社會(huì)工程攻擊可以引發(fā)停電，網(wǎng)絡(luò)攻擊直接導(dǎo)致電力供應(yīng)中斷的首個(gè)案例，當(dāng)屬2015年圣誕夜前夕的烏克蘭大斷電事件。

2015年12月23日，當(dāng)?shù)貢r(shí)間下午3:35，伊萬諾-弗蘭科夫斯克州(烏克蘭西南部，與羅馬尼亞接壤，靠近匈牙利、斯洛伐克和波蘭)，7個(gè)110千伏(kV)和23個(gè)35kV的變電站斷線3個(gè)小時(shí)。

這起事故影響到3家能源輸送公司，導(dǎo)致22.5萬客戶斷電。之后不久，烏克蘭國家安全局(SBU)指稱是俄羅斯干的。鑒于這種行動(dòng)需要大量時(shí)間進(jìn)行部署，烏克蘭的斷言也不無道理。

這是怎么發(fā)生的?

社會(huì)工程!所有的一切，都從假冒烏克蘭議會(huì)(Rada)郵件地址的魚叉式網(wǎng)絡(luò)釣魚攻擊開始的。任何雇員通常都不會(huì)拒收這樣的郵件，在某些社會(huì)結(jié)構(gòu)中，無視來自議會(huì)的郵件甚至?xí)聿恍摇?/p>

于是，雇員打開郵件，點(diǎn)開附件，允許宏編譯;然后，惡魔放出，一切失控。

BlackEnergy惡意軟件的變種開始感染系統(tǒng)。該社會(huì)工程步驟是攻擊者在系統(tǒng)中建立橋頭堡的重要一步。而這正是接下來6個(gè)月里發(fā)生的事。

一旦該惡意軟件進(jìn)入系統(tǒng)，授權(quán)用戶就開始失去對(duì)管理口令和特權(quán)的控制，引發(fā)更大的問題：比如任由攻擊者染指不間斷電源(UPS)、人機(jī)交互界面(HMI)等關(guān)鍵監(jiān)督控制系統(tǒng)。

保險(xiǎn)起見，系統(tǒng)中還安裝了KillDisk惡意軟件的變種，可能是作為隱藏惡意黑客蹤跡的一種手段。

一、最簡單的解決方案可能是最有效的

烏克蘭斷電事件對(duì)ICS/SCADA系統(tǒng)的意義何在?或許就是提醒我們：威脅近在眼前，有時(shí)候這就是個(gè)簡單的問題：我到底該不該點(diǎn)擊里面的鏈接或打開其中附件?

普遍的觀點(diǎn)是，如果有疑慮，別打開!貓有9條命可以做個(gè)好奇寶寶東摸西摸，你的計(jì)算機(jī)系統(tǒng)和設(shè)備可沒有!

如果你能挫敗最初的網(wǎng)絡(luò)釣魚、魚叉式網(wǎng)絡(luò)釣魚或假冒攻擊，攻擊成功的可能性就會(huì)大幅減小。

威瑞森《數(shù)據(jù)泄露調(diào)查報(bào)告》(DBIR)顯示，網(wǎng)絡(luò)釣魚和假冒，代表了涉社交活動(dòng)數(shù)據(jù)泄露事件的絕大部分——近98%。而88%的假冒攻擊，是通過電子郵件進(jìn)行的。

所以，有理由相信，保護(hù)電網(wǎng)的關(guān)鍵第一步，就是對(duì)員工進(jìn)行社會(huì)工程攻擊防范和社交媒體使用的培訓(xùn)。其他應(yīng)該注意的地方還有幾點(diǎn)，但若缺了員工培訓(xùn)，一切都是白搭。這就像是想僅憑超遠(yuǎn)距離三分就贏下籃球賽一樣。

當(dāng)然，撞大運(yùn)來一波三分雨是有可能，但為什么要放棄得分更穩(wěn)固更容易的三分線內(nèi)呢?堅(jiān)持錯(cuò)誤的戰(zhàn)略，失敗只是時(shí)間問題。

二、贏下安全保衛(wèi)戰(zhàn)

以下建議將給您帶來打贏安全保衛(wèi)戰(zhàn)的機(jī)會(huì)：

1. 建立貼合實(shí)際且持續(xù)的員工培訓(xùn)項(xiàng)目

利用10分鐘下午茶時(shí)間就搞定的“一次性”在線課程，對(duì)供應(yīng)商來說當(dāng)然再好不過。但對(duì)公司來說就不那么美妙了。識(shí)別可疑郵件是一項(xiàng)需要反復(fù)訓(xùn)練的技能。應(yīng)找尋可根據(jù)自家工廠或設(shè)施特別定制培訓(xùn)項(xiàng)目的提供商，并要讓培訓(xùn)成為長期持續(xù)的過程。有大把證據(jù)證明該策略可有效減小公司面臨的風(fēng)險(xiǎn)。

2. 見疑必報(bào)

看到可疑郵件，或感覺自己已經(jīng)陷入社會(huì)工程攻擊，請立即通知IT部門。要具備感覺情況不對(duì)時(shí)跟蹤日志的能力，因?yàn)槿罩拘畔⑹峭{情報(bào)收集的重要一環(huán)。讓IT部門知曉情況不對(duì)，就可以調(diào)整過濾規(guī)則，輕松將威脅擋在門外。其他情況下，你的通報(bào)也可幫助IT部門封鎖潛在惡意IP地址，令其無法染指整個(gè)企業(yè)。

3. 共享即關(guān)照

罪犯會(huì)在垂直行業(yè)流竄，所以，即便與競爭對(duì)手合作，也能令整個(gè)行業(yè)更加安全。競爭歸競爭，威脅情報(bào)還是可以在《網(wǎng)絡(luò)安全信息共享法案》框架下共享的。

4. 拿起電話

如果不確定電子郵件是否合法，不妨花30秒時(shí)間給你的同事、朋友或親人打個(gè)電話，問問“你真的給我發(fā)了這個(gè)?”一個(gè)電話，可能為你省下數(shù)百萬美元，保住你的工作，或成功避免掉一次公關(guān)危機(jī)。

5. 經(jīng)常對(duì)員工進(jìn)行紅隊(duì)測試

有良好的學(xué)習(xí)經(jīng)歷并作出相應(yīng)調(diào)整，總比面對(duì)政府質(zhì)詢時(shí)說：“我們知道這種威脅存在，只是真沒計(jì)劃過這個(gè)”，要好得多。

以上幾點(diǎn)的共通之處是什么?一切以人為本。社會(huì)工程就是以人為目標(biāo)，從個(gè)人層面上俘獲你。仔細(xì)想想就能知道，復(fù)雜計(jì)算機(jī)攻擊和用心理壓力誘騙別人就范，哪個(gè)更容易?罪犯肯定會(huì)挑阻力最小的那條路走。

不難看出，這些建議都是投入小產(chǎn)出高且易于實(shí)施的。

三、其他建議：

1. 審查ICS/SCADA安全架構(gòu)

聘用經(jīng)驗(yàn)豐富的專業(yè)ICS安全人員審查網(wǎng)絡(luò)架構(gòu)、VPN配置、防火墻設(shè)置、路由器控制和所有其他你可能不理解但確實(shí)很重要的技術(shù)事項(xiàng)。其中就可能留有需修復(fù)的漏洞。

2. 加強(qiáng)網(wǎng)絡(luò)安全監(jiān)測能力

誠然，有些攻擊確實(shí)復(fù)雜、謹(jǐn)慎、隱秘。你得有健壯的日志收集和網(wǎng)絡(luò)流量監(jiān)測。做不好這些基本工作，你就得不到及時(shí)的檢測、預(yù)防性響應(yīng)和準(zhǔn)確的事件調(diào)查。隨時(shí)間進(jìn)程，人工智能和機(jī)器學(xué)習(xí)可能會(huì)扮演越來越重要的角色，但你依然需要人類分析師來掌控全局。

3. 審查并更新事件響應(yīng)、業(yè)務(wù)持續(xù)性和危機(jī)溝通計(jì)劃

公共事業(yè)部門經(jīng)常遭遇服務(wù)中斷，很善于響應(yīng)因天氣或設(shè)備故障導(dǎo)致的此類事件。這方面的實(shí)踐和經(jīng)驗(yàn)教訓(xùn)已經(jīng)很多了，但網(wǎng)絡(luò)威脅是個(gè)新生事物，需要我們將之當(dāng)成正常業(yè)務(wù)過程投入更多關(guān)注。我們制定的計(jì)劃需要覆蓋一些噩夢般的場景，比如應(yīng)對(duì)擦除器惡意軟件和勒索軟件的預(yù)案等。