您做在的位置: 中国投资 > 产业企业 > 工业信息安全所面临的挑战

工业信息安全所面临的挑战

工业信息安全所面临的挑战

文|基里.克鲁格洛夫  卡巴斯基实验室关键基础设施威胁分析专家  翻译|王晓波

 导 读 

许多工业控制系统都有被恶意软件感染的风险。对网络安全进行投资,不仅能减少维护费用,而且可以避免因网络威胁造成的重大损害

与外部网络之间的无效隔离

无效的子网络隔离

缺乏事件响应措施

根源分析

根据每天对数万台计算机在网络运营技术(OT)方面检测到的网络威胁的分析以及对许多发生事件的总结,我们发现超过一半的网络运营技术都存在典型的信息安全问题,这就使得运营技术系统很容易受到网络攻击和恶意软件的侵入。因此在这篇文章中,我们将重点介绍几个最重要的关于运营技术的安全问题,并用实际发生的事例加以说明。

与外部网络之间的无效隔离

通常,人们认为互联网(或者任何其他外部网络)为不同网络中的计算机之间双向发送和接收数据提供了永久的可能性。此外,持续连接运营技术和外部网络的笔记本电脑和移动电话也可以在网络间传输数据,并且建立异步连接。不过我们在这里先不考虑这样的异步连接以及它是否会受到网络威胁。

图1是卡巴斯基实验室工业控制系统网络应急小组提供的统计数字,从中可以看出,超过四分之一的计算机都报告在6个月内至少检测到一次网络威胁。与此同时,大约5.5%的计算机受到来自电子邮件的威胁(也是每6个月至少一次),这些计算机都连接到电子邮件服务器(通常是公司网络中的SMTP服务器)。此外,笔记本电脑和手机以及可移动媒体也成为了恶意软件异步连接的渠道。这类攻击的风险不应低估(虽然其中的高级持续性威胁并不多见),因为统计显示,在6个月的时间里,大约8%的计算机的运营技术在可移动媒体上检测到威胁,这意味着工业网络可能通过U盘受到攻击。

在我们最近调查的一起高级持续性威胁(APT)攻击中,网络罪犯使用了特殊的间谍软件,它不仅能够通过传染移动媒体传播病毒,而且还可以使用U盘从独立的计算机中过滤数据,并发送至远程命令控制服务器,以及在某个特定的主机上安装附加的恶意软件组件。

因此,许多工业公司的技术网络中的计算机并不是独立的(它本来应当是独立的),而是经常被连接到外部网络。

无效的子网络隔离

我们在运营技术中经常发现的另一个典型的安全问题是内部子网络的无效隔离(或者没有隔离)。即使几乎所有的网络段都与外部网络隔离,也总会存在至少一个对外暴露的网段。结果由于子网络之间没有隔离,该网段就成为了独立系统与外部世界之间的一扇门。

在我们调查的针对不同工业公司的工业控制系统的一系列目标性攻击中,远程桌面(RDP)服务器被用作网络运营技术的切入点。在一些情况下,网络罪犯使用粗暴的技术手段在这些服务器上获得未经授权的访问;而在另一些情况下,威胁者滥用间谍软件在前一次攻击时窃取的合法证书(见下一节)。

在获得对远程桌面服务器的访问权之后,网络威胁者会试图使用任何可能的方法将攻击进一步转移到运营技术内部,以便找到并攻击所有关键的工业控制系统(比如安装勒索软件)。

通常,网络罪犯能够通过使用Mimikatz 工具(一种密码破解工具)从系统内存中收集域帐户的哈希值。这些帐户属于远程工程师和系统管理员,它们被用于连接远程桌面服务器。由于子网络之间缺乏严密隔离,而且管理员的访问不受限制,因此通过散列攻击技术,威胁者就可以自由连接整个工业控制系统网络中的每台计算机。

如果网络罪犯不能从内存中收集到哈希值或者无法使用它登录某个其感兴趣的系统,他们就会转而对MSSQL服务器进行暴力攻击,或者对诸如MS-17-10之类的已知漏洞发起网络攻击。

这些事例表明,内部子网络间的隔离至关重要,因为它能防止一个网段被攻击后整个工业控制系统网络全部受到损害的风险。

缺乏事件响应措施

根据统计数据、我们的经验以及前一节所举的例子,我们可以知道许多工业控制系统都有被恶意软件感染的风险。下图2显示了计算机上检测到的在运营技术方面最典型的恶意软件类别。

这四类恶意软件通常在不同的攻击阶段结合使用。最常见的一种攻击方案是,先发送钓鱼电子邮件,邮件附加的文件中会被注入漏洞。这一阶段的目标是渗透到网络周边,并用后门和间谍软件传染主机。然后威胁者从已被传染的系统中收集信息,比如储存在Web浏览器、FTP、SSH和电子邮件应用程序里的数据和证书、本地域和域帐户的信息、网络文件夹、文件以及内存中的密码哈希值。最后,网络罪犯或者在计算机上部署勒索软件(或加密矿工),或者从被攻击的主机上消失——如果是后者,他们的攻击目标很可能是窃取数据,为下一次攻击做准备。

需要注意的是,许多计算机的运营技术通常无法很好地抵御网络威胁。在进行现场评估和事故响应时,我们经常发现许多计算机根本没有采取保护措施,一些计算机使用的是过时的防病毒数据库或者效果很弱的配置(许多重要的组件和设置,比如启发式检测,都被关闭了)。这通常是由于工业控制系统供应商和系统工程师的过度预防,同时又对工业控制系统的网络安全缺乏应有的要求。

对网络运营技术的安全缺乏应有的要求导致对网络事件无法做出及时反应。有时即使计算机的运营技术已经检测到攻击第一和第二阶段的威胁,也没有迅速采取化解风险的措施,结果导致更多的攻击长驱直入,许多攻击载体也继续暴露在外,直至对工业控制系统的严重影响已经显而易见。

根源分析

通过对不同国家和地区威胁源统计数据的对比分析,我们发现影响工业控制系统威胁水平的关键因素有:

•员工对网络威胁的意识和对网络安全文化的总体认识水平;
•一个国家或地区的国内生产总值水平与网络安全成熟度水平(根据是否制定和使用了有关工业控制系统安全的法律法规衡量);
•一个国家或地区网络威胁的总体比率;

在我们看来,一个国家的国民生产总值和网络安全的成熟程度决定了网络安全文化的水平。也就是说,如果一个国家的经济状况低于网络安全的监管要求,那么在经济增长前,网络安全问题很难得到解决。这就导致了这样一种情况:工业公司的高层管理人员和普通员工都没有动力投入资源,以确保其工业控制系统的网络安全。

但这里我们不得不说出一个不那么明显的结论——工业控制系统受到的威胁常常会引发停机或拒绝服务,这不仅会让公司为此付出高昂的代价,也会造成国家的国内生产总值下滑(如果公司是一家大型企业,或者网络威胁同时影响到许多中型公司)。可是,如果能对网络安全进行投资(在国家范围和每家公司内部)的话,就不仅能减少维护费用,而且可以避免因网络威胁造成的停机。因此从逻辑上讲,网络安全投资能够对国内生产总值产生积极影响。



编辑 | 杨海霞

设计 | 孙子悦