工業控制系統APT攻擊分析和防御問題探討

許劍新，還約輝，王　迎

(浙江國利信安科技有限公司，浙江杭州 310053)

0　引言

近幾年來，工控和信息等領域逐漸重視工業控制系統(Industrial Control System, ICS)的信息安全問題[1-2]，ICS安全問題的產生涉及控制系統產品功能特性、設計缺陷以及系統應用過程中的行為操作、業務流程、維護管理等很多方面，甚至存在很多未知問題，已知安全問題可以通過一些防御框架和技術手段解決，而未知問題是最危險的，一些同時利用已知問題和未知問題進行的未知攻擊則是致命的。

當前流行于互聯網中專門針對已具備較高防護能力的企業和組織的網絡攻擊APT(Advanced Persistent Threat)[2]對ICS來說是一類危險性極高的攻擊。以往病毒、木馬、蠕蟲等惡意程序具有飽和傳播、廣泛殺傷、不計后果等特點，而APT攻擊是一種定時、定點、定向的攻擊，APT攻擊發生前會有嚴格的傳播路徑、預置的攻擊對象以及明確的傷害程度，尤其是針對ICS的APT攻擊，已經將觸手直接伸向物理實體對象，不同于傳統信息系統針對數據的竊取和篡改，ICS-APT攻擊可以造成不可恢復的損失。

從APT攻擊的定義——高級的持續性滲透攻擊，是針對特定組織的多方位攻擊——可以看出，APT并不是一種新的攻擊技術，而是多種滲透和攻擊技術集成在一起所形成的攻擊手段，其產生的驅動力就是大型企業和組織不斷提升網絡安全防護能力，使得一些傳統的攻擊形式已經力不從心，攻擊者只能通過變換策略，通過遞進式滲透，最終實現對目標的攻擊。從另一個角度，對于防御方來說也無法通過阻止一次攻擊就讓威脅徹底消失。

目前已經被工控領域和信息安全領域廣泛熟知的Stuxnet[4]攻擊就是一種ICS-APT，其傳播滲透手段、藏匿駐留時間、攻擊目標對象、破壞影響程度等較之傳統信息網絡中的病毒、木馬以及其他類型惡意軟件在能力上顯示出全新特點和較大提升[5]，后續出現的Duqu[6]、Flame[7]同樣如此，從接連發生的安全事件的慣性意義上說，ICS-APT會不斷涌現，其存在是長期的、絕對的，并且是不可避免的。

但ICS-APT不會輕易出現，因為構造一次完整的ICS-APT需要巨大的時間和技術投入，這同樣可以解釋為什么ICS如此不安全，而發生的安全事件卻很少。所以ICS-APT是一種戰略行為，一旦發生安全事件都是重大事件，可以說ICS安全無小事，通常ICS-APT是作為攻守雙方間博弈的手段。

由圖1可以看出，APT的成功執行是需要建立在對目標ICS系統高度熟知的基礎上的；相對地，ICS資產所有者并非系統開發者，同樣較難掌握系統的全部安全相關信息。因此ICS-APT對于攻守雙方來說都是極大的挑戰，究其原因還要從ICS安全問題的獨特性來分析。

圖1　APT對目標ICS系統攻擊行為

1　ICS安全問題的獨特性

在過去幾年探討ICS安全問題時，已經從性能需求、可用性需求、體系結構、時間關鍵性需求、管理操作、生命周期、資源訪問等方面對比了ICS與傳統信息系統的差異[8]，揭示出了ICS因其具有實時通信、長期不間斷運行、環境和人員安全考量、多平臺多標準、多種通信網絡接入通道等特點，而這些特點也隨之造就了ICS安全問題有別于傳統信息系統安全問題的獨特性。

而從傳統信息安全的發展過程來看，早期對安全問題的討論經常會脫離于信息系統本身，而造成了信息系統新技術不斷出現，安全問題也越來越多，促使信息領域逐漸把安全作為信息系統設計開發的一部分，出現了安全平臺系統、可信計算等概念。將ICS與其安全相結合，可以繼續探討ICS安全問題的特點。

1.1　ICS安全的整體性

最典型的信息系統網絡是互聯網，雖然形態上呈現出復雜圖的特性，但其最經常受到攻擊的是PC或服務器，可以理解為終端節點，因此互聯網可以抽象成一個星型網絡，每個終端節點考慮的是自身的主機安全，整個互聯網安全是由相互獨立的單體組成的一種分布式安全，通過單體的安全來保證網絡整體的安全[9]。

而ICS的各個組件間不是相對獨立的關系，其間存在大量數據交互的組件的集合體，如圖2所示，因此ICS安全是一個系統整體的安全，這個整體安全依賴于ICS既定的系統體系架構、統一標準的網絡通信協議、嚴格的通信調度順序以及規范的行為和業務流程等多個方面，系統的任意環節、任意組件出現安全問題都可能造成系統整體的故障甚至癱瘓，而對單個設備或通信鏈路進行安全防護同樣不能起到對整體和自身的有效防護效果，因此ICS安全是需要從整體對局部的安全負責，這是ICS安全的一個難點。

圖2　ICS構成關聯關系

1.2　ICS漏洞源于功能特性

現代ICS屬于信息化系統，也不可避免地走出一條與傳統信息系統相同的安全發展之路。傳統工業信息系統在早期設計開發和應用中未曾考慮到安全因素，持續長達20多年，直接導致今天的安全威脅現狀。

當前ICS在設計開發中仍然更多考慮的是功能和性能，所以面對解決ICS功能和性能需求時所奉行的“拿來主義”還是從實用角度出發，對一些安全機制并不完善的新技術采取縱容政策，唯一考慮的是能否高效地支持功能特性(Feature)。這些功能特性很容易被攻擊者所利用，所以盡管可以把很多ICS漏洞歸結為軟硬件開發缺陷，但功能特性仍然是ICS漏洞的主要來源。

1.3　ICS漏洞的有限性

盡管ICS系統結構及組件間通信行為錯綜復雜，但漏洞源于靜態的、有限的軟硬件對象，因此仍然遵守漏洞的有限性原則，所以對于一個給定的系統，必然存在一個有限的漏洞集合，這對于ICS漏洞分析來說可以通過有限元素分析建模方法來進行研究，降低了分析難度；但對于漏洞挖掘工作來說，隨著有限漏洞集的不斷挖掘，漏洞會越來越少，挖掘難度也越來越大。

1.4　ICS的權限與行為

傳統信息安全問題歸根結底是一個權限及其與能夠訪問的數據間關系的問題，如圖3所示，不安全就是非法權限的擴散，造成數據被非法權限訪問，因此傳統的信息安全防護也是基于對一個訪問者角色的受信和不受信的限制。ICS除了角色外，還增加了與角色對應的行為，其行為通常與業務存在連帶關系，因此ICS安全要阻止的是在合法權限角色下所做的非法行為，除了限制不受信角色的權限，同時還要限制受限角色的行為，才能保證ICS業務的安全。

圖3　ICS權限及數據訪問與安全

基于ICS存在的安全問題與傳統信息網絡安全的差異，在針對ICS的攻擊上也呈現出新的形式，其中一種危害較大的就是ICS-APT[10]。

2　ICS-APT行為及特點分析

伴隨著ICS安全問題的產生，出現了ICS-APT為主的新的攻擊形式，這類攻擊的攻擊者主體不是自然人，而是一個組織或團體，對于復雜的ICS網絡結構、設備組件、通信協議、工藝流程，即使較為容易地侵入到工控網絡之中，沒有專業的知識和對現場環境的熟悉，也很難有所作為。而一旦掌握了這些信息，便可能造成大的設備和人員傷害，所以ICS-APT攻擊通常被看作是一種戰略行動，而不是簡單的戰術行為，也因此ICS-APT需要長期地、無傷害地駐留在目標系統中，伺機進行致命打擊。但ICS-APT以新穎的攻擊組合形式代替了技術上的革新，也因此付出攻擊時間和條件成本上升的代價。

2.1　ICS-APT攻擊的階段性

如前所述，ICS-APT并不是通過一次攻擊就能夠完成的，通常不是在同一時間內直接侵入到目標系統并實施攻擊，而是階段性地、借助多種途徑以跳板的形式對ICS網絡及與其鏈接的其他有線、無線網絡進行逐層滲透。

ICS-APT攻擊的未知性體現在滲透路徑、傳播方式、目標對象等多種因素相集合，其一般的攻擊步驟是：尋找突破口、滲透傳播、長期貯存、伺時攻擊，ICS-APT的潛伏期可以長達數年，在這期間不會對目標系統造成顯著傷害。

對ICS-APT攻擊步驟進行歸并，可以分為滲透(Exploit)和攻擊(Attack)兩個階段，惡意程序在滲透階段并未顯現出“惡意”，而是友好地與系統各組件共存，而將最終產生效果留在攻擊階段。ICS-APT攻擊可以明確地分成這兩個階段，這也是有別于傳統攻擊的一個特點，傳統攻擊往往將滲透和攻擊歸為一個工作，滲透的過程中也同時實施攻擊，這樣做使得攻擊者自身較早暴露，難以保證攻擊成功率，而ICS-APT卻需要長期隱蔽，保證對明確的目標攻擊成功。

2.2　ICS-APT攻擊的意識

傳統攻擊形式并無明確的攻擊目標，對于可能存在的攻擊對象，也可能傷及無辜，造成更大范圍網絡的破壞，而ICS-APT從設計之初就是有的放矢的，在影響范圍最小地前提下對目標造成最大傷害是最終目的，所以ICS-APT與傳統攻擊形式的一個區別在于攻擊的有意識和無意識，有目標還是沒有目標，定點攻擊還是造成大范圍殺傷。同時更重要的一點是要保證對指定目標攻擊的成功率。

2.3　ICS-APT攻擊的可靠性與時效性

傳統攻擊形式注重惡意程序數量和影響范圍，對于對網絡中單體攻擊的成功率并不關注，而ICS-APT需要的是可靠性和時效性，也就是在確定的時間保證攻擊的一次成功。

攻擊可靠性的保證在于提高ICS-APT攻擊所需條件的滿足率，因此在設計ICS-APT攻擊時首先要確定多種路徑、多個網絡層次上的攻擊條件集合，必須滿足一定的條件組合，才能保證ICS-APT攻擊的可靠性。

2.4　ICS-APT攻擊的條件

一個完整的APT攻擊需要具備充足的攻擊目標對象信息、多條路徑(包括攻擊冗余路徑)、攻擊技術庫、時間窗口等，而ICS自身為攻擊者“創造”的條件集不同于其漏洞集，是一個時間相關的無限集，會隨現場應用場景、業務流程狀態等生成新的條件集元素，只有ICS-APT攻擊所需條件，在ICS中都能得到滿足時，才能夠進行一次完整的ICS-APT攻擊，而通常狀態下很可能不能滿足這些約束。因此，只有隨著ICS攻擊條件集不斷變化，到某一時間窗口時，其攻擊條件集完全覆蓋ICS-APT攻擊所需條件，攻擊才能發起并成功時間，從這個意義上來說，ICS-APT耗費的同樣是時間成本。

2.5　ICS-APT攻擊的不可復制性

由上分析可知，ICS-APT攻擊的條件非常苛刻，有時對攻擊者來說時間代價也是巨大的，而且這些條件通常是不可復制的。

如Stuxnet利用了微軟Windows操作系統至少4個漏洞，其中3個是0day漏洞，利用西門子監控軟件WinCC系統2個漏洞，同時偽造了RealTek 與JMicron兩個公司產品驅動程序的數字簽名，最終通過修改PLC程序，完成了一次目標系統的攻擊。可見一次攻擊同時利用了如此之多的漏洞，在傳統信息安全攻擊史上仍屬罕見，也可以看出攻擊者所做的努力和積累，攻擊不是一朝一夕完成的。由前述漏洞的有限性可知，這些漏洞經過一次爆發便由未知變成已知，從基于特征的靜態安全防護理論角度來說，已經能夠通過入侵檢測等手段阻止相同攻擊的再次發生，因此可以說這次攻擊是不可復制的，不像傳統信息網絡中的病毒或木馬，其自身及其變種可能流行于互聯網中數年仍然對某些用戶具有殺傷力。相比于需要苛刻條件的攻擊方來說，對ICS-APT的防御可能是一個優勢。

綜合上述特點，對ICS-APT攻擊的階段間關聯、條件約束、網絡層次成功概率累計、攻擊可靠性和時效性、傳播路徑和手段進行研究，有助于進一步防御ICS-APT。

3　ICS-APT防御需求

無論是傳統信息安全還是ICS安全，首先要建立對安全防御的正確認識，不存在絕對的安全防御，僅僅是給攻擊者增加成本，所以對ICS-APT的防御而言，同樣是給攻擊者增加滲透或者攻擊成本。

參考傳統信息安全病毒查殺、入侵檢測、通信過濾等防御手段，都是在原有系統的基礎上采取“修補”的形式強化安全[11-12]，而ICS安全防御的特殊性在于ICS功能和性能的穩定性與安全防御手段的不穩定性間的矛盾，同時“修補”只能是短期行為，而外部添加組件不但對原系統造成不穩定，同時可能帶來更多的安全問題，這是開展ICS安全防御的難點。

3.1　ICS-APT防御要素

正確認識ICS-APT防御一方面是處理好漏洞、威脅和攻擊者三者的關系，漏洞是必然存在的，威脅是基于存在的漏洞的攻擊手段，而攻擊者是攻擊的實際操縱主體，前兩者是客觀的，在ICS-APT中，攻擊者并不是自然人，而是作為人的代理的程序行為，因此限制具有關鍵操作權限的程序行為，并通過定義程序行為的正確性，對包括輸入數據、輸出數據、算法調整、參數校正等行為進行抽象，作為判斷ICS安全評估的指標，從而據此提升ICS安全防御能力。

從ICS-APT攻擊的階段性出發，按各個階段的行為特征和攻擊條件分別進行要素提取，分階段進行防御。而ICS-APT攻擊的成功依賴于這些要素適當的組合和疊加，防御者只要阻斷一個或多個要素的生成，就可以終止攻擊過程，也就是說攻擊實際上是一個“與”的關系，而防御則是一個“或”的關系。

3.2　ICS-APT縱深防御

ICS是一個層次化的網絡體系結構，ICS-APT等威脅來自ICS網絡外部，因此首先不安全也是分層次的，層次間的實際安全水平不同，縱深防御的目的是解決層次化安全問題和應對遞進式攻擊。

解決在用在線ICS的現場安全防御，不能單純采用“阻斷”和“修補”策略，因為考慮到上述ICS自成一體的特點，系統內呈現異構混合網絡的特點，很難把一些其他安全防御設備集成進去，而另一方面對ICS進行網絡邊界防御，盡管目前傳統信息安全多采用這種形式，但ICS復雜的網絡環境和多數據通道入口都可能成為威脅從內部侵入的途徑，因此縱深防御需要分為短期方案和長期規劃，長期規劃是從ICS各網絡層次、各個組件與設備、各類通信協議等方面重新進行安全整合設計，進行下一代安全ICS的開發。而短期內作為縱深防御的一個最重要目標，是解決ICS-APT在滲透階段的及時檢測并阻斷和攻擊階段的預警。

因此縱深防御的意義在于破壞了ICS-APT在ICS網絡滲透的過程中的概率累積過程，其手段在于延長了滲透的時間來延緩攻擊的發生，降低了ICS-APT最后的攻擊階段成功的概率。

3.3　ICS-APT“優先防御”策略

傳統的攻防對抗策略通常是先有攻擊，然后根據攻擊的特征，再開發相應的防護手段，這種“先攻后防”的被動防御是一種靜態的防御方式，所有防御的形式都是基于攻擊類型的，如通過代理來防御拒絕服務攻擊，用基于靜態特征的入侵防御來阻斷網絡滲透等，而ICS-APT攻擊是未知的，其攻擊形式、滲透路徑都是不確定的，導致很難針對其提出如傳統信息安全中的“專殺”工具。

另一方面，靜態防御具有明顯的滯后性，只有問題出現了之后才意識到問題的存在，所以被動的靜態防御不能解決ICS-APT問題。

未來應對ICS-APT的解決方案應該是安全超前的，可以定義為“優先防御”策略。“優先防御”策略可以從兩個方面入手，一方面是通過ICS安全生命周期提升系統自身安全防護能力，另一方面是以動態安全狀態監控為主的預警防御機制。

3.4　ICS安全生命周期

ICS安全生命周期有兩方面內容，一是從上述縱深防御的長期規劃出發，如前所述，ICS-APT的攻擊形式多是對功能特性的合理利用，因此ICS安全更重要的是完善安全功能，開發集成安全功能的ICS，而本節需要探討的是如何在現有的非安全的ICS體系結構之下，進一步強化ICS自身的安全，不僅僅是要在ICS應用現場實施安全防御策略，而且要貫穿到從產品需求、設計、開發、測試一直到應用和維護等全生命周期中，同時對ICS的使用者、使用時間、使用條件等進行限定，從廣義上來說也屬于縱深防御的組成內容。

ICS安全生命周期包括安全設計、安全開發、安全測試、安全實施，其中最重要的一個環節是安全測試，測試也是安全防御的一種手段，同時又是一種模擬攻擊行為，本質上屬于漏洞挖掘與檢測的范疇，其產生的效果可以反饋到其他環節，并指導安全生命周期的其他環節。ICS安全測試一是基于功能特性的測試，二是基于Fuzzing(基于缺陷注入的自動軟件測試技術)的測試，對于攻擊的有意識和無意識，這兩類測試同樣對應的是防御(測試)的有意識和無意識，其中ICS-Fuzzing測試是一種未知攻擊模擬形式，不僅僅是信息系統中的對數據段的Fuzzing，而且要對攻擊行為進行Fuzzing，即通過行為的無意識組合來進行測試，達到模擬未知攻擊的測試目的。

3.5　ICS-APT安全動態防御機制

ICS是時間和事件關鍵性系統，通信數據和事件行為的延遲或者阻斷都可能造成嚴重的后果，因此對于ICS-APT的防御應該是監控大于阻斷，更注重對當前安全形勢的判斷以及未來安全趨勢發展的預測，并對尚未發生的威脅及時快速地響應，形成一種動態的安全防御機制。

正確判斷ICS當前安全形勢首先要區分什么是正常狀態和什么是異常狀態，可以通過對現場通信流量、控制行為、業務流程等特征進行提取，建立動態ICS安全模型，通過對ICS正常狀態參數的導入，獲得安全狀態特征庫，特征本身是靜態的，但控制現場狀態是實時變化的，將庫中特征與ICS實時狀態對比而實現對當前安全形勢的判斷。對這種方式來說，ICS的行為比較單一，更容易建立安全狀態特征庫，因此更適合采用基于正常狀態的安全監測手段。

ICS運行的周期性決定了通過一段時間對其安全狀態監測獲得的數據形成對未來安全趨勢發展的經驗集，同時ICS系統可以通過辨識等手段對其狀態和狀態切換行為進行預測，二者相結合可以參考實現對時變的未知威脅從安全趨勢上進行預測。

最后，ICS安全防御的需求是快速對威脅進行響應，既需要保證安全防御的時效性，又要保證ICS的正確穩定運行，盡可能保證在ICS非實時通信網絡層能夠減少觸發ICS-APT發生的條件，及時抑制或阻斷威脅。

4　結論

ICS-APT在形式上有新的特點，但內容上仍然可能利用傳統信息安全的攻擊手段，在未來針對ICS安全防御理論與技術的研究過程中，需要牢牢把握ICS安全問題的特點，既要拋棄不適用的安全防御方法，又要從中獲得可復用技術和經驗，從縱深防御、安全生命周期以及動態防御機制等角度開展新的應對ICS-APT攻擊的理論與技術研究。

[1] CHEMINOD M, DURANTE L, VALENZANO A. Review of security issues in industrial networks[J]. IEEE Transactions on Industrial Informatics, 2013, 9(1): 277-293.

[2] LEITH H M, PIPER J W. Identification and application of security measures for petrochemical industrial control systems[J]. Journal of Loss Prevention in the Process Industries, 2013, 26(6): 982-993.

[3] DALY M K. Advanced persistent threat[Z]. 2009.

[4] https://www.codeproject.com/KB/web-security/StuxnetMalware/Stuxnet_Malware_Analysis_ Paper.pdf (accessed Oct 20, 2017)

[5] LANGNER R. Stuxnet: dissecting a cyberwarfare weapon[J]. Security & Privacy, IEEE, 2011, 9(3): 49-51.

[6] BENCSATH B, PEK G, BUTTYAN L, et al. Duqu: analysis, detection, and lessons learned[C].ACM European Workshop on System Security (EuroSec), 2012.

[7] MILLER B, ROWE D. A survey SCADA of and critical infrastructure incidents [C].Proceedings of the 1st Annual Conference on Research in Information Technology. ACM, 2012: 51-56.

[8] BYRES E, LOWE J. Myths and facts behind cyber security risks for industrial control systems[C].Proceedings of the VDE Kongress, 2004, 116: 213-218.

[9] FABRO M. Control systems cyber security: defense-in-depth strategies[R]. 2007-10-01.

[10] KIM S J, CHO D E, YEO S S. Secure model against APT in m-connected SCADA network[J]. International Journal of Distributed Sensor Networks, 2014, 2014(6):1-8.

[11] BYRES E, ENG P. Cyber security and the pipeline control system[J]. Pipeline & Gas J, 2009, 236(2): 58-59.

[12] WEISS J. Control systems cyber security and nuclear power plants[C]. Fourth American Nuclear Society International Topical Meeting on Nuclear Plant Instrumentation, Controls and Human-Machine Interface Technologies (NPI & HMIT 2004), 2004.