随着工业化与信息化的深度融合,智能化的工业控制系统在电力、交通、石化、市政、制造等涉及国计民生的各行各业越来越重要,来自信息网络的安全威胁将逐步成为工业控制系统(Industrial Control System,简称ICS)所面临的最大安全威胁。国内主管部门及用户也愈发重视ICS的安全问题。2013年国内已做了大量的关于工业控制系统安全的工作,工业控制系统相关的安全标准正在制订过程中,电力、石化、制造、烟草等多个行业,已在国家主管部门的指导下进行安全检查、整改。在此种工控安全生态环境下,与国内安全专家绿盟科技公司的李鸿培博士进行了深入交流,与其探讨了工控系统的安全风险及对策。
及时发现ICS的脆弱性
随着我国工业化与信息化深度融合的快速发展,成熟的IT及互联网技术正在不断地被引入到工业控制系统中,这必然因为需要与其它系统进行互联、互通、互操作而打破工业控制系统的相对封闭性。不像传统IT信息系统软件在开发时拥有严格的安全软件开发规范及安全测试流程,工业控制系统开发时仅重视系统功能实现而缺乏相应的安全考虑,现有的工业控制系统中难免会存在不少危及系统安全的漏洞或系统配置问题,而这些系统的脆弱性均有可能被系统外部的入侵攻击者所利用,轻则干扰系统运行、窃取敏感信息,重则有可能造成严重的安全事件。
李博士介绍:截止到2013年12月,绿盟科技安全漏洞库中共收录到386个与ICS相关的漏洞。国家信息安全漏洞共享平台(CNVD)已累计发布了500多条ICS相关的漏洞。ICS漏洞数总体仍呈增长趋势,2013年漏洞数增长变缓。
面对脆弱的工业控制系统,安全防护工作迫切需要得到应有的重视。李博士谈到:安全防护是一个系统工程,包括从技术到管理各个方面的工作。其中最重要的就是对工业控制系统自身脆弱性问题的检测与发现,只有及时发现工业控制系统存在的脆弱性问题,才能进一步执行相应的安全加固及防护工作。我们认为,安全行业厂商和工业控制系统厂商应尽早建立合作机制、建立国家或行业级的漏洞信息分享平台与专业的关于工控系统的攻防研究团队,并尽早开发出适合于工业控制系统使用的脆弱性扫描设备。
适用于工业控制系统的漏洞扫描器和传统的IT系统漏洞扫描器相比,除了可以支持对常见的通用操作系统、数据库、应用服务、网络设备进行漏洞检测以外,还应该支持常见的工业控制系统协议,识别工业控制系统设备资产,检测工业控制系统的漏洞与配置隐患。通过使用工业控制系统扫描器,在工业控制系统设备上线前及维护期间进行脆弱性扫描,可以及时发现工业控制系统存在的脆弱性问题,了解工业控制系统自身的安全状况,以便能够及时地提供针对性的安全加固及安全防护措施。
重视APT攻击的检测与防护
近年来,工业控制系统安全威胁有所变化:单打独斗到有组织团体--从攻击个体到攻击群体再到攻击团体;攻击动机不再是技术突破,而是更具功利性--经济、政治与意识形态的驱动更加明显。此外,针对工业控制系统的攻击,不论是在规模宏大的网络战,还是在一般的网络犯罪中,都可以发现高级持久威胁(Advanced Persistent Threat ,简称APT)的影子。自2010年APT出现后,安全业界已陆续报道了数十起APT攻击事件。例如,2010年伊朗核电站遭遇Stuxnet攻击,2011年全球化工行业被Nitro窃取数据,2012年中东能源行业被Shamoon擦写硬盘数据和主引导记录等等。
ICS公开漏洞中,2013年的新增漏洞中高危漏洞则超过一半。APT攻击已成为针对ICS攻击的重要手段。,李博士解释,简单地说,APT指一个具备相应能力和意图的组织,针对特定实体发起的持续和有效的威胁。严格来说,APT 能够灵活地组合使用多种新型攻击技术和方法,超越了传统的基于特征签名的安全机制的防御能力,能够长时间针对特定目标进行渗透,并长期潜伏而不被发现,是一种严密组织化的行为,拥有大量的资金支持、优秀的管理能力和大量高端人才。
通常认为,APT攻击包含情报收集、突破防线、建立据点、隐秘横向渗透和完成任务五个阶段。对此,绿盟科技给出了检测与防护给出的建议:
(1)全方位抵御水坑攻击。基于水坑+网站挂马方式的突破防线技术愈演愈烈,并出现了单漏洞多水坑的新攻击方法。针对这种趋势,一方面寄希望于网站管理员重视并做好网站漏洞检测和挂马检测;另一方面要求用户(尤其是能接触到工业控制设备的雇员)尽量使用相对较安全的Web浏览器,及时安装安全补丁,最好能够部署成熟的主机入侵防御系统。
(2)防范社会工程攻击、阻断CC通道。在工业控制系统运行的各个环节和参与者中,人往往是其中最薄弱的环节,故非常有必要通过周期性的安全培训课程努力提高员工的安全意识。另外,也应该加强从技术上阻断攻击者通过社会工程突破防线后建立CC通道的行为,建议部署值得信赖的网络入侵防御系统。
(3)工业控制系统组件漏洞与后门检测与防护 。工业控制系统行业使用的任何工业控制系统组件均应假定为不安全或存在恶意的,上线前必需经过严格的漏洞、后门检测以及配置核查,尽可能避免工业控制系统中存在的各种已知或未知的安全缺陷。其中针对未知安全缺陷(后门或系统未声明功能)的检测相对困难,目前多采用系统代码的静态分析方法或基于系统虚拟执行的动态分析方法相结合的方式。
(4)异常行为的检测与审计 。
李博士强调:上述列举出的APT突破防线和完成任务阶段采用的各种新技术和方法,以及其他已经出现或者即将出现的新技术和方法,直观上均表现为一种异常行为。建议部署工控审计系统,全面采集工业控制系统相关网络设备的原始流量以及各终端和服务器上的日志;结合基于行为的业务审计模型对采集到的信息进行综合分析,识别发现业务中可能存在的异常流量与异常操作行为,发现APT攻击的一些蛛丝马迹,甚至可能还原整个APT攻击场景。
工业控制系统安全与传统的信息安全不同,它通常关注更多的是物理安全与功能安全,而且系统的安全运行由相关的生产部门负责,信息部门仅处于从属的地位。随着信息化与工业化技术的深度融合以及潜在网络战威胁的影响,工业控制系统也将从传统的仅关注物理安全、功能安全转向更为关注信息系统安全。李博士认为:确保国计民生相关的工业控制系统安全已被提升到了国家安全战略的高度,再加上工业控制系统跨学科、跨行业应用的特殊性,建立工控系统的安全保障体系必须通过国家、行业监管部门、工业控制系统用户、工业控制系统提供商、信息安全厂商等多方面协同努力。
