企业新闻
企业新闻 行业新闻 安全时讯
ICS网络攻击20强,准备好就行了吗?
2020-01-07 浏览:109
众所周知,任何一种工业系统的运营都存在风险,只是不同的工业企业对于某些类型的风险可能合法地具有不同的“胃口”(接受、规避、缓解或转移)。工业控制系统(ICS)网络天然具有极高的复杂性,对其面临的网络安全风险进行评估绝非易事。即使对网络安全专业人士而言,充分理解此类风险、实施风险评估并将结果传达给管理层或非技术的业务决策者,依然是一件艰难且复杂的工作。

近期,以色列知名工控安全厂商WaterFall发布了其专题研究报告《针对ICS的网络攻击20强》。该报告的主要目的是对工业站点进行一致性的网络风险评估提供基础,并将这些风险更清晰地传达给业务决策者,以便这些决策者可以就工业网络安全计划的资金投入做出更明智的决策。报告将Top 20的网络攻击作为一个标准集,用作交流网络攻击风险的方法,其中Top 20的攻击代表着不同级别的网络和工程复杂度以及不同程度的不良物理后果。这20种攻击,既包括可以被现有网络防御设施有效防御的攻击,又包括现有网络防御设施无法防御的攻击。同时,WaterFall将设计基准威胁(DBT)的概念引入到了工控安全,将其视为划分攻击列表的一个界限。该线以下的攻击是目标有信心使用现有的或建议的安全设施有效防御的攻击。该线上方的攻击集则代表该目标没有信心防御的攻击。通过对第一代工控安全保护措施与当前保护措施对DBT线的影响,给出了评估和改进工控网络安全风险的方法。


一、ICS网络攻击20强
1、TOP20全景图
拟议的排名前20位的攻击,顺序大致为从最不复杂到最复杂。该列表代表了广泛的工业网络攻击,可用于比较不同目标之间以及不同防御系统之间的安全状况。即使组织中的专家决定给出自己的攻击列表,以此标准化列表(例如前20名)为起点也是有益的,以确保在自定义评估过程中适当考虑更大范围的攻击。

2、TOP20简要分析
从攻击源头来看,如果仅以内部威胁源和外部威胁源来区分,#1、#2、#20这三类攻击均从内部人员入手,可归为内部攻击源;而其余的均由外部发起,归为外部攻击源。
从攻击手段来看,20强的攻击涵盖了策反拉拢内部人员(#1、#2、#20)、勒索软件(#3、#4、#5)、恶意代码(#6、#7、#12、#16)、漏洞利用(#5、#14、#15、#16、#17)、移动介质利用(#6、#7、#17)、市场操纵(#8、#9)、认证和密码攻击(#10、#11、#19)、外包商和供应商攻击(#13、#14、#16)、供应链攻击(#18)等。

从攻击向量看,基本包括了网络、设备、应用程序、物理访问、移动介质、人员(用户/社会工程)、供应链等经典的攻击向量。

从攻击能力来看,从业余黑客、黑产组织、网络犯罪团伙或黑客组织、网络恐怖组织、一般能力国家/地区行为体、高级能力国家/地区行为体、超高能力国家/地区行为体都有覆盖。像#17、#18、#19、#20这类需要强力资源和超高能力的支撑才可能实施,属于超高能力组织的攻击行为。

从攻击的复杂度来看,实施攻击所需要资源、手段、能力的网络复杂度和工程复杂度(综合复杂度取决于网络复杂度和工程复杂度中级别较高的那个),粗略地分为较低复杂度、中等复杂度和较高复杂度。TOP20中,#5、#7、#9、#10、#11、#17、#18、#19、#20属于高复杂度的攻击;#1、#3、#4、#6、#8、#12、#14、#15、#16属于中等复杂度的攻击;#2、#13属于较低复杂度的攻击。

从造成的影响后果来看,根据TOP20攻击所造成的后果,简单归类成三级,即一般后果,严重后果,特别严重后果。一般后果是指造成数据损失一类非物理后果,严重后果是指生成了非计划关机或生产停滞类后果,特别严重后果是指造成了设备损害、更换设备代价高昂,危及公共安全甚至人身安全的后果 。#3、#4、#5、#6、#7、#15、#16、#17、#18、#19、#20属于特别严重后果有攻击;#1、#8、#9、#12、#14属于严重后果的攻击;#2、#10、#11、#13则属于一般后果的攻击;

对于攻击手段复杂度描述,包含两含义,一个是网络复杂度,侧重于IT域,另一个是工程复杂度,侧重于OT域。复杂度既是攻击的特征,也是攻击者的特征。攻击是使用从Internet下载的标准攻击工具、专业级工具还是定制工具?攻击者是网络专家吗?他们是否需要了解工业过程的物理原理以实现攻击目标?他们是否需要充分了解相关工业控制系统的设计,以将物理结果与网络操纵联系起来?攻击者需要使用多少无法从公共来源获得的内部信息来设计和实施攻击?攻击者有内部协助吗?还是他们可以从目标组织外部实施整个攻击?
后果主要是我们试图避免的工业系统的物理状态,其次是控制系统计算机的变化。物理后果通常是以下之一:生产受损或劣质产品,物理过程意外关闭,物理设备损坏,工业现场工人受伤或威胁公共安全。
3、有效防御的界定
有效防御某一攻击,意味着此类攻击每次发起时都能从根本上阻止其造成的物理后果。
评判给定的安全措施是否能够有效防御特定的攻击,可能是富有挑战性的。“有效防御”是个高标准。通常只有非常具象地描述特定的攻击或攻击者的能力,才能达到此标准。
比如反病毒系统(AV)不能可靠地防御常见的恶意软件,因为在防病毒签名可用于该攻击之前,恶意软件攻击已经大面积传播了。安全更新不能可靠地防御已知漏洞的利用,因为供应商创建和最终用户安装更新需要花费时间。入侵检测系统(IDS)是一种检测措施,不是预防措施。许多网络安全最佳实践文档都将IDS视为安全程序的巅峰之作,但是IDS等检测措施无法有效防御攻击。
反过来看,基于RSA风格的口令加密狗的双因素身份验证能够有效防御远程的口令网络钓鱼攻击尝试。可信平台模块(TPM)能够有效防御搜索被攻击设备的内存和持久性存储以窃取加密密钥的企图。单向安全网关能够有效防御经由Internet控制的恶意软件。

二、针对TOP20攻击的防御措施
1、DBT的概念
WaterFall报告提出的网络空间设计基础威胁(C-DBT)概念,源自于美国国防部和核设施保护机构的相应概念。在美国国防部的军语词典中,DBT被定为:必须受到保护的关键资产面临的威胁,是资产保护系统设计的基础。这是建筑物或其他结构所要承受的威胁的类型和大小的基线。设计基准威胁包括攻击者将对资产使用的战术以及在这些战术中使用的工具、武器和炸药。而在美国核管理委员会(NRC)的定义中,DBT被描述为对手的类型、组成和能力的概况。 NRC及其许可证持有者使用DBT作为设计保障系统的基础,以保护自己免遭放射性破坏行为并防止盗窃特殊核材料。 在联邦法规[10 CFR 73.1(a)]的标题10,第73.1(a)节中详细描述了DBT。核设施执照持有人应证明可以防御DBT。
C-DBT以前述20个攻击方式为标准集合,以此做为基于能力的风险评估的基础,并对比不同场景下安全措施的能力。C-DBT成为划分攻击列表的一个界限。该线以下的攻击是目标有信心使用现有的或建议的安全设施有效防御的攻击。该线上方的攻击集则代表该目标没有信心防御的攻击。
2、第一代ICS防御与现代ICS防御之效果比较
以某水处理控制系统为例,典型的第一代ICS安全最佳实践的保护措施(大约在2003-2013年发布)主要包括以下内容:
  • 防火墙以完全不同的信任级别将网络分开;
  • 在所有支持此功能的IT和ICS设备及其连接上启用加密;
  • 在支持该功能的所有设备上都设置了单独的用户帐户和口令,只有ICS空间中的常见例外,例如:对于只有一个帐户的设备或者HMI工作站,物理过程的可见性不允许操作员在换班时登出并重新登录;
  • SCADA WAN泵站是私有的租赁的电信基础设施;
  • DMZ将ICS与IT网络分开,其中包含一个远程访问跳转主机,工厂历史记录、工厂AD、AV和与IT AD服务器同步的其他服务器;
  • 全面的安全更新程序已到位。工业厂房系统无法像IT系统那样快地进行更新,因为在可靠性测试台上对更新进行全面的测试需要很长时间,大多数控制系统网络不会自动更新;
  • 防病毒系统部署在支持公司AV供应商的所有设备上,并具有自动更新;
  • 网络监控信息通过DMZ直接从ICS网络中的网络设备发送到另一个城市的中央公司IT NOC/服务台;
  • 来自交换机镜像端口的ICS网络流量的副本被馈送到IT网络上的大型网络入侵检测分析引擎中,并且日志、AV警报、IDS警报和其他安全信息直接从ICS设备通过DMZ,IT和Internet网络发送到第三方云安全监控和分析服务。
第三方服务具有远程访问凭据,并且可以通过DMZ跳转服务器登录到IT网络,也可以从IT网络登录到ICS网络。已根据IT最佳实践记录并执行了策略、流程、职责和培训。
在此保护措施下,仅有#2、#3、#6号攻击是可有效防御的,而除此之外的17种攻击仍然是不能有效防御的。
最近两年发布的政府最佳实践文档中讨论过,许多安全实践,主要包括单向安全网关、严格的可移动介质管控以及在ICS测试床上进行安全测试,具体的要求为:
  • 单向安全网关是硬件和软件的组合。硬件实际上只能在一个方向上传输信息。该软件复制服务器并仿真设备,通常是从ICS网络到外部网络(例如公司网络和Internet)。外部用户和应用程序与副本进行交互,就好像它们是原始服务器一样。由于网关硬件实际上只能在一个方向上传输信息,因此网关部署使网关目标端的客户端能够通过网关的副本监视ICS服务器,而没有任何物理能力来控制、破坏或以任何方式影响敏感的ICS设备。
  • 严格的可移动介质管控意味着ICS设备无法安装、读取和写入USB驱动器和DVD等可移动介质。任何在ICS资产上使用此类介质的尝试都会导致安全警报,并引起安全团队的警惕,即有问题的用户刚刚违反了站点安全规则。ICS文件服务器由单向网关复制到IT网络,因此,将ad-hoc文件从ICS网络传输到IT网络的日常任务不需要可移动介质。任何必须要进入ICS网络的文件均被写入可移动介质,并由独立部署的清理工作站上的八个不同的反病毒引擎进行扫描,然后将其复制到检测合格的新介质上。然后将该介质传输到第二个ICS工作站,该工作站可确保新文件在ICS文件服务器上可用。
  • 升级的测试平台可以测试安全性和进入网络的文件的可靠性,这些文件足够复杂可以包含恶意软件,比如ICS软件更新。此类文件在高灵敏度恶意软件检测系统的监视下在测试床上打开。该测试床是供水公司可以管理的有效方法,是供水公司ICS网络的精准模拟。任何被编制来识别主机并在ICS网络上激活的恶意软件,都应将测试平台识别为ICS主机,激活自身,并被检测出来。 简而言之,升级后的水处理系统测试床既可以用作测试床,也可以用作沙箱。
在此加强保护措施下,可防御的攻击数量大幅增加,为#2、#3、#4、#5、#6、#7、#8、#11、#12、#13、#14、#15、#16、#19,仅余下#1、#10、#17、#18、#20号攻击不能有效防御。具体对比见图6。

3、无法防御的攻击分析
对于ICS内部人员(#1),前述安全控制措施均无法阻止其发出可由授权内部人员发出的不适当的“关停”命令。
对于移动电话WIFI(#10),IT最佳实践并未禁止ICS网络中的加密WIFI区域。前述措施不能保证ICS网络上的权限会阻止使用被盗口令登录设备并擦除硬盘驱动器的动作。IDS可能会报告与ICS WIFI网络的异常无线连接,但要确定此类连接的来源可能太多的时间和空间成本。
对于震网类攻击,在测试平台网络上可能看不到Stuxnet蠕虫类恶意软件的后果。 Stuxnet的后果仅在物理过程中可见。但是,应坚信这些测试平台会尝试模拟ICS环境。
对于硬件供应链,测试床网络上的高灵敏度IDS可能会观察到新设备的恶意行为。但是,知道攻击者肯定知道用户会对新设备进行测试,并且会知道设备上线前在测试床上测试了多长时间。攻击者可以简单地延迟使用恶意硬件,直到他们知道恶意硬件在生产系统中,而不是测试床上。
对于策反掌握凭证的ICS内部人员,这是高级老练的攻击者实施的方式,采取上线上线下联动的方式,很难有效防御对内部人员的行贿拉拢。

对于这五种攻击方式,现代的ICS防御措施失效。这恰恰说明单独的技术防御存在明显的局限,面对这种高能力、超级精致的融合多种威胁向量的复合攻击手段,需要动态、综合、积极的融合态势感知与威胁情报的体系化防御。


三、TOP 20攻击对ICS防御的启示
1、人是ICS安全的核心要素
网络安全的本质在对抗,对抗的本质在攻防两端能力较量。较量的背后都是人与人、组织与体系之间的智慧交锋。但人是脆弱的,也是关键的。毫无疑问,人是安全防御体系的基础和核心,也是丈量网络安全的根本尺度。Top 20的攻击中,直接针对内部人员的攻击就有三种,而且即使是采取当前最有效的最佳的安全实践的情况下,仍然有一种是无法有效防御的。当前IT与OT融合发展大势之下,网络安全人才紧缺,跨IT域、OT域人才的短缺问题更加凸显。杜绝“好人假定”的迷思,引入零信任主导的新安全机制,构建人以为核心的安全防御体系和安全生态的紧迫性日益显现。
2、基础结构安全是ICS防御体系的根基
工业网络安全领域,资产、配置、漏洞、补丁的有效管理,是工业网络信息系统可管理的基础,也成为工业网络可防御的坚实基础。早期的第一代ICS防御措施,采取了防火墙、IDS、反病毒、网络分区、网络隔离等基础的安全防御措施。之后的现代ICS防御措施,从边界管控、移动介质管控、测试床应用等方面进行了强化。这些基础的防御措施部署落实到位,可以有效防御大部分(20种攻击当中的15种)网络攻击。这也可以辩驳地说明,基础结构安全(SANS的网络安全滑动标尺模型中的第一个环节)是整个动态综合防御体系的根基。2019年12月1日,网络安全等级保护制度2.0标准正式实施。网络安全等级保护是国家网络安全保障的基本制度、基本策略、基本方法,是网络安全保障工作中国家意志的体现。等级保护新标准将云计算、移动互联、物联网、工业控制系统等纳入要求范围,其合法要求、体系建设、等级防护的特征也成为推动工业网络信息系统基础结构安全能力的刚性要求。
3、威胁情报共享指引ICS对抗实战
Top 20的攻击中,即使全面落实最新的ICS最佳安全实践仍然存在防御的盲区或死角,有5种攻击(#1、#10、#17、#18、#20)在这种防御措施面前是无能为力的。使这些盲区或死角暴露的方法,就是引入以持续监测为基础的资产可见、威胁可见的态势感知,实现监管方、安全厂商、网络运营方甚至情报机构之间各个层级的网络威胁情报共享,充分调度协同各方的优势资源形成对网络威胁的早发现、早预警、早处置。在这方面,美国NSA(国家安全局)和国土安全部(DOH)已走在前列,NSA今年新设立的网络安全机构、DOH下属的CISA和总统的NIAC已多次呼吁成立相关机构、扫除相关法律障碍,实现关键基础设施领域应对网络安全威胁的各级各类的情报共享机制。2019年,工业和信息化部和国家互联网信息办公室先后发布《网络安全漏洞管理规定(征求意见稿)》、《网络安全威胁信息发布管理办法(征求意见稿)》,着力推动网络安全威胁信息的治理,指引网络威胁情报信息的实战化运用。
4、高度重视ICS网络的供应链风险
国家关键基础设施的运行高度依赖ICT系统,ICT供应链风险直接影响金融、交通、能源、国防直至国家安全。ICT全球化的特点,使得ICT供应链成为产品供应链与服务供应链的综合体,更是与物流、信息流和资金流融为一体。Top20攻击中,直接涉及供应链安全的有一个(#18),如果包括间接通过攻击ICS系统供应商达成ICS攻击目标的方式,还需将#14、#16计算在内。这样一来,有关供应链安全的攻击占比会更大。毫无疑问,为ICS所有方/运营方提供任何产品、服务的供应商,都天然成为ICS供应链的关键环节,也必然成为威胁行为体的攻击目标。还有一点需要强调的是,各类安全厂商在参与构建ICS防御体系中,亦然成为了ICS运营方的供应链中重要的一环,其自身理应不能成为这个链条上的薄弱点或攻击入口点。
5、实战导向的对抗能力提升
关键信息基础设施已成为当前网络攻防对抗的主战场,高级别对手有充足的决心、意志和能力攻陷一切他所认为的目标。关键信息基础设施需要实战化、体系化、常态化的安全防护业已成为共识。基于网络攻防对抗不宣而战、无平战之分的特点,在构建防御体系和安全运营过程中必须坚持“场景想定、能力较量、看见对手”的持续对抗思维。ICS防御体系的有效性最终要靠高能力攻击组织的能力来检验。而在这种攻击发生之前,能否感知预警,发生之后能否抗得住过得去,都需要用我们持续以实战的理念、方法和手段来先行检验,需要“练为战、练即战”,需要秣马厉兵、枕戈待旦。
参考文献
The Top 20 Cyberattacks on Industrial Control Systems,www.waterfall.com
本文由北京天地和兴科技有限公司原创,转载时请注明:工控安全网址:http://www.tdhxkj.com/
关于我们
公司简介 企业文化
发展历程 企业荣誉
人才招聘
联系我们
公司简介
企业文化

公司地址:北京市海淀区中关村软件园8号 华夏科技大厦三层

服务热线:400-810-8981 / 010-82896289

E-MAIL:tdhx@tdhxkj.com

友情链接
国家电网 中国大唐集团 中国华电 国家能源集团 华能集团 中核集团 中国石油 酒钢集团 马钢集团 中国通号 中国铁路 上汽集团 北汽集团 东风柳汽 中国海油 SIMENS Honeywell EMERSON 和利时 研华科技 工控安全 浙江大学 华北电力大学
扫一扫,关注天地和兴公众微信号