今日頭條
官方微信
官方抖音
資訊頻道反病毒廠商Kaspersky實驗室首席惡意軟件專家Vitaly Kamluk認為,未來,絕對會有更多針對SCADA系統的惡意軟件。他表示,Stuxnet對ICS/SCADA帶來的攻擊為白帽和黑帽研究者帶來了全新的領域,這一主題將會是2013年的首要話題。
在新的一年到來之際,越來越多的漏洞研究者將重點放在工業控制系統(ICS)上,不過,安全專家們認為,ICS也會成為網絡攻擊者關注的焦點。
工控系統安全話題升溫
控制系統由控制軟件組成,這些軟件運行在專用工作臺或服務器和類似電腦的硬件設備上,它們可控制電機程序。這些系統用于監控不同操作,這些操作出現在工業設備、軍事設施、能源網絡、水力分配系統,甚至公共和私人建筑中。
在這些系統中,有些是用在關鍵基礎設施中——電力、清潔水、交通等。因此,對它們的潛在威脅會產生深遠影響。然而,其他的只是與它們自身業務有關,出現問題后不會產生廣泛影響。
自2010年Stuxnet病毒出現以來,在IT安全界,數據采集與監視控制系統(SCADA)和其他類型的工控系統成了熱議話題。
Stuxnet是第一個以SCADA系統為特定目標并加以感染的惡意軟件,它成功侵襲了伊朗納坦茲核設施,令不少離心機癱瘓。Stuxnet是一種復雜的網絡武器,被認為是由國家開發(據說由美國和以色列開發),它需要精湛的開發技術、大量資金和有關控制系統弱點的信息。
攻擊關鍵基礎設施控制系統需要周密的計劃、詳細的情報和不止一種侵入方法。由于納坦茲計算機系統與英特網隔離,Stuxnet是通過USB設備來散布的。現在,未成為關鍵基礎設施一部分的控制系統正變得越來越容易被更弱一些的攻擊者攻擊。
這是因為,為便于遠程管理,許多系統都與英特網連接,還有一個原因是,現在,ICS軟件、設備和通信協議中的漏洞信息比在Stuxnet出現前更容易侵入。過去兩年中,幾十種SCADA和ICS漏洞細節隨著概念驗證漏洞代碼一起,被安全專家公開揭露。
專注于ICS安全研究和評估的Digital Bond公司CEO Dale Peterson表示,當漏洞變得自動化,會有更多連接到英特網的控制系統設備變得更脆弱。
然而,多數聯網的控制系統設備都不是人們所想象的關鍵基礎設施的一部分。“它們代表小的市政系統、建筑自動系統等。對于擁有并運行這些系統的公司而言,它們非常重要,但是大部分不會對多數人和整個經濟造成影響。”
對這些系統感興趣的潛在攻擊者各有不同,包括:帶政治動機的黑客,希望引起關注的黑客集團,干勒索勾當的罪犯,甚至是僅僅為了娛樂或炫耀的黑客。
FBI最近一次文件泄漏顯示,今年早些時候,黑客獲得了非法入口,得以進入供熱、通風和空調(HVAC)系統,這些系統運行在一家新澤西空調公司辦公樓內,黑客通過利用與之相連的控制盒中的后門漏洞得逞——一個尼亞加拉控制系統。被攻擊的公司為銀行和其他企業也安裝了類似的系統。
1月份,黑客使用"@ntisec" (antisec)實現了對尼亞加拉ICS系統中漏洞信息的在線共享,隨后,泄漏發生了。運作Antisec屬于黑客攻擊法律和政府機構的一系列攻擊,這些攻擊由黑客、LulzSec、Anonymous和其他黑客集團發起。
安全咨詢公司IOActive的安全專家Ruben Santamarta認為,針對ICS的攻擊是否可能,這已經不是一個問題,因為它確實發生了。一旦攻擊者動機足夠強烈,我們將遇到更大的問題。2013年,攻擊者會對它更有興趣,這毫不荒謬。
反病毒廠商Kaspersky實驗室首席惡意軟件專家Vitaly Kamluk認為,未來,絕對會有更多針對SCADA系統的惡意軟件。他表示,Stuxnet對ICS/SCADA帶來的攻擊為白帽和黑帽研究者帶來了全新的領域,這一主題將會是2013年的首要話題。
工控系統安全狀況亟待改善
然而,一些安全專家認為,這類惡意軟件依然超出了普通攻擊者的能力范圍。
“創建能夠成功攻擊ICS系統的惡意軟件并非小事,這需要許多戰略和計劃,” 漏洞和情報管理公司Secunia首席安全官Thomas Kristensen表示,顯然,能夠發出這種攻擊的人和組織數量也是有限的。
Peterson表示,大部分部署SCADA和DCS(分布控制系統)的應用程序和硬件并沒有考慮安全發展生命周期(Security Development Lifecycle,SDL)。想想上個世紀90年代后期的微軟吧,它充滿了普通的程序錯誤,這些錯誤會導致bug、漏洞的出現。這意味著,可編程序控制器(programmable logic controllers,PLC)和其他領域的設備在設計時就是不安全的。
Digital Bond公司發布了幾個漏洞,這些漏洞是在許多PLC(SCADA硬件組件)中都被發現。這是一個名為Project Basecamp研究項目的一部分,其目的是為了顯示,許多現存的PLC有多么脆弱和不安全。
Santamarta認為,今天,研究人員發現SCADA軟件中的漏洞變得更容易了。
SCADA漏洞信息甚至有一個市場。由安全專家Luigi Auriemma和Donato Ferrante創建的馬耳他安全公司ReVuln將軟件漏洞信息出售給政府機構和其他私人購買者。ReVuln出售的組合中,40%以上的漏洞是SCADA漏洞。
Donato Ferrante認為,有趨勢表明,在SCADA安全領域中的攻擊和投入都在增長。實際上,如果SCADA市場中幾個大的公司投入很多錢來強化這些基礎設施,這就意味著,SCADA/ICS主題正在并繼續成為來年的熱點。
然而,保護SCADA系統不像常規IT基礎設施和計算機系統那樣直接。即便針對SCADA的安全補丁已經被安全廠商發布,漏洞系統的擁有者也需要很長時間來部署它們。
Luigi Auriemma表示,針對SCADA系統的自動補丁極少。大多數時候,SCADA管理員需要手動申請適當的補丁。
Kamluk認為,這種情況很糟糕。SCADA系統的主要目標是持續運轉,這意味著安裝補丁或更新不能重啟系統或程序。
另外,由于任何意外行為都可能對系統運行都可能產生重大影響,因此,在部署到真實環境前,SCADA安全補丁需要經過完整的測試。
多數SCADA安全專家希望,像PLC這樣的工控設備應該考慮到安全,來重新設計。
Peterson認為,有著基礎安全措施和計劃的PLC需要在未來1-3年內在多數關鍵基礎設施中部署安全。
Santamarta認為,理想狀態是,工業設備在設計時就是安全的,但是我們得面對現實,這需要時間。我們不該以IT的視角太過嚴苛地看待它們。也就是說,每個人都應該認識到該做些事情了,包括工業廠商。Santamarta表示,由于在設計環節未充分考慮到安全,ICS擁有者們應該采取深度防御措施來保護這些系統。Kamluk表示,應將ICS從英特網脫離,將其放到隔離的網絡中,嚴格限制/審計入口。
Kristensen說,關鍵基礎設施的擁有者應該意識到,進入關鍵基礎設施需要單獨的網絡或至少單獨的認證信息。 這應該對ICS也是適用的門話題,安全專家們認為這是一個好的開始,然而,迄今為止,很少有進展。
Peterson表示,“我只是希望,政府能誠實地公開說這些系統的設計是不安全的,在未來1-3年內,運行關鍵SCADA和DCS的組織應該計劃更新或替換掉這些系統。”Kamluk表示,政府法規很有幫助。一些SCADA供應商犧牲安全來保證低成本,而不考慮這種做法的風險以及對人類生活的潛在影響。
今年早些時候,Kaspersky實驗室公布一項OS發展計劃,為SCADA 和其他ICS系統提供安全設計環境。Santamarta說,雖然這聽上去像是個有意思的項目,但這還得看SCADA團體和工業部門對其作何反應。Ferrante表示,關于新的OS,并沒有足夠的細節評估其特點。我們需要等待官方發布。不管怎樣,采用新OS的主要問題是它需要能運行現有SCADA系統,而不是非要重寫代碼不可。
北京市公安局海淀分局備案號:11010802023656號