在的漏洞及所面臨的安全威脅,才能進一步執行相應的安全加固及防護工作。
4.1 工控系統的脆弱性檢測
工控系統與傳統信息系統的較大差異性以及安全需求的不同[2],使得很難直接采用傳統的適用于IT信息系統的漏洞掃描器,而是必須需要支持相應工控協議、能識別工控系統及其應用管理軟件并能夠檢測其漏洞及配置隱患的專業工控漏洞掃描器,而且為保證系統的安全運行,多數情況下不允許對在線系統進行掃描檢測,只能在工控設備上線前或維護期間進行系統的漏洞掃描。
此外,由于工控系統及業務系統的異構性、行業性的特點明顯,安全廠商也難以推出通用性的工控系統漏洞掃描類的產品。
1蜻蜓組織是一個至少自 2011年起便開始活躍的東歐黑客團體。該組織最初的攻擊目標是美國和加拿大的國防和航空企業,但從 2013年開始將主要目標轉向許多國家的石油管道運營商、發電企業和其他能源工控設備提供商;即以那些使用工控系統來管理電、水、油、氣和數據系統的機構為新的攻擊目標。
為了更好地實現工控系統的信息安全檢查與評估工作,工控系統的脆弱性檢測與評估工作,需要安全行業、工控行業的主管部門、廠商與科研機構盡早建立多方合作機制,并促進建立國家或行業級的漏洞信息分享平臺。綠盟科技目前已成功研發出“工業控制系統漏洞掃描系統”[14],并在部分客戶環境中進行了試用驗證,預期2014年9月正式發布上市。該產品的及時推出有助于各重點行業的安全檢查與整改工作。
4.2 針對 APT攻擊的檢測與防護
針對APT逐步滲透攻擊的特點,技術報告《工業控制系統的安全研究與實踐》[1]中提出一個針對工控系統APT攻擊的檢測與防護方案,針對APT攻擊的每個階段討論了相應的應對策略:(1)做好網站漏洞、掛馬檢測及安全防護,全方位抵御水坑攻擊;(2)提高員工安全意識、部署入侵防范系統,防范社會工程攻擊,阻斷C&C通道;(3)加強對工控系統組件中的漏洞及后門監測并提供針對性的安全防護;(4)異常行為的檢測與審計,識別發現業務中可能存在的異常流量與異常操作行為。
鑒于工控系統業務場景比較穩定、操作行為比較規范的實際情況,在實施異常行為審計的同時,也可以考慮引入基于白環境的異常監測模型,對工控系統中的異常操作行為進行實時檢測與發現。
5 結語
本文基于對近期公開的工控系統相關漏洞及安全事件的統計分析的基礎上,主要討論工控系統自身的脆弱性以及所面臨的安全威脅發展態勢,提出了針對工控安全威脅的檢測與防護建議;并呼吁建立主管部門、用戶、工控廠商、安全廠商以及科研機構等參與的多方合作機制,實現優勢互補,共同促進工控信息安全行業的快速發展。
作者簡介
李鴻培,博士,高級工程師,現就職于北京神州綠盟信息安全科技股份有限公司,主要研究方向涉及網絡安全、可信網絡體系架構、安全信息智能處理技術及工業控制系統信息安全研究等。
參考文獻
[1]李鴻培,忽朝儉,王曉鵬.工業控制系統的安全研究與實踐[R].綠盟科技,2014,3.
[2]李鴻培,于旸,忽朝儉,曹嘉.工業控制系統及其安全性研究[R].綠盟科技. 2013,6.
[3]鮑旭華,李鴻培.2012上半年NSFOCUS安全威脅態勢報告[R],綠盟科技. 2012,8.
[4]ICSFocused Malware Alert(ICS-ALERT-14-176-02A)[EB],http://ics-cert.us-cert.gov/alerts/ICS-
ALERT-14-176-02A.
[5]Havex:類似Stuxnet的惡意軟件襲擊歐洲SCADA系統[EB]. http://www.freebuf.com/news/37861.html.
[6]FireEye:發現SCADA間諜軟件Havex的最新變種[EB]. http://www.freebuf.com/news/38954.html.
[7]南美某國電網被攻擊,攻擊者進行敲詐勒索[EB]. http://www.e-works.net.cn/report/fs/fs.html .
[8]2013年度全球重、特大網絡安全事件回顧[EB]. http://www.hackdig.com/?12/hack-7727.htm.
[9]李鴻培,王曉鵬.2014綠盟科技工控系統安全態勢報告[R].綠盟科技. 2014,9.
[10]CVE.http://www.cve.mitre.org/.
[11]CNVD. http://www.cnvd.org.cn/.
[12]ICS-CERT Monthly Monitor Newsletters. ICS-MM201404. http://ics-cert.us-cert.gov/monitors/ICS-MM201404.
[13]綠盟工控漏洞掃描系統白皮書[Z].
[14]工信部.關于加強工業控制系統信息安全管理的通知.
[15]電監會.電力工控信息安全專項監管工作方案.
[16]國家煙草局.工業企業生產區與管理區網絡互聯安全規范[Z].
摘自《工業控制系統信息安全專刊(第一輯)》
北京市公安局海淀分局備案號:11010802023656號