烏克蘭電網遭黑客入侵工控網絡安全敲響警鐘

■ 文/Sophia

烏克蘭電網遭黑客入侵工控網絡安全敲響警鐘

■ 文/Sophia

網絡攻擊的日益猖獗，工控系統網絡面臨著越來越多的安全威脅，前不久爆出的烏克蘭電力系統被黑事件，再次給全球工控行業敲響了警鐘。

最初的工業控制系統采用專門的硬件和軟件來運行專有的控制協議，而且由于是孤立的系統，不太容易受到外部的攻擊。

此前，烏克蘭電力公司網絡系統遭到黑客攻擊的事件在全球網安圈引起軒然大波，攻擊直接導致烏克蘭西部地區大規模停電。停電區域包括該地區首府伊萬諾-弗蘭科夫斯克，這座城市有140萬居民。烏克蘭西部電力公司表示，停電是因為工控系統受到干擾而停電。烏克蘭國家安全局譴責俄羅斯黑客應對此次事件負責，俄羅斯方面則未對此置評。

這是有史以來首次導致停電的網絡攻擊。但這并不是第一起針對工控行業的黑客攻擊，當年席卷全球工業界的震網病毒曾讓伊朗的核工業倒退十年，雖然近幾年看似平靜，但以此次惡性事件為引子，針對工控行業的黑客攻擊很可能卷土重來。

事后，烏克蘭計算機緊急響應小組稱其正在針對此次停電進行調查，并發現黑客在此期間獲得了對發電系統的遠程接入能力。該小組同時稱，BlackEnergy間諜木馬與KillDisk惡意軟件都在被入侵能源供應商的受感染系統當中出現。

iSight Partners網 絡 間 諜情報負責人約翰·胡爾特奎斯特表示，這是網絡安全行業首次目睹導致停電的網絡攻擊。iSight Partners是一家位于美國的安全威脅情報公司。胡爾特奎斯特表示，這起攻擊所用的惡意軟件名為BlackEnergy，攻擊者應是被稱為“沙蟲”的俄羅斯黑客組織，他們先前曾攻陷過美國和歐洲的電力供應商。BlackEnergy于2014年出現在西方世界，人們以為這款惡意軟件已從目標網絡中被清除。

工控安全再度被關注

國際上，關于工控安全的關注早已出現。2004年發布的一份專門面向美國國會的研究服務報告當中，工業控制系統網絡安全專家Joe Weiss提出了多項警告，指出整個行業迫切需要制定并實施“防火墻、入侵檢測以及加密等技術方案”，從而對控制系統進行保護。此類系統被用于眾多工業環境，包括能源生產、化工車間、火車網絡乃至飛機內部等等。

然而在十幾年之后，Weiss提出的這些議案依然沒能得到有效執行；整個行業也在繼續構建、部署并依賴于那些仍舊易被攻擊者們所遠程突破的系統方案。他強調稱，“真正的問題在于，為什么人們在工業基礎設施領域總是疏于防備網絡威脅？”

將遠程控制能力納入此類系統也沒能有效提升安全性水平，美國國土安全部網絡安全前副部長兼數據安全企業vArmour公司首席網絡安全戰略師Mark Weatherford指出，“仍然有大量控制系統接入到互聯網當中。”他敦促各位采用互聯網接入型ICS方案的運營人員“至少應當對攻擊路徑進行監控，從而了解還有哪些被遺漏的危險因素”，同時對如何在遭遇攻擊時搶先一步做出響應并進行規劃。

近日，美國國土安全部下屬的工業控制系統網絡緊急響應小組（ICS-CERT）聲稱也監測到相應的惡意攻擊，因此對相關企業發出了警告，未來針對工業控制系統網絡的攻擊事件將更為嚴重，相關部門或企業應隨時做好充足的網絡防護預案。據ICS-CERT的官員透露，早在2014年該BlackEnergy3惡意軟件就曾感染過美國運營商的一些關鍵基礎設施，并有向電廠運營部門、電力設施建設公司、工控材料供應商和制造商，以及能源部門的投資者等進一步滲透的跡象。

工控系統安全問題面臨挑戰

工業4.0時代，智能制造，智慧城市的迅速發展，網絡極大促進了全球科技的發展。對于潛伏在暗處的“黑客攻擊”等網絡威脅，更需謹慎防范。此前的克里米亞和烏克蘭的這兩次停電事故是否有聯系，折射出目前錯綜復雜的國際形勢，在此我們不做分析，但停電事故中所暴露出的工業控制系統的安全問題，則足以給予我們警示。

工業4.0時代，智能制造，智慧城市的迅速發展，網絡極大促進了全球科技的發展。對于潛伏在暗處的“黑客攻擊”等網絡威脅，更需謹慎防范。

工業控制系統是幾種類型控制系統的總稱，包括監控和數據采集系統、分布式控制系統和其它控制系統如可編程邏輯控制器、遠程終端、智能電子設備等，以及確保各組件通信的接口技術。工業控制系統普遍應用在電力、石油天然氣、自來水和污水處理、化工、交通運輸、造紙等行業，是工業基礎設施能夠正常運作的關鍵。

最初的工業控制系統采用專門的硬件和軟件來運行專有的控制協議，而且由于是孤立的系統，不太容易受到外部的攻擊。隨著信息技術的發展，通用的計算機、操作系統和網絡協議在工業控制系統中得到了廣泛應用，大大增加了網絡安全漏洞和事故出現的可能。另外，工業控制系統也開始與企業管理網絡、生產監控網絡互聯互通，而這些網絡本身又具備相當的開放性，甚至存在同互聯網的接口，這為信息系統的安全威脅向生產系統擴散提供了便利條件。可以說，傳統的IT系統所面臨的信息安全風險，在工業控制系統中都是存在的，而且工業控制系統直接同生產設備交互，決定了其安全性還存在自己的特點。

工業控制系統中存在比較多的工業控制協議。絕大多數工控協議在設計之初，僅關注效率、實時性和可靠性以滿足工業生產的需求，而忽視了安全性的需求，缺少諸如認證、授權和加密等安全機制，這使得工業控制協議更容易遭受第三者的竊聽及欺騙性攻擊。而通用IT安全產品，比如防火墻、IDS等，對于工業控制協議的識別和檢測是不夠的，比如對Modbus、OPC、DNP3等協議字段級別的識別和防護。在工業控制系統中，還需采用支持工業控制協議的專用安全產品來彌補通用安全技術的不足，實現對網絡邊界的完全保護。

有關材料顯示，黑客組織 2007年 BlackEnergy就 開始在俄羅斯的地下網絡中流通，最初它被設計為一個能夠進行DDoS攻擊的僵尸網絡工具，隨著時間的推移，該惡意軟件已經演變為可以支持各種插件，并且基于攻擊的意圖進行組合以提供必要的功能。在2008年格魯吉亞沖突期間，BlackEnergy曾被用來對格魯吉亞實施網絡攻擊。從暴露的樣本來看，此次攻擊樣本開始于一個xls文檔，通過與控制端的交互產生了后續的BlackEnergy，再通過BlackEnergy釋放出破壞性的KillDisk插件和SSH后門程序來破壞受感染系統，致使其無法恢復。烏克蘭電力系統不得不使用備份系統，大大延長了電力系統恢復運行的時間。

行業專家表示，針對此類攻擊，一方面需要強化對電力專用網絡的隔離和監控，BlackEnergy運轉的前提是內網同CC服務器的交互，根據我國的電力系統二次防護規定，電力調度數據網應當在專用通道上使用獨立的網絡設備組網，在物理層面上實現與電力企業其他數據網及外部公共信息網的安全隔離。如果真正實現了物理隔離，那么通過網絡途徑是無法侵入調度系統的。另一方面需要對調度網內部的網絡訪問加強防護，比如對SCADA系統、EMS系統的準入控制，除了傳統的IT防護手段，必然還需要通過部署專業的工業控制防護產品來加強。