工程師蓄意報復致供水設施網路癱瘓，工控系統安全事件層出不窮

2017年6月中下旬，美國賓夕法尼亞Bala Cynwyd的亞當弗拉納根（42歲）因破壞美國東海岸多個供水設施提供商的網路被判1年零1天的監禁。

這事還要從2013年11月，該公司以非公開理由解僱了弗拉納根說起。

弗拉納根從2007年11月開始就職於某智能水電氣設備製造商，他的工作職責之一是為客戶（主要為供水設施網路）建立塔式網關基站（TGB）。

被解僱後，弗拉納根懷恨在心決定報復公司，從而關閉了TGB，使該公司客戶的供水設施網路陷入癱瘓，之後他用攻擊性的語言修改了某些TGB上的密碼。

而這起安全事件導致了美國東海岸5個城市的塔式網關基站受到影響，供水設施提供商不得不派遣員工到客戶家中手工抄寫每月的用水量。

以上僅為一例工業控制系統入侵事件，事實上相關安全事件已層出不窮。

去年8月3日，印度多地發生網路攻擊事件，影響了Bharat Sanchar Nigam Limited（BSNL）和Mahanagar Telephone Nigam Limited（MTNL）這兩家印度國有電信服務提供商的機房內的調製調解器以及用戶的路由器，事件導致印度東北部、北部和南部地區調製調解器丟失網路連接，預計6萬台調製調解器掉線，影響了45%的寬頻連接。

10月11日，黑客針對瑞典運輸管理局（ Trafikverket ）展開 DDoS 攻擊，導致該機構負責管理列車訂單的 IT 系統癱瘓，以及電子郵件系統與網站宕機，從而影響了旅客預定或修改訂單的情況。

12月，黑客利用惡意軟體Triton攻擊了施耐德電氣公司Triconex安全儀錶系統（Triconex Safety Instrumented System，SIS），該系統廣泛應用於能源行業，包括石油天然氣和核設施的功能安全保護。

顯然攻擊者已不滿足於攻擊常規工控系統（DCS、PLC等），造成停車或停產，而是開始攻擊工業領域最核心的安全保護系統，嘗試造成爆炸、有害物質泄漏等更嚴重的危害。

隨著IT（信息技術）/OT（操作技術）一體化的迅速發展，工業控制系統越來越多的採用通用硬體和通用軟體，工控系統的開放性與日俱增，系統安全漏洞和缺陷也更易被病毒所利用。

來自外部的安全挑戰

1） 暴露在外的攻擊面越來越大

IT/OT一體化後端點增加，給工業控制系統（ICS）、數據採集與監視控制系統（SCADA）等工業設施帶來了更大的攻擊面。與傳統IT系統相比較，II/OT一體化的安全問題往往把安全威脅從虛擬世界帶到現實世界，可能會對人的生命安全和社會的安全穩定造成重大影響。

工業控制系統操作站普遍採用PC+Windows的技術架構，任何一個版本的Windows自發布以來都在不停的發布漏洞補丁，為保證過程式控制制系統的可靠性，現場工程師通常在系統開發後不會對Windows平台打任何補丁，更為重要的是即使打過補丁的操作系統也很少再經過工控系統原廠或自動化集成商商測試，存在可靠性風險。但是與之相矛盾的是，系統不打補丁就會存在被攻擊的漏洞，即使是普通常見病毒也會遭受感染，可能造成Windows平台乃至控制網路的癱瘓。

黑客入侵和工控應用軟體的自身漏洞通常發生在遠程工控系統的應用上，另外，對於分散式的大型的工控網，人們為了控制監視方便，常常會開放VPN tunnel等方式接入甚至直接開放部分埠，這種情況下也不可避免的給黑客入侵帶來了方便之門。

基於Windows平台的PC廣泛應用，病毒也隨之而泛濫。全球範圍內，每年都會發生數次大規模的病毒爆發。目前全球已發現數萬種病毒，並且還在以每天數十餘種的速度增長。這些惡意代碼具有更強的傳播能力和破壞性。

例如蠕蟲病毒死灰復燃。與一般的木馬病毒不同，這種病毒隨著第三方打補丁工具和安全軟體的普及，近些年來本已幾乎絕跡。但隨著永恆之藍、永恆之石等網軍武器的泄露，蠕蟲病毒又重新獲得了生存空間，死灰復燃。其最為顯性的代表就是WannaCry病毒。基於工控軟體與殺毒軟體的兼容性，在操作站（HMI）上通常不安裝殺毒軟體，即使是有防病毒產品，其基於病毒庫查殺的機制在工控領域使用也有局限性，主要是網路的隔離性和保證系統的穩定性要求導致病毒庫對新病毒的處理總是滯後的，這樣，工控系統每年都會大規模地爆發病毒，特別是新病毒。在操作站上，即插即用的U盤等存儲設備濫用，更給這類病毒帶來了泛濫傳播的機會。

5） DDOS攻擊隨時可能中斷生產

拒絕服務攻擊是一種危害極大的安全隱患，它可以人為操縱也可以由病毒自動執行，常見的流量型攻擊如Ping Flooding、UDP Flooding等，以及常見的連接型攻擊如SYN Flooding、ACK Flooding等，通過消耗系統的資源，如網路帶寬、連接數、CPU 處理能力、緩衝內存等使得正常的服務功能無法進行。拒絕服務攻擊非常難以防範，原因是它的攻擊對象非常普遍，從伺服器到各種網路設備如路由器、防火牆、IT防火牆等都可以被拒絕服務攻擊。控制網路一旦遭受嚴重的拒絕服務攻擊就會導致嚴重後果，輕則控制系統的通信完全中斷，重則可導致控制器死機等。目前這種現象已經在多家工控系統中已經出現

網路風暴經常是由於ARP欺騙引起的flood攻擊，或者因工控信息網路因環路故障造成的網路風暴，這種攻擊往往發生在同一網段的控制區域中，佔用大量的帶寬資源，工控系統疲於處理各種報文，將系統資源消耗殆盡，使工業系統報文無法正常傳輸。目前的工業匯流排設備終端對此類拒絕服務攻擊和網路風暴基本沒有防範能力，另外，傳統的安全技術對這樣的攻擊也幾乎不可避免，缺乏有效的手段來解決，往往造成嚴重後果。

高級持續性威脅的特點是：目的性非常強，攻擊目標明確，持續時間長，不達目的不罷休，攻擊方法經過巧妙地構造，攻擊者往往會利用社會工程學的方法或利用技術手段對被動式防禦進行躲避。而傳統的安全技術手段大多是利用已知攻擊的特徵對行為數據進行簡單的模式匹配，只關注單次行為的識別和判斷，並沒有對長期的攻擊行為鏈進行有效分析。因此對於高級持續性威脅，無論是在安全威脅的檢測、發現還是響應、溯源等方面都存在嚴重不足。

工業設備可視性不足嚴重阻礙了安全策略的實施。要在工業互聯網安全的戰鬥中取勝，「知己」是重要前提。許多工業協議、設備、系統在設計之初並沒有考慮到在複雜網路環境中的安全性，而且這些系統的生命周期長、升級維護少也是巨大的安全隱患。

2） 很多工控設備缺乏安全設計

主要來自各類機床數控系統、PLC、運動控制器等所使用的控制協議、控制平台、控制軟體等方面，其在設計之初可能未考慮完整性、身份校驗等安全需求，存在輸入驗證，許可、授權與訪問控制不嚴格，不當身份驗證，配置維護不足，憑證管理不嚴，加密演算法過時等安全挑戰。例如：國產數控系統所採用的操作系統可能是基於某一版本Linux進行裁剪的，所使用的內核、文件系統、對外提供服務、一旦穩定均不再修改，可能持續使用多年，有的甚至超過十年，而這些內核、文件系統、服務多年所爆出的漏洞並未得到更新，安全隱患長期保留。

工業控制系統中越來也讀的設備與網路相連。如各類數控系統、PLC、應用伺服器通過有線網路或無線網路連接，形成工業網路；工業網路與辦公網路連接形成企業內部網路；企業內部網路與外面的雲平台連接、第三方供應鏈連接、客戶的網路連接。由此產生的主要安全挑戰包括：網路數據傳遞過程的常見網路威脅（如：拒絕服務、中間人攻擊等），網路傳輸鏈路上的硬體和軟體安全（如：軟體漏洞、配置不合理等），無線網路技術使用帶來的網路防護邊界模糊等。

隨著智能製造的網路化和數字化發展，工業與IT的高度融合，企業內部人員，如：工程師、管理人員、現場操作員、企業高層管理人員等，其「有意識」或「無意識」的行為，可能破壞工業系統、傳播惡意軟體、忽略工作異常等，因為網路的廣泛使用，這些挑戰的影響將會急劇放大；而針對人的社會工程學、釣魚攻擊、郵件掃描攻擊等大量攻擊都利用了員工無意泄露的敏感信息。因此，在智能製造+互聯網中，人員管理也面臨巨大的安全挑戰。

智能製造工廠內部生產管理數據、生產操作數據以及工廠外部數據等各類數據的安全問題，不管數據是通過大數據平台存儲、還是分布在用戶、生產終端、設計伺服器等多種設備上，海量數據都將面臨數據丟失、泄露、篡改等安全威脅。

本文由工業控制系統安全國家地方聯合工程實驗室&360威脅情報中心投稿，關注雷鋒網宅客頻道（微信公眾號：letshome）回復：工業信息安全態勢報告，獲取報告原文。

雷鋒網宅客頻道關注先鋒科技，歡迎關注雷鋒網宅客頻道。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！