寫在前面的話
最近這段時間,包括勒索軟件在內(nèi)的網(wǎng)絡犯罪活動已經(jīng)成為了各行各業(yè)目前所面臨的一種嚴重的網(wǎng)絡威脅。雖然WannaCry并非是專門用來針對ICS(工業(yè)控制系統(tǒng))設備的,而且現(xiàn)在也沒有證據(jù)可以表明攻擊者打算用WannaCry來針對ICS網(wǎng)絡的擁有者。但根據(jù)目前的情況來看,WannaCry確實也攻擊過ICS設備,而且還成功導致了系統(tǒng)發(fā)生崩潰。
我之所以在文章的開頭提到WannaCry,是因為我打算在這篇文章中跟大家討論ICS網(wǎng)絡目前所面臨的安全風險。值得一提的是,攻擊者如果想要破壞ICS設備的正常運轉(zhuǎn),他們根本不需要設計出復雜的攻擊技術(shù)來利用工控系統(tǒng)中的0day漏洞,而WannaCry的殺傷力也足以能夠證明這一點了。
雖然這個漏洞幾乎所有的Windows操作系統(tǒng)都存在,這一點的確沒錯,但這款惡意軟件也絕對是一流的
工控系統(tǒng)的安全風險
ICS網(wǎng)絡所面臨的安全風險是一種系統(tǒng)性風險,而這種風險并不是單獨由安全漏洞所決定的。沒錯,漏洞的確是其中的一個主要問題,因為它們代表的是攻擊者可能利用的攻擊途徑。但我們也需要知道,入侵ICS網(wǎng)絡相對來說還是比較容易的,而且近十年來所發(fā)生的各種針對ICS設備的黑客攻擊事件也是最好的證明。一旦攻擊者成功入侵了ICS/OT網(wǎng)絡,那對于ICS網(wǎng)絡來說絕對會是一場浩劫。
訪問ICS/OT網(wǎng)絡
“空氣隔離ICS/OT環(huán)境”這種概念早就已經(jīng)死了,因為出于多種原因,這種網(wǎng)絡與外界的互聯(lián)互通越來越多了,而這一事實也就給攻擊者提供了兩條主要的開放攻擊途徑,不過這兩種攻擊方法都需要非常高端和新穎的漏洞利用技術(shù)予以配合:
1. 通過“某種工具”利用IT網(wǎng)絡的互聯(lián)互通性訪問ICS/OT網(wǎng)絡,這里所謂的“某種工具”指的是例如網(wǎng)絡釣魚攻擊和水坑攻擊等技術(shù)。
2. 直接從外部訪問ICS/OT網(wǎng)絡(通過被入侵的VPN或未監(jiān)控的遠程訪問)。
根據(jù)Mandiant提供的調(diào)查信息,在北美地區(qū),一般在攻擊者成功入侵了IT網(wǎng)絡之后的第99天(平均值)才有可能被檢測到,而且目標網(wǎng)絡系統(tǒng)中還部署了大量的安全檢測工具。而在ICS/OT網(wǎng)絡中,安全監(jiān)控系統(tǒng)是一種稀缺資源,當攻擊者入侵了ICS/OT網(wǎng)絡之后,目前幾乎沒有方法能夠檢測到他們的存在。
當然了,除了從外部訪問ICS網(wǎng)絡之外,我們也不能夠完全忽略那些來自內(nèi)部的安全威脅。比如說,有的網(wǎng)絡缺乏對訪問憑證的限制,有的則沒有撤銷舊員工的訪問憑證,而這些都是我們在未來可能會遇到的麻煩。
破壞ICS/OT網(wǎng)絡遠比你想象的還要簡單
由于ICS/OT網(wǎng)絡在安全監(jiān)控方面存在明顯的不足之處,那么一旦攻擊者成功入侵了網(wǎng)絡,那么他們就可以有大量時間來了解網(wǎng)絡組件的拓撲結(jié)構(gòu),并監(jiān)控和分析網(wǎng)絡中所有的進程。除此之外,ICS網(wǎng)絡中的很多設備都缺乏最基本的安全管理機制。比如說設備A,由于設備A在設計之初的主要功能就是為了優(yōu)化實時通信的,所以設備A才缺乏適當?shù)纳矸蒡炞C機制和加密功能,但大家都知道這樣的一臺設備絕對是不安全的。實際上,工控系統(tǒng)中絕大多數(shù)的控制器都不具備對信息數(shù)據(jù)進行加密的能力,而這些設備之所以沒有具備這樣的能力,其實是有各種各樣的原因的,至少我們在15年內(nèi)都不用去期待這一方面能夠有什么重大轉(zhuǎn)變了。
很多工控系統(tǒng)都會使用PLC(可編程邏輯控制器)來作為工業(yè)環(huán)境的通信解決方案,但我們要知道的事,攻擊者可以使用合法的命令來與PLC直接進行通信,而這種行為將有可能給ICS帶來不可估量的嚴重后果。對于攻擊者來說,一旦成功進入了目標ICS網(wǎng)絡,那么開啟或關(guān)閉一個進程就像是使用一款標準工程工具一樣簡單,而攻擊者所使用的合法命令更加不會被ICS/OT網(wǎng)絡標記為可疑行為。不僅如此,攻擊者還可以輕而易舉地修改PLC上加載的程序,甚至運行一個新的程序都是有可能的。PLC可不會要求操作人員進行身份驗證,而且就算是控制器具有身份驗證能力,但這些功能也有可能已經(jīng)被禁用了。
所以,無論PLC是否存在漏洞,攻擊者都可以利用PLC黑進ICS網(wǎng)絡之中。因此,我們在檢查ICS組件的安全性時一定要保持耐心,并且盡可能利用現(xiàn)存的資源和系統(tǒng)功能來改變ICS網(wǎng)絡目前所處的安全困境。
現(xiàn)在的情況意味著什么?
ICS/OT網(wǎng)絡是一種高風險資產(chǎn),因此我們必須要找到一種方法來更好地監(jiān)控與ICS網(wǎng)絡有關(guān)的各種活動。就目前的情況來看,攻擊者不僅可以給ICS設備帶來嚴重的安全問題,而且還可以竊取公司寶貴的知識產(chǎn)權(quán)。除此之外,有的攻擊者甚至還會以ICS網(wǎng)絡為籌碼進行勒索活動,或者將ICS作為切入點來入侵企業(yè)的IT網(wǎng)絡環(huán)境。我們不可能一夜之間就解決這些網(wǎng)絡所面臨的系統(tǒng)性風險,而且在可預見的未來我們很可能也無法很好地解決這些問題。因此,我們現(xiàn)在就要馬上行動,我們沒有時間像以前一樣按部就班地進行研究和審查了,我們必須以全新的角度和思想來制定并執(zhí)行嚴格的安全策略,并將ICS/OT網(wǎng)絡的安全等級提升到一個新的層次。
| 
