??

[[176374]]

如今，隨著物理控制和電子系統(tǒng)的高度集成，在嚴(yán)峻的安全威脅形勢下，工業(yè)控制系統(tǒng)(ICS)安全事關(guān)國家關(guān)鍵基礎(chǔ)設(shè)施安全和民生安全，必須大力加強安全管理。在此，我們就2016年三次主要ICS事件進(jìn)行討論，綜合專家意見，總結(jié)經(jīng)驗。

1 Operation GHOUL(食尸鬼)行動

2016年8月，卡巴斯基安全實驗室揭露了針對工控行業(yè)的“食尸鬼”網(wǎng)絡(luò)攻擊活動，攻擊通過偽裝阿聯(lián)酋國家銀行電郵，使用魚叉式釣魚郵件，對中東和其它國家的工控組織發(fā)起了定向網(wǎng)絡(luò)入侵。攻擊中使用鍵盤記錄程序HawkEye收集受害系統(tǒng)相關(guān)信息。

卡巴斯基目前發(fā)現(xiàn)了全球130多個受攻擊目標(biāo)，大多為石化、海洋、軍事、航空航天和重型機械等行業(yè)，涉及西班牙、巴基斯坦、阿聯(lián)酋、印度、中國、埃及等國。攻擊使用的魚叉式郵件主要發(fā)送對象為目標(biāo)機構(gòu)的高級管理人員，如銷售和市場經(jīng)理、財務(wù)和行政經(jīng)理、采購主管、工程師等。

觀點：必須注重人員安全意識問題

??Lane Thames??, Tripwire漏洞安全研究組專家。他認(rèn)為，從“食尸鬼”行動可以看出，在安全防范時，必須要注重人員安全意識問題。

2 BLACKENERGY(黑暗力量)攻擊導(dǎo)致的斷電事故

2015年12月23日，烏克蘭電力供應(yīng)商Prykarpattyaoblenergo通報了持續(xù)三個小時的大面積停電事故，受影響地區(qū)涉及伊萬諾-弗蘭科夫斯克、卡盧什、多利納等多個烏克蘭城市。后經(jīng)調(diào)查發(fā)現(xiàn)，停電事故為網(wǎng)絡(luò)攻擊導(dǎo)致。攻擊者使用附帶有惡意代碼的Excel郵件附件滲透了某電網(wǎng)工作站人員系統(tǒng)，向電網(wǎng)網(wǎng)絡(luò)植入了BlackEnergy惡意軟件，獲得對發(fā)電系統(tǒng)的遠(yuǎn)程接入和控制能力。

??

[[176375]]

??

BlackEnergy木馬病毒，2007年被Arbor網(wǎng)絡(luò)公司首次發(fā)現(xiàn)，之后，該惡意軟件功能經(jīng)歷了多種變化，從相對簡單的DDoS到擁有模塊化結(jié)構(gòu)的Rootkit技術(shù)，再到后來的具有插件支持、遠(yuǎn)程代碼執(zhí)行、數(shù)據(jù)采集等功能，在其最新升級版本中，還支持代理服務(wù)器、UAC繞過技術(shù)等。BlackEnergy在早期主要被黑客用于發(fā)送垃圾郵件、網(wǎng)上銀行詐騙等。

觀點：必須制訂和遵守安全規(guī)則

Pavel Ore?ki，Tripwire網(wǎng)絡(luò)安全專家，他認(rèn)為此次攻擊表明，惡意郵件和垃圾郵件對某些組織機構(gòu)來說仍然是一種嚴(yán)重的安全威脅。

3 伊朗黑客攻擊美國大壩事件

2016年3月24日，美國司法部公開指責(zé)7名伊朗黑客入侵了紐約鮑曼水壩(Bowman Avenue Dam)的一個小型防洪控制系統(tǒng)。幸運的是，經(jīng)執(zhí)法部門后期調(diào)查確認(rèn)，黑客還沒有完全獲得整個大壩計算機系統(tǒng)的控制權(quán)，僅只是進(jìn)行了一些信息獲取和攻擊嘗試。這些伊朗黑客可能為伊朗伊斯蘭革命衛(wèi)隊服務(wù)，他們還涉嫌攻擊了包括摩根大通、美國銀行、紐約證券交易所在內(nèi)的46家金融機構(gòu)。

??

[[176376]]

觀點：組織機構(gòu)必須采取循序漸進(jìn)的多重防護(hù)策略，同時要具備網(wǎng)絡(luò)運行快速恢復(fù)能力

Keirsten Brager,CISSP, CASP, Tripwire駐某大型電力設(shè)施工程師。她認(rèn)為，該事件可能比較復(fù)雜，但組織機構(gòu)內(nèi)部可以采取有效的保護(hù)措施。事件報道中主要突出了三方面問題：第三方機構(gòu)感染了惡意軟件、僵尸網(wǎng)絡(luò)發(fā)起了對網(wǎng)站的DDoS攻擊、遠(yuǎn)程入侵漏洞。雖然沒有任何一種解決方案是完美的，但一些深度防御策略可以緩解類似威脅風(fēng)險。

惡意軟件：防御，檢測，響應(yīng)

DDoS攻擊：檢測、緩解

安全認(rèn)證：多因素認(rèn)證

這些攻擊事件表明，最好的安全防護(hù)策略之一是針對遠(yuǎn)程訪問的多因素身份認(rèn)證。針對惡意軟件、DDoS和遠(yuǎn)程入侵等攻擊，組織機構(gòu)內(nèi)部可以建立彈性的安全防御策略。但即使是最全面的部署防御也不是最安全最完美的。因此，對組織機構(gòu)來說，具備持續(xù)監(jiān)測響應(yīng)能力，快速從網(wǎng)絡(luò)攻擊事件中恢復(fù)和運行才是最主要的。

總結(jié)

為應(yīng)對未知安全事故，工控組織機構(gòu)可以通過加強雇員安全培訓(xùn)、制訂安全規(guī)則、采取多種安全防護(hù)措施，最大程度地實現(xiàn)全方位安全防護(hù)目的。