从勒索软件到工控系统网络安全

黑客攻击从其目的性可以分为炫技、破坏、金钱利益、军事目的、组织或国家行为等类别,对于以个人利益为主的大多数黑帽子而言,窃取关键数据、以及通过黑客行为获取经济利益是其网络攻击的主要目的。

因工控网络的封闭性,传统的木马、后门程序无法完成敏感数据的回传,同时工业数据除关键的工艺流程外对数据的保密性无严格要求,因此攻击者需要从传统的网络攻击中转变思路,思考如何将工控环境下的黑客行为变为数量可观的经济收益,本次Wannacry勒索软件事件则可能为工控场景下的黑客行为带来些许启示。

截止2017年5月17日,全球150多个国家和地区,超过30万台设备受到Wannacry勒索软件感染和影响,攻击者已获得价值72624.61美元的比特币。全球范围内约304万个IP地址遭受攻击,我国境内的IP地址数量约为9.4万个,其中发起Wannacry攻击(可能已被感染)的我国境内IP数量为2.6万个。随着攻击的持续发展,Wannacry已成功渗入到我国石油、化工、汽车制造等工业领域,感染勒索软件的工程师站、操作站、上位机系统无法正常运行,严重影响了工控系统的可用性和连续性。可以设想,Wannacry等勒索软件在普通Windows主机锁定、数据加密的基础上,加入针对PLC等控制器的锁定、加密模块,不对关键控制设备造成物理破坏,从而使受害者被迫支付赎金,以实现生产活动的快速恢复。

2016年7月,卡巴斯基安全情报组公布了一份针对漏洞和不安全协议的报告,工业控制网络存在大量已知漏洞,且漏洞长期处于无修补状态。由于操作习惯、工业协议以及软件供应商等原因,工业控制系统中普遍采用Windows主机进行数据采集与流程控制。由于控制网络的封闭性以及供应商组态软件的兼容性问题,造成工业场景内Windows主机含有大量的已知漏洞,且多为拒绝服务、远程代码执行、缓冲区溢出等高危漏洞,也为勒索软件在工控网络的传播、感染提供了技术基础。

相信在不远的未来,针对工业场景的勒索软件将会出现在人们的视野中,单纯的工控网络隔离已无法有效对抗当下的黑客活动,工控安全应在网络隔离的基础上对关键设备、功能区域、系统网络进行综合防护。以工业防火墙、工业网闸、工控安全审计与监测平台、工控安全监控管理平台等为基础,构建工控安全技术体系和管理体系,同时向供应链方向进行安全扩展(如选择采用自主安全操作系统的安全产品),降低工控网络脆弱点,防止网络攻击、恶意软件从产品、设备供应商以及运行维护者层面进入工控网络,形成了一套全面的安全防护体系,整体提高工业企业的工控网络安全保障能力。

 

posted @ 2017-12-14 15:36  .Ding  阅读(331)  评论(0编辑  收藏  举报