致命的工控中勒索軟件

最近，在美國召開的RSA信息安全大會上，來自佐治亞理工學院的網絡安全研究專家展示了一款由他們自行設計和開發的專門針對工業控制系統（以下簡稱“工控系統”）的新型勒索軟件LogicLocker，并現場演示了LogicLocker接管水處理廠控制系統的過程，證明了通過勒索軟件來攻擊并控制工控系統的可行性。作為國家關鍵信息基礎設施的重要組成部分，工控系統一旦被非法控制，可能造成人員傷亡、環境污染、停產停工等嚴重后果，甚至威脅國家安全，有必要對此進行分析研究，積極應對。

攻擊路徑不斷增加

隨著兩化融合的深入推進，互聯網快速滲透到工業生產各領域各環節，能源、裝備制造等重要行業原有相對封閉的系統運行環境逐漸被打破。管理網和生產控制網的雙向信息交互，使得生產控制權限不斷上移，數字化通信和工控系統組件的智能化，導致攻擊目標下移，工控系統的采集執行層、現場控制層、集中監控層、管理調度層和互聯網等都成為潛在的攻擊發起點，不僅大大增加了攻擊點、攻擊面和信任網絡邊界，也為病毒、木馬、勒索軟件等傳統互聯網威脅向工控系統擴散提供了可能。

工控系統成攻擊重點

IBM安全管理服務的數據顯示，2016年發生的針對工控系統的網絡攻擊數量較2015年增加了110%。而以金錢為目的的勒索軟件也逐步將攻擊目標轉向系統漏洞較多的工控系統，通過攻擊并加密直接暴露在互聯網上的工控系統設備，實施勒索行為。2016年10月，英國國家健康醫療體系NHS基金會計算機懷疑被勒索軟件感染，導致其IT網絡中的所有設備被迫離線，多家醫院取消數百例手術。2016年11月，美國舊金山公共交通機構的服務器和計算機感染勒索軟件HDDCryptor，數據被加密，自動售票機被迫關閉，公共交通部門被勒索100比特幣（約合73000美元）的贖金。2017年1月12日至15日期間，美國華盛頓特區70%的警用閉路電視監控系統的視頻存儲設備感染勒索軟件，而閉路電視監控系統正是工控系統的重要組成部分之一。這些案例充分表明，工控系統或將成為勒索軟件下一個重點攻擊目標。

在今年的RSA信息安全大會上，大會主辦方設定了一整天的議程對勒索軟件的相關議題進行了探討。會議展示了勒索軟件相關的最新研究成果，其中令人印象深刻的是，佐治亞理工學院的安全研究人員展示了其研發的新型勒索軟件接管水處理廠的控制系統的全過程。

這款新型勒索軟件LogicLocker是第一個對外宣布的針對工控系統PLC設備的工控勒索軟件。該勒索軟件的工作原理是：首先利用施耐德Modicon M241可編程控制器（PLC）固有的應用程序接口，在聯網的狀況下自動掃描工控系統網絡內具有已知安全漏洞的PLC設備，在模擬實驗中，研究人員利用可編程邏輯控制器和一些管道、槽罐以及水泵等工具模擬出了一個小型的污水處理系統。然后通過類似釣魚郵件和惡意鏈接等常見的攻擊方法讓目標系統感染勒索軟件，再利用勒索軟件來對目標系統實施模擬攻擊。在接管控制系統后，研究人員可以命令PLC進行關閉閥門、增加水中的氯氣含量、向工作人員顯示虛假的操作信息等操作，而飲用水氯含量超標會對人體造成傷害，黑客可以以此威脅工控系統運營商支付贖金。

工控系統的防護不足

勒索軟件已成為比傳統的木馬、病毒等更加有利可圖的“商業犯罪模式”，也更加容易被黑客利用對關鍵信息基礎設施工控系統進行攻擊勒索。而目前，工控系統的組件具有多種可被勒索軟件利用的系統漏洞，一般工控系統沒有針對這些系統漏洞的防護措施，導致這些工控系統對勒索軟件的攻擊幾乎不設防。例如，佐治亞理工學院針對勒索軟件的研究結果顯示，有超過1500個目標PLC具有可被勒索軟件利用的程序漏洞且直接暴露在網上。這意味著大量工控系統可以被該勒索軟件輕易攻擊，而并未部署任何防護措施。

后果將極為嚴重

雖然此次模擬攻擊實驗的對象并非真正的城市水凈化處理系統，但足以表明黑客通過勒索軟件破壞國家關鍵信息基礎設施的可行性，使用PLC設備的供電系統、能源供應、供暖系統、通風系統、空調控制系統和電梯控制器等，乃至電力、石化化工、交通運輸以及裝備制造行業的工控系統都可能成為勒索軟件攻擊的目標。一旦關鍵信息基礎設施受到攻擊，相對于支付贖金的經濟損失，攻擊造成的安全事件后果更為嚴重。例如，城市的水凈化處理系統遭到攻擊，導致城市用水被污染，會直接危害環境安全和民眾人身安全。目前，工控系統情況都差不多，直接威脅國家政治安全和社會穩定，影響國家安全。

信息安全防護迫在眉睫

截至目前，通用技術手段還不能夠保證解密勒索軟件的標準加密算法，因此，提升工控系統信息安全防護能力，加強針對勒索軟件攻擊的事前防御尤為重要。一是加強終端安全防護，包括及時更改工控系統默認密碼、禁用不需要的協議、設置合理的訪問控制策略、定期更新設備固件、及時備份所有程序文檔及數據等。二是加強網絡安全防護，實施網絡分段控制和可疑流量監控，在不同的網絡安全區域之間配置具有兩道防火墻的隔離區，并監控區域內流量，一旦發現可疑流量及違反策略的行為，及時進行隔離。三是重點加強員工的信息安全意識培訓，提高員工的釣魚郵件鑒別能力，不使用工控系統內的計算機查收郵件或打開未經安全確認的文件和外部鏈接，不隨意接入未經授權的移動設備。此外，還應制定工控安全事件的應急響應和快速恢復策略，以備攻擊事件發生時能快速判斷攻擊影響狀況，及時恢復設備運行。N