工業控制系統網絡安全態勢感知框架研究

陶耀東，賈新桐

(1.工業控制系統安全國家地方聯合工程實驗室，北京 100015；2.中國科學院 沈陽計算技術研究所，遼寧 沈陽 110168；3. 中國科學院大學，北京 100049)

0 引言

隨著信息技術(Information Technology, IT)與操作技術(Operational Technology, OT)不斷融合，工業控制系統(Industrial Control System, ICS)面臨的安全挑戰也逐漸增加[1]。2010年6月，“震網”病毒首次被發現，它攻擊了伊朗核設施，推遲了伊朗鈾濃縮進程；2015年至2016年，烏克蘭電網三次遭受網絡攻擊，造成大規模斷電；2017年12月，惡意軟件Triton攻擊了施耐德電氣公司Triconex安全儀表系統。接連發生的ICS安全事件表明：傳統的被動防御手段難以應對日益復雜的ICS信息安全問題。因此，政府機構、科研機構、工業企業、安全企業都大力發展積極防御手段，致力于提升態勢感知、安全防護和應急響應能力[2-3]。對于ICS網絡安全態勢感知，研究人員在態勢感知理論模型、感知算法、決策支持等方面的研究取得了進展[4-8]。

1 建設工控安全態勢感知的關鍵點

態勢感知(Situation Awareness, SA)的概念于上世紀九十年代開始應用于網絡安全領域。網絡安全態勢感知系統的主要目標是：在動態變化的網絡環境中，高效收集、整合各種數據，將局部的網絡特征指標綜合化，進而全面、宏觀地對網絡安全狀態進行可視化展示，從而加強對網絡安全狀態的理解能力，為相關人員的科學決策作出有效支撐。為建設適合于ICS的態勢感知系統，需要把握以下四個關鍵點：數據驅動、人在回路、協同共享、科學決策。

1.1 數據驅動

數據是態勢感知的核心，是后續一切工作的基礎[9-10]。相比與IT網絡，ICS中的數據更加復雜。大量的工業私有協議、儀器設備信息、專有的操作系統，都增加了ICS態勢感知系統對數據獲取、整合、分析的難度。態勢感知不同于傳統被動防御手段，不僅要求組織掌握內部數據，還要持續關注組織外的威脅情報。組織既是威脅情報共享的受益者，也必須是威脅情報的分享者。在內外部數據的驅動下，態勢感知系統才能做到“內外兼修”，為相關人員在安全事件應急響應階段的科學決策提供強大支撐。

1.2 人在回路

人是態勢感知的必要元素，是打通整個回路的關鍵。被動防御手段以縮小攻擊面為目標，不依賴人的參與，而是期望安全設備執行設定好的安全策略。這種做法不能充分利用威脅情報的價值。外部的威脅情報只是數據，若要讓其內化為組織自身的安全能力，必須由人來賦能。不僅如此，在態勢感知體系中的其他節點也需要人來推動，比如復雜數據的采集與分析、安全策略的動態調整、事件壓力下的決策處置。

1.3 協同共享

協同共享是打破自身能力局限、提升整體安全水平的鑰匙。“閉門造車”在過去的網絡安全環境下或許行得通(許多工業企業確實是這樣做的)，但是“永恒之藍”事件為這些企業敲響了警鐘：封閉的內網環境不再是安全自留地。IT與OT部門無法有效溝通合作是工業企業內的普遍現象。組織內部部門間應該打破固有隔閡，形成日常協同交流機制，有利于在應急響應階段的信息交流通暢。組織間威脅情報的協同共享也應該通過有效的機制來維護，群策群力，共同加強工業控制系統安全防御能力。

1.4 科學決策

科學決策是建設態勢感知系統的出發點和落腳點。態勢感知能力最終體現在其是否能幫助相關人員對網絡安全事件進行科學、高效決策，而不是可視化效果的炫酷程度。對科學決策的支持，需要態勢感知系統提供全面、可靠、清晰的分析結果[11-12]。值得注意的是，應避免過度分析而掩蓋了原始數據本身蘊藏的價值。

2 工控網絡安全態勢感知框架

為了解決ICS面臨的日益嚴峻的安全挑戰，全面、深度感知ICS網絡安全狀態，在安全事件發生時能夠快速、有效地進行應急響應，本文提出了一個層次化的工控態勢感知概念框架。該框架基于Endsley提出的經典態勢感知模型進行了擴展[13-15]，包含個人、團隊、行業三個層次，以數據驅動為核心，強調人員在整個體系中起到的關鍵作用。雖然該框架細化了角色，但是實質上加強了各模塊間的協同共享。圖1是整體框架示意圖。

圖1 ICS態勢感知框架

2.1 個人層面

個人層面的態勢感知層是基礎。這里涉及到的人員是工作在一線的操作員、網絡管理員、安全管理員等。以企業持有資產、企業提供的服務為線索確定相關人員，可以劃定個人層面的人員范圍。如果關鍵人員未被納入態勢感知計劃中，會導致基礎數據信息的嚴重缺失。烏克蘭電網攻擊事件中，當應急響應的重心全部放在電力恢復時，攻擊者對電力系統電話中心進行了分布式拒絕服務攻擊(Distributed Denial of Service, DDoS)。當斷電事件發生時，受影響的居民卻無法聯系到供電公司。除了斷電本身造成的影響，無法向居民有效傳達事件信息所造成的社會恐慌也是攻擊者所要達到的重要目的。因此，要確定相關人員范圍，整體把握安全態勢。圖2是個人層面態勢感知的詳細展示。

圖2 個人層面態勢感知框架

在這一層面，相關人員不僅要收集、整理資產規格、運行狀態、安全配置等內部數據信息，還要結合團隊提供的情報作出分析，形成態勢報告。基于內外部數據分析結果，并利用專業知識與個人經驗，人員可以作出相關事件的預決策，將其與態勢報告一同提交團隊。

2.2 團隊層面

團隊層面具有承上啟下的作用，同時它還是態勢感知的主體，因為應急響應的決策與處置實質上是由團隊層面主導的。在整合了個人層面提交的數據與態勢報告后，團隊在分析階段還要重視人員提出的預決策。長期工作在一線的人員往往更加熟悉自己工作范圍內的設備與流程，提出的建議能起到關鍵作用。團隊應為相關人員提供必要的情報信息，例如：“關鍵信息基礎設施保護”的相關規定、已知網絡安全事件案例、突發網絡安全事件告警、漏洞庫信息。在相關人員的分析和預決策階段，這些外部信息能給予有效支撐。

2.3 行業層面

行業層面態勢感知是全局把握ICS安全態勢的重要一環。當針對關鍵信息基礎設施的攻擊發生時，小團隊的孤軍奮戰難以應對。尤其是高級持續性威脅(Advanced Persistent Threat, APT)，它具有潛伏時間長、針對性強、危害程度深等特點。于團隊層面之上建設行業層面的態勢感知，可以加強各團隊之間的協同共享，共同提升整體防護能力，并為團隊決策提供相關指導。

3 案例分析

本文以發生于2015年12月的烏克蘭電網攻擊事件為例進行分析，表明本文提出的ICS安全態勢感知概念框架可以快速、有效地幫助相關人員進行決策，降低事件的危害程度。

3.1 案例背景

2015年12月23日，一家烏克蘭電力供應公司Kyivoblenergo報告稱：供電服務因故中斷。這次斷電事件的起因是，第三方非法入侵企業內計算機和數據采集與監視控制系統(Supervisory Control And Data Acquisition, SCADA)。在當地時間的下午3:35左右，7個110kV和23個35kV變電站斷開鏈接，導致數小時的停電[16]。與此同時，攻擊者對電話中心進行了DDoS攻擊，致使受影響居民無法及時了解相關情況而產生社會恐慌。烏克蘭斷電事件在國際范圍內產生了巨大影響。Kyivoblenergo提供的數據顯示，這次斷電影響了大約80 000戶居民。隨后又有三家電力供應公司遭到攻擊，導致多個地區約225 000戶居民受到斷電影響。

3.2 攻擊原理

基于電力系統工作原理和目前公開的惡意樣本，可以推測此次事件的攻擊原理：攻擊者使用釣魚郵件的方式向辦公區的計算機植入BlackEnergy惡意代碼[17]。然后以被感染設備為跳板進行滲透，成功感染監控網、控制網內的關鍵主機。隨后，攻擊者下達攻擊指令，導致斷電。與此同時，攻擊者還對電話中心進行了DDoS攻擊，一方面干擾了電力系統對斷電區域范圍的準確判斷，另一方面引起了一定程度的社會恐慌。攻擊成功后，攻擊者又采取了多種手段加大恢復難度，例如：覆蓋部分扇區以影響系統正常重啟、清除系統日志以提升事件后續分析難度、覆蓋部分文檔以破壞數據[18]。

這一系列攻擊手段加大了系統恢復的難度，使工作人員對整體環境的感知能力大大下降，不能有效開展應急響應工作。

3.3 框架應用

圖3展現了將烏克蘭電網攻擊事件與本文提出的ICS態勢感知框架結合之后的情況。

圖3 烏克蘭電網攻擊事件態勢感知框架

與伊朗“震網”病毒事件類似，此次斷電事件也是針對關鍵信息基礎設施的攻擊。但是兩者也有顯著的區別：“震網”事件利用了0day漏洞、復雜的工業流程調查、PLC運行機制等“高級手段”；烏克蘭電網攻擊事件卻沒有使用0day漏洞，僅僅依靠帶有宏病毒的釣魚郵件與相對簡單的攻擊手法，就達到了驚人的攻擊效果。由此可見，ICS的攻擊面并不狹小，并隨著IT/OT一體化進程的推進呈現出擴大趨勢。ICS中的許多環節都可能成為攻擊者利用的目標。

在態勢感知框架個人層面中，要確保相關人員組成的完整性。以電話中心操作員為例，當斷電事件發生時，應急響應的工作重心幾乎全部在電力系統的故障恢復，而忽略了電話中心的關鍵職能。攻擊者對其進行DDoS攻擊，導致安全人員難以確定斷電事件影響范圍，同時也造成了一定程度的社會恐慌。與此同時，威脅情報的支持在個人層面也能起到關鍵作用。比如，BlackEnergy在這次斷電事件以前曾多次出現，其惡意樣本的相關信息可以幫助安全管理員進行預防工作，以縮小BlackEnergy的攻擊入口。而且在事件發生時，該情報也可以支持安全人員開展分析工作并進行預決策，為團隊決策提供參考意見。

在態勢感知的團隊層面，應高效整合來自團隊內部的數據與外部的威脅情報，結合相關人員提供的報告與預決策，快速進行斷電事件的應急響應。團隊應及時分析事件的動態變化，不斷優化處理手段，將任務下達給執行者，及時恢復電力供應并調查攻擊行為。與此同時，團隊應該把當前的態勢報告及時提交給電力行業層面態勢感知，幫助其進行整體的安全態勢評估并對其他供電單位進行預警。

電力行業層面在整合各團隊信息后，分析受影響團隊的安全問題，安排行業專家給予支持。在烏克蘭電網攻擊事件中，BlackEnergy和KillDisk這兩個主要的惡意代碼都不是第一次出現。BlackEnergy惡意代碼最早出現在2007年，此次事件中出現的是它的變種。KillDisk于2015年11月烏克蘭大選期間感染了多個媒體機構。若在行業層面加強對已知惡意攻擊的分析與防御手段的研究，并且及時為團隊賦能，可以減小攻擊面，降低電力系統面臨的安全風險。

從以上分析可以看出，基于本文提出的ICS安全態勢概念框架，在個人、團隊、行業三個層次有針對性的加強態勢感知建設，可以及時感知攻擊者行為、分析攻擊手段并作出快速有效的決策，降低安全事件的危害程度。

4 結論

本文首先分析了建設工業控制系統網絡安全態勢感知的四個關鍵點：數據驅動、人在回路、協同共享、科學決策。其次，提出了適用于ICS的網絡安全態勢感知概念框架，個人、團隊、行業的層次化框架在細化了角色的基礎上強調加強協同共享，為應急響應階段的科學決策提供了有效的機制保證。最后，以烏克蘭電網攻擊事件為例對本文提出的框架進行了具體闡述，表明該框架的有效性。

[1] 陶耀東, 賈新桐, 崔君榮. 工業互聯網IT/OT一體化的安全挑戰與應對策略[J].電信網技術, 2017(11):8-12.

[2] 劉威,李冬,孫波.工業控制系統安全分析[J].信息網絡安全,2012(8):41-43.

[3] 肖建榮.工業控制系統信息安全[M].北京：電子工業出版社, 2015.

[4] 龔正虎,卓瑩.網絡態勢感知研究[J].軟件學報, 2010,21(7):1605-1619.

[5] 陸耿虹,馮冬芹.工控網絡安全態勢感知算法實現[J].控制理論與應用,2016,33(8):1054-1060.

[6] 曾偉兵,石慧.一種基于因子加權算法的工業控制系統態勢感知方法[C]//全國網絡安全等級保護技術大會, 2017.

[7] 陸耿虹,馮冬芹.基于改進C-SVC的工控網絡安全態勢感知[J].控制與決策,2017,32(7):1223-1228.

[8] 葉健健, 文志誠, 吳欣欣. 基于貝葉斯方法的網絡安全態勢感知模型[J]. 湖南工業大學學報, 2014, 28(3):65-70.

[9] FRANKE U, BRYNIELSSON J. Cyber situational awareness-a systematic review of the literature[J]. Computers & Security, 2014, 46:18-31.

[10] JACOBS J, RUDIS B. Data-driven security: analysis, visualization and dashboards[M]. Wiley Publishing, 2014.

[11] FENG Y H, TENG T H, TAN A H. Modelling situation awareness for context-aware decision support[M]. Pergamon Press, Inc., 2009.

[12] Ieee B E. 2012 IEEE International Multi-Disciplinary Conference on Cognitive Methods in Situation Awareness and Decision Support [copyright notice][C]// IEEE International Multi-Disciplinary Conference on Cognitive Methods in Situation Awareness and Decision Support. IEEE, 2012:1-1.

[13] FENG N, YU X. A data-driven assessment model for information systems security risk management[J]. Journal of Computers, 2012, 7(12):3103-3109.

[14] ENDSLEY M R. Toward a theory of situation awareness in dynamic systems[J]. Human Factors, 1995, 37(1):32-64.

[15] ENDSLEY M R. Design and evaluation for situation awareness enhancement[C]// human Factors Society, 1988:97-101.

[16] KHAN R, MAYNARD P, MCLAUGHLIN K, et al. Threat analysis of BlackEnergy malware for synchrophasor based real-time control and monitoring in smart grid[C]// International Symposium for ICS & Scada Cyber Security Research. BCS Learning & Development Ltd., 2016:1-11.

[17] 王勇,王鈺茗,張琳,等.烏克蘭電力系統BlackEnergy病毒分析與防御[J].網絡與信息安全學報,2017, 3(1):46-53.

[18] 張盛杰,何冰,王立富,等.烏克蘭停電事件對全球能源互聯網安全的啟示[J].電力信息與通信技術, 2016(3):77-83.