去年年底,恶意软件CrashOverrided攻陷了乌克兰电网30座变电站,导致23万乌克兰居民陷入黑暗之中。美国安全公司Dragos随后发布了针对该恶意软件的报告。对此,行业领先的网络测试、可视性和安全解决方案供应商Ixia(Nasdaq: XXIA)提出了各企业预防工业控制系统(ICS)攻击的几点建议。 ~HTmO;HNf"
Dragos对CrashOverride恶意软件的分析报告具体而详细,然而此次攻击渗透到全球关键基础设施的严峻事实却表明了电力系统在未来仍有遭受针对性攻击的风险。例如去年年初,一家名为Kemuri Water Company的水务公司的数百个可编程逻辑控制器(PLC)遭遇黑客袭击,而这些控制器管理着用于水处理的有毒化学物质,将造成无法想象的严重后果。 rM`X?>iT+
Ixia首席安全研究工程师Chuck McAuley表示:“针对特定工业控制系统的恶意软件开发需要集结大量人力以及深厚的专业技术,黑客不可能随随便便就在地下室里造出一个电网‘镜像实验室’,因此这些攻击通常都获得了某个政体集团的资助。各个国家以及参与基础设施建设的私营合作伙伴必须主动采取安全措施,例如在互联电网覆盖多个国家的欧洲,运营商们必须随时准备好应对网络攻击。” ykl�
�.�1(
在政体的支持下,网络攻击正在快速演化并将继续蔓延。CrashOverride恶意软件能够同时利用欧洲、亚洲和中东工业控制系统中的四种通信协议,这充分反映了工业控制系统的潜在设计缺陷。 +���ln9c
McAuley补充:“这一类的攻击说明,反复开关断路器应能触发远程终端单元和网络设备发出警告。速率限制、串联缓解技术和机器学习防御已相当成熟,可以轻松保护工业控制系统。如果黑客的意图只是造成中断,则不必采用高极谍报技术。在这种特殊情况下,恶意软件根本不攻击零日漏洞,而是有针对性的选择工业控制系统网络的设计缺陷。您的黑客对手将仅仅暴露漏洞,尽可能使用自己的工具包,以达到自己的目的。” Lx�Y��rl-
Ixia认为,各企业机构只需采取几个简单步骤就可以更好地针对此类攻击做防御准备: �$�G8E 3|k
1.保持离线 |v \_@09=
如果无力维护配备最新防御方案的工业控制系统网络,企业机构就必须断开网络连接。事实上,各企业机构应该尽力避免直接IP通信。网络隔离可以有所帮助,但并非每次都能 iP�
=V8g?L
够防止恶意软件的入侵。 �wT�;0w3.Z
2.信息共享即是重视 ��9!6��f-K
不论是公共部门还是私营企业应倡导信息共享文化。事实上网络安全最困难的环节就是与各个行业的同行建立和维持信任。既然黑客们已经做到了这一点,那么各企业也应如此。恶意攻击往往是将沟通不畅、法律缺陷与其他管理混乱作为自己的筹码。 <�v)1<*I��
3.让全局尽现眼前 ���s3~lT�.
在大多数情况下,特别是正如Dragos报告中所述,可视性是阻止工业攻击的关键因素。网络可视性应成为任何安全态势的基石。此外,速率限制和警报功能应与强大的可视性平台结合在一起,以便在异常发生时及时通知运营商。 {K+i�cTL3�
4.有备无患是关键 �#xho[\���
除了掌握正确的关系动态或工具,各企业机构在发生攻击时不应束手无策。它们应对网络设备和人员进行测试,从而为应对攻击做好准备。由于测试设备比较简单,各企业可以利用桌面环境,在真实环境下,用网络靶场攻防演练来测试人员,这将让企业员工像黑客一样学习如何创造性地执行和思考。 g<l1�zo`_
McAuley总结说:“经验越多,反应就越快,也就越胸有成竹。 如果CrashOverride的受害者对自己的工业控制系统网络烂熟于心,他们就能立即发现流量模式出现的变化:扫描基于OPC的服务和反复开关断路器的IEC 104命令,让网络监控设备能够实时查看和监控这些处理进程。
