[[177608]]

【51CTO.com快譯】上個月針對Dyn發(fā)動的大規(guī)模分布式拒絕服務(wù)(DDoS)攻擊帶來的主要還是不便，雖然備受媒體的關(guān)注，但是沒人因此丟命。除了經(jīng)濟(jì)方面外，甚至沒人因此受到損失。

　　但是這次攻擊勢必讓人猜想這等規(guī)?；蚋鼑?yán)重的DDoS對全國關(guān)鍵基礎(chǔ)設(shè)施的一部分會造成什么樣的破壞，例如攻擊電力基礎(chǔ)設(shè)施，一旦沒有電，眾多公司、家庭、急救服務(wù)、金融行業(yè)和互聯(lián)網(wǎng)都將寸步難行。

　　這一幕已經(jīng)在比較小的范圍內(nèi)得到了演示。這個月早些時候，一次DDoS攻擊導(dǎo)致芬蘭東部城市拉彭蘭塔兩處物業(yè)的供熱系統(tǒng)癱瘓。

　　故障只是暫時性的，但是正如地方媒體特別指出，由于溫度在零度以下，“供熱系統(tǒng)長期癱瘓不僅會導(dǎo)致重大危害，還會促使居民需要搬到其他地方。”

　　另外，在最近一篇題為《物聯(lián)網(wǎng)走核武器道路：引發(fā)ZigBee連鎖反應(yīng)》的文章中，研究人員聲稱，他們還使用飛利浦Hue智能燈泡，演示了“一種新型威脅，即鄰近的物聯(lián)網(wǎng)設(shè)備會通過一種蠕蟲，感染對方，這種蠕蟲會以某種核鏈?zhǔn)椒磻?yīng)，在大片地區(qū)迅猛蔓延開來。”

　　研究人員表示，使用燈泡的ZigBee無線連接，攻擊“一開始給在城市任何地方的一只被感染的燈泡接通電源，然后在短短幾分鐘內(nèi)蔓延到各個地方，造成災(zāi)難，讓攻擊者能夠開啟或關(guān)閉城市的所有燈光，給它們造成永久性的破壞，或者利用它們發(fā)動大規(guī)模的DDoS攻擊。”

　　如果這種攻擊還可以被用來長時間摧垮供暖、供水、下水道、交通控制及其他基礎(chǔ)服務(wù)，造成混亂和實(shí)際破壞的風(fēng)險就會迅速加大。

　　作家、知名安全博客寫手兼Resilient Systems公司的首席技術(shù)官布魯斯·施奈爾(Bruce Schneier)在最近的一篇文章中寫道：“這些系統(tǒng)里面的安全漏洞可能意味著有人喪生、財產(chǎn)遭到損壞。”

　　但是DDoS攻擊果真會導(dǎo)致運(yùn)營或監(jiān)控全國關(guān)鍵基礎(chǔ)設(shè)施大部分系統(tǒng)的工業(yè)控制系統(tǒng)(ICS)長期癱瘓嗎?

　　專家們對這個話題眾說紛紜。有些人表示，全國工業(yè)控制系統(tǒng)與消費(fèi)級物聯(lián)網(wǎng)設(shè)備大不一樣，不容易受到DDoS的攻擊。另一些人表示，那些系統(tǒng)確實(shí)與物聯(lián)網(wǎng)的一部分有著足夠密切的聯(lián)系。

　　DDoS攻擊不是什么新鮮事――它們存在已經(jīng)有幾十年，并不被認(rèn)為有多厲害。它們的工作方式就是，往網(wǎng)站及其他聯(lián)網(wǎng)系統(tǒng)發(fā)送大量的垃圾流量，這些垃圾流量阻止合法流量正常通行，導(dǎo)致網(wǎng)站不堪重負(fù)，這種攻擊還會導(dǎo)致網(wǎng)站崩潰。

　　讓Dyn攻擊相對前所未有的地方是，它利用了數(shù)百萬個“僵尸”物聯(lián)網(wǎng)設(shè)備，比如“智能”攝像頭和數(shù)字錄像機(jī)等，而不是利用電腦。就在近至一年前，這次攻擊的規(guī)模：1.2Tbps還聞所未聞?，F(xiàn)在卻習(xí)以為常，預(yù)計會迅速提升。

　　與此同時，全國的關(guān)鍵基礎(chǔ)設(shè)施仍然極不安全。今年早些時候，美國聯(lián)邦調(diào)查局(FBI)和國土安全部(DHS)在全國推出了一項(xiàng)活動，提醒美國公用事業(yè)公司和廣大民眾提防網(wǎng)絡(luò)攻擊導(dǎo)致的危險，比如去年12月份導(dǎo)致烏克蘭電網(wǎng)部分癱瘓的那次網(wǎng)絡(luò)攻擊。

　　今年9月，在馬薩諸塞州坎布里奇的Security of Things論壇上，一群安全專家一致認(rèn)為，攻擊者(可能來自敵對國家)可能已經(jīng)潛入在全國的工業(yè)控制系統(tǒng)里面。

　　保羅·丹特(Paul Dant)是Independent Security Evaluators的首席戰(zhàn)略師兼負(fù)責(zé)人，他在討論會上表示，更多的攻擊在所難免。他說：“以為系統(tǒng)不容易受到攻擊完全很荒謬。”

　　不過，業(yè)界一些人士表示，DDoS不是重大關(guān)鍵基礎(chǔ)設(shè)施面臨的直接威脅，因?yàn)楣I(yè)控制系統(tǒng)不是像消費(fèi)級設(shè)備那樣是物聯(lián)網(wǎng)的一部分。Dragos威脅運(yùn)營中心的主任本·米勒(Ben Miller)表示，雖然“乍一看，工業(yè)控制系統(tǒng)看似類似物聯(lián)網(wǎng)設(shè)備”，但是“從技術(shù)堆棧、使用場合、演進(jìn)和功能等方面來看，由恒溫器饋入數(shù)據(jù)的工業(yè)控制系統(tǒng)與Nest消費(fèi)級恒溫器卻大不一樣。”

　　他說：“工業(yè)控制系統(tǒng)流程通常并不依賴基于互聯(lián)網(wǎng)的服務(wù)。”

　　埃森哲總經(jīng)理兼Fusion首席執(zhí)行官馬特·德沃斯特(Matt Devost)觀點(diǎn)大體一致。他說：“DDoS攻擊對付天生依賴互聯(lián)網(wǎng)通信的目標(biāo)最有效，而工業(yè)控制系統(tǒng)/監(jiān)控和數(shù)據(jù)采集(ICS/SCADA)環(huán)境在設(shè)計時根本就沒有這種依賴性。”

　　據(jù)Spirion主管產(chǎn)品戰(zhàn)略的副總裁蓋布·岡布斯(Gabe Gumbs)聲稱：“應(yīng)該將物聯(lián)網(wǎng)嚴(yán)格定義為與消費(fèi)者連接的設(shè)備。關(guān)鍵基礎(chǔ)設(shè)施的大部分聯(lián)網(wǎng)，但它不是消費(fèi)級技術(shù)。擁有SCADA系統(tǒng)等設(shè)施的企業(yè)組織致力于確保安全，這與消費(fèi)者形成了鮮明對照。”

　　而Dragos的首席執(zhí)行官羅伯特·M·李(Robert M. Lee)表示，雖然互聯(lián)網(wǎng)上仍有一些工業(yè)控制系統(tǒng)資產(chǎn)(“老實(shí)說，為數(shù)不少”)，但是許多工業(yè)控制系統(tǒng)并未聯(lián)網(wǎng)。“這些設(shè)備而是組成一個數(shù)據(jù)和端點(diǎn)網(wǎng)絡(luò)。DDoS那樣的攻擊不會對工業(yè)控制系統(tǒng)界的關(guān)鍵基礎(chǔ)設(shè)施站點(diǎn)構(gòu)成重大破壞。”

　　SCADAfence的聯(lián)合創(chuàng)始人兼首席技術(shù)官尤尼·紹特(Yoni Shohet)表示，工業(yè)控制系統(tǒng)“絕對是物聯(lián)網(wǎng)的一部分，因?yàn)檎麄€行業(yè)由物理系統(tǒng)轉(zhuǎn)型為網(wǎng)絡(luò)物理系統(tǒng)。工業(yè)環(huán)境與外部網(wǎng)絡(luò)之間的連接在過去幾年有所加強(qiáng)。這種環(huán)境比以往更加暴露在外部攻擊面前。”

　　Full Spectrum的首席執(zhí)行官斯圖爾特·坎特(Stewart Kantor)說：“由于我們看到關(guān)鍵基礎(chǔ)設(shè)施通過公共蜂窩數(shù)據(jù)網(wǎng)絡(luò)上基于IP的通信、連接到智能設(shè)備，開始實(shí)施自動化工作，它也就成了更廣泛的物聯(lián)網(wǎng)的一部分，物聯(lián)網(wǎng)同時整合了消費(fèi)級技術(shù)和關(guān)鍵任務(wù)技術(shù)。”

　　但是他并不完全反對表示工業(yè)控制系統(tǒng)不是物聯(lián)網(wǎng)一部分的那些人，因?yàn)橐恍┕檬聵I(yè)公司通過構(gòu)建“自己的單獨(dú)、專用的物聯(lián)網(wǎng)，使用基于專用網(wǎng)絡(luò)上的軟件定義無線電技術(shù)，這個網(wǎng)絡(luò)完全歸公用事業(yè)公司自己擁有和運(yùn)營”，因此脫離了公共互聯(lián)網(wǎng)。

　　坎特補(bǔ)充道，有許多美國公用事業(yè)公司，以及行業(yè)研究協(xié)會和貿(mào)易協(xié)會(包括電力研究所和公用事業(yè)公司技術(shù)委員會)，它們“支持對現(xiàn)有的無線通信標(biāo)準(zhǔn)進(jìn)行修正，以便兼顧關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)或所謂的場域網(wǎng)絡(luò)(FAN)的可靠性、覆蓋和安全等問題。”

　　李也表示，他已發(fā)現(xiàn)安全受到了重視。“我見過一些關(guān)鍵基礎(chǔ)設(shè)施公司(比如能源行業(yè)的公司)作好了極其充分的準(zhǔn)備，應(yīng)該可以發(fā)現(xiàn)企圖侵入其公司的針對性威脅。”

　　他說：“作為一個社區(qū)，我們需要確保，不是只有5%的人重視安全，而是在更廣泛的范圍對安全予以重視。不過已有成功的案例。”

　　米勒表示，現(xiàn)在投入了“巨大的努力”來改善工業(yè)控制系統(tǒng)的安全。“2014年，美國能源部為能源輸送系統(tǒng)發(fā)布了指導(dǎo)原則，美國ICS-CERT早在2009年就為工業(yè)控制系統(tǒng)的采購發(fā)布了類似指導(dǎo)。”

　　不過他承認(rèn)，工業(yè)控制系統(tǒng)設(shè)備廠商面向全球市場銷售，全球市場的安全壓力不如美國來得大。之前曾廣泛報道過，大型發(fā)電機(jī)及其他工業(yè)控制系統(tǒng)設(shè)備的成本高達(dá)六位數(shù)，不容易在安全方面作翻新和改造，旨在可以使用至少25年。

　　他說：“實(shí)際上，工業(yè)控制系統(tǒng)行業(yè)任重而道遠(yuǎn)。”

　　岡布斯同意這一觀點(diǎn)。他說：“安全并不總是被認(rèn)為是優(yōu)先事項(xiàng)。安全人員缺乏跟上攻擊者步伐所需的技能。業(yè)界也無力招聘或留住人才。”

　　“要發(fā)現(xiàn)狡猾的攻擊并非易事，這需要投入大量的人員、技能和技術(shù)，才能采取適當(dāng)?shù)姆婪丁Ｓ捎跇I(yè)界現(xiàn)在剛開始重視安全，所以需要一段時間，才能提供有效的機(jī)制來防御狡猾的網(wǎng)絡(luò)攻擊。”

　　當(dāng)然，DDoS并不被認(rèn)為是一種狡猾的攻擊。它可能仍會導(dǎo)致一些重大的破壞――德沃斯特特別指出，“如果數(shù)百萬個家用物聯(lián)網(wǎng)恒溫器和商業(yè)大樓的智能電網(wǎng)設(shè)備受到了危及，所需的交流電電量超過電網(wǎng)的供應(yīng)量，那會有什么樣的影響?”

　　Spirion主管產(chǎn)品戰(zhàn)略的副總裁蓋布·岡布斯(Gabe Gumbs)表示，他認(rèn)為美國的關(guān)鍵基礎(chǔ)設(shè)施具有足夠的彈性，抵御得住這種攻擊，不會遇到災(zāi)難性后果。

　　他說：“我們談?wù)摰倪@等規(guī)模的網(wǎng)絡(luò)攻擊也許好比自然災(zāi)難;我們已經(jīng)證明，我們在面臨颶風(fēng)、洪水、地震及其他災(zāi)難時具有相當(dāng)強(qiáng)的抗壓能力。”

　　他表示，金融系統(tǒng)崩潰可能比較嚴(yán)重。“如果我們遇到了實(shí)際的災(zāi)難，這會削弱我們對于走到ATM面前取現(xiàn)金，甚至購買儲備物品的信心。”

　　坎特表示，他認(rèn)為，大多數(shù)公用事業(yè)公司非常重視安全。不過他承認(rèn)，“考慮到電力事業(yè)行業(yè)的規(guī)模和范圍――在美國本土分布在300多萬平方英里的3300多家電力公司中，許多地方存在安全漏洞，包括物理的和遠(yuǎn)程的。”

　　“滲入到關(guān)鍵通信基礎(chǔ)設(shè)施是造成嚴(yán)重破壞的最容易、最匿名的方式。我們現(xiàn)在面臨這種情形，黑客變得越來越聰明，黑客社區(qū)在共享DDoS方面的知識和進(jìn)展。”

　　所以，要減小DDoS針對公用事業(yè)公司或其他關(guān)鍵基礎(chǔ)設(shè)施的威脅，可能需要改進(jìn)物聯(lián)網(wǎng)安全。而一些專家表示，市場不會這么做--這需要政府的大力推動。

　　施奈爾在最近的文章中表示，說到物聯(lián)網(wǎng)安全，“市場很失敗”，因?yàn)樵O(shè)備的賣方和雙方其實(shí)都不關(guān)注安全。

　　他寫道：“這是一種看不見的污染;就像環(huán)境污染一樣，唯一的解決辦法就是實(shí)行管控，”比如采取最基本的安全標(biāo)準(zhǔn)，及/或如果產(chǎn)品被用于DDoS攻擊，更容易起訴廠商。

　　他寫道：“細(xì)節(jié)需要認(rèn)真加以厘清，但是這些方法都都會提高不安全的成本，讓公司有動機(jī)花錢來確保設(shè)備安全。”

　　這一幕可能很快就會上演。美國民主黨眾議員小弗蘭克·帕隆尼(Frank Pallone Jr.)和詹·夏考斯基(Jan Schakowsky)向聯(lián)邦貿(mào)易委員會女主席伊迪絲·拉米雷斯(Edith Ramirez)寫了一封信，“竭力呼吁”這個部門“運(yùn)用可以運(yùn)用的一切手段，確保物聯(lián)網(wǎng)設(shè)備廠商實(shí)施強(qiáng)有力的安全措施，以便為消費(fèi)者提供最有效的保護(hù)，遠(yuǎn)離網(wǎng)絡(luò)攻擊。”

　　原文標(biāo)題：Is critical infrastructure the next DDoS target?

　　作者：Taylor Armerding

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】