案例攻击者利用办公网窃取机密生产资料的攻击场景
- 案例起因**
工厂 B 得到那笔关键的订单后,一跃成为当地的明星企业。经过几年发展,不光拓展了 生产规模,还建立起一支初具规模的科研团队,开发出好几种新产品,销路很不错。
专门受雇入侵网络的攻击小组 X 最近接到一笔生意,让他们窃取工厂 B 新产品的生产工 艺、图纸、配方等资料。 - 案例描述**
图 4.2 描述了攻击小组 X(案例 2 中虚构的攻击者)通过工厂 B 的托管在 IDC 的服务器
逐步攻击渗透,最终侵入工厂 B 的工业控制网络,并从 Batch 服务器中成功盗取重要生产数 据的攻击场景。入侵过程具体描述如下:第一步:X 首先设法入侵了工厂 B 对外的网站(托管在 IDC 的服务器)
网站看来是外包开发的,代码已经好多年没有升级维护了,所以入侵一点都不困难。但 很快他们发现网站服务器并不在工厂本身的网络中,而是托管在 IDC 机房。但 X 也发现这台 服务器同时是工厂 B 的邮件服务器。他们读了服务器上保存的邮件,了解了不少工厂 B 的情 况,甚至还看到一些技术文档,但其中并没有想要的完整工艺资料。
第二步:渗透入侵办公网,控制科研人员办公计算机
在看了很多人的邮箱后,X 在一个科研人员的收件箱里发现一封尚未接收的邮件,里面有 一个软件。X 修改了这封邮件,给软件捆绑上了木马。第二天,X 发现这封邮件已经被接收了。 同时,木马的控制端也收到了一个连接。X 通过控制端察看了被控的电脑,果然是一个科研人 员的办公电脑。
X 在这台电脑中找到一些技术资料。交给雇主后,雇主并不满意,称资料非常不完整,并 且不是工厂 B 现在那些新产品的资料。于是 X 继续对网络进行渗透,很快又控制了研发部门 的几台电脑,但仍没有找到雇主想要的资料。
X 继续进行渗透。半个月后,已经控制了办公网中二十多台电脑。X 仔细地检查每一台被 控电脑,寻找有价值的数据,但都没有找到想要的工艺资料。
图 4.2 案例 2:攻击者利用办公网络窃取机密生产资料的攻击场景 第三步:从办公网渗透侵入工业控制网络,控制 SCADA 服务器**
雇主告诉 X,生产系统中负责执行生产任务的 Batch 服务器里一定会有完整的工艺资料, MES(制造执行系统)相关服务器中也可能有。同时雇主也告诉 X,MES 服务器和办公网之 间可能是直接连接的,建议他们优先考虑入侵 MES。
但 X 在网络中甚至没找到 MES,怀疑可能这些电脑本身的安全措施比较严格,扫描等常 用网络探测措施都无法发现。而 Batch 服务器因为和办公网之间有防火墙
隔离,无法直接访 问到。 在监视一台电脑的桌面时,X 看到了一个运行着的 SCADA 监控界面。X 非常兴奋,因为 之前一直认为办公网和工业控制网络是彻底隔离的,没想到有人为了方便随时查看系统的状 态,让办公网也可以连接 SCADA 服务器。
X 查看这台电脑的当前连接,知道了 SCADA 服务器的 IP 地址。再通过分析电脑上安装 的 SCADA 软件,很容易得到了该厂使用的软件名称和版本信息。在网上搜索了软件的相关信 息后,X 发现他们所使用的软件版本较旧,存在好几个严重漏洞。
X 设法找到了同一版本软件,在自己的系统上搭建测试环境,开始编写针对这些漏洞的攻 击程序。因为这些漏洞的利用难度都不大,所以只用了一天,程序就写好了。
利用攻击程序,X 顺利地控制了 SCADA 服务器。有了 SCADA 服务器作为跳板,现在 X 可以在工业控制这部分网络中横行无忌了。他们高兴地发现,这里很多电脑甚至连操作系统 补丁都没有及时更新,存在大量漏洞。很快,X 找到了用来执行生产任务的 Batch 服务器。
第四步:侵入 Batch 服务器,盗取机密生产数据
X发现 Batch服务器所运行的控制软件也同样存在很多漏洞。所以,X并没有费多大力气, 也成功入侵了 Batch 服务器。在服务器的生产数据库里,获得了完整的工艺数据。
X 把窃取的资料交给雇主,雇主很满意。 - 案例结果**
不久后,工厂 B 在市场上发现了和自己的新产品类似的仿制品,检验后发现成分组成和 各方面性能几乎都完全一样。这些仿制品的生产商是工厂 A。
五工业控制系统的一些安全建议
工业控制系统面临的安全问题分析
虽然因工业控制系统工作环境相对封闭、多采用专用通信协议且很难获得系统分析样本 而很少遭到入侵攻击;但并不能说工业控制系统的用户就可以高枕无忧。本文前面章节的研 究结果表明,目前工业控制系统普遍存在一些严重的安全问题,主要表现为:
- 严重漏洞难以及时处理,系统安全风险巨大 当前主流的工业控制系统普遍存在安全漏洞,且多为能够造成远程攻击、越权执行 的严重威胁类漏洞;而且近两年漏洞的数量呈快速增长的趋势。工业控制系统通信协议 种类繁多、系统软件难以及时升级、设备使用周期长以及系统补丁兼容性差、发布周期 长等现实问题,又造成工业控制系统的补丁管理困难,难以及时处理威胁严重的漏洞。
- 工业控制系统协议缺乏足够的安全性考虑,易被攻击者利用 专有的工业控制通信协议或规约在设计时通常只强调通信的实时性及可用性,对安 全性普遍考虑不足:比如缺少足够强度的认证、加密、授权等。尤其是工业控制系统中 的无线通信协议,更容易遭受第三者的窃听及欺骗性攻击(比如第 4.1 节的虚拟案例 1 中利用现场无线网络攻击的攻击场景所描述的攻击方式)。
- 缺乏违规操作、越权访问行为审计能力** 操作管理人员的技术水平和安全意识差别较大,容易发生越权访问、违规操作,给 生产系统埋下极大的安全隐患。实事上,国内 ICS 相对封闭的环境,也使得来自系统内 部人员在应用系统层面的误操作、违规操作或故意的破坏性操作成为工业控制系统所面 临的主要安全风险。因此,对生产网络的访问行为、特定控制协议内容和数据库数据的 真实性、完整性进行监控、管理与审计是非常必要的。
但现实环境中通常缺乏针对 ICS 的安全日志审计及配置变更管理。这是因为部分 ICS 系统可能不具备审计功能或者虽有日志审计功能但系统的性能要求决定了它不能开 启审计功能所造成的结果。同时目前的安全审计产品因缺乏对工业控制系统通信协议的 解析能力而不能直接用于 ICS 系统中,需要专门的定制。由于工业控制系统通信协议缺 乏统一的标准,使得这种定制工作代价巨大且不能通用也是造成 ICS 中违规操作行为审 计缺乏的原因之一。 - 没有足够的安全政策、管理制度,人员安全意识缺乏 由于工业控制系统不像互联网或与传统企业 IT 网络那样备受黑客的关注,在 2010 年“震网”事件发生之前很少有黑客攻击工业控制网络的事件发生(如图 1.1 所示); 工业控制系统在设计时也多考虑系统的可用性,普遍对安全性问题的考虑不足,更不用 提制订完善的工业控制系统安全政策、管理制度以及对人员的安全意识培养了。‘和平 日久’造成人员的安全意识淡薄。
而随着 ICS系统在国计民生中的重要性日益重要以及 IT通用协议和系统在工控系统 的逐渐应用,人员安全意识薄弱将是造成工业控制系统安全风险的一个重要因素,特别 是社会工程学相关的定向钓鱼攻击可能是重要岗位人员沦为外部威胁入侵的跳板(比如 RSA 丢失 SecurID 认证令牌的事件中利用一封鱼叉式网络钓鱼的电子邮件侵入 RSA 公 司内部网络的案例[netsecurity1] )。 - 面对新型的 APT 攻击,缺乏有效的应对措施
APT(高级可持续性威胁)的攻击目标更为明确,攻击时会利用最新的 0-day 漏洞, 强调攻击技术的精心组合与攻击者之间的协同;而且是为不达目的不罢休的持久性攻击。 近年来以震网为代表的针对工业控制系统的攻击 事件都呈现了这 些 攻击技术特征 [Symantec] ,本文第四章的攻击场景中的攻击过程也说明了企业会面临竞争对手出于市场竞 争目的而不择手段的攻击。
但是针对这种 APT 攻击,现有的安全防护手段均显得有些无力[BWLZ]。这也许需要整 合各种安全技术,通过形成完善的安全防御体系(防御手段的组织化、体系化)才可能 有效,然而工业控制系统对安全关注严重不足的现实,使其在面临 APT 攻击时将会遭到 不可估量的安全损失。
工业控制系统的安全建议
工业控制系统安全的重要性及其普遍安全防护措施不足的现实,使得加强工业控制系统 的安全性来说无疑是一项相对艰巨的任务。因为当面临攻击者的持续关注时,任何疏漏都可
能导致灾难。对此,我们在参考信息安全业内的最佳实践的基础上,结合工业控制系统自身 的安全问题,提出了一些安全建议,期望能够有效地降低工业控制系统所面临的攻击威胁:
- 加强对工业控制系统的脆弱性(系统漏洞及配置缺陷)的合作研究,提供针对 性地解决方案和安全保护措施:
- 源头控制:运营组织和关键提供商建立工业控制系统开发的全生命周期安全管 理。在系统的需求分析、架构设计、开发实现、内部测试、第三方测试和人员 知识传递等研发生命周期的典型阶段,融入安全设计、安全编码以及安全测试 等相关安全技术,尽可能系统地识别和消除各个阶段可能出现的来自于人员知 识和技能、开发环境、业务逻辑引入系统缺陷的安全风险(如图 5.1 所示)。
图 5.1 绿盟科技应用安全开发生命周期(NSFocus ADSL) - 分析检测及防护:工业控制系统行业应积极展开与安全研究组织或机构的合作, 加强对重要工业控制系统所使用软硬件的静态和动态代码脆弱性分析、系统漏 洞分析研究;开发工业控制系统行业专用的漏洞扫描、补丁管理及系统配置核 查工具。
- 漏洞库管理:国家主管机构主导建立权威的 ICS 专业漏洞库以及完善的漏洞安 全补丁发布机制。
- 尽可能采用安全的通信协议及规范,并提供协议异常性检测能力
- 源头控制:在不影响系统实时性、可用性的前提下,工业控制系统应尽可能采 用具有认证、加密、授权机制的安全性较高的通信协议来保证其控制命令和生 产数据的安全传输。尤其是无线通信协议要重点考虑其安全性;因为不安全的 无线通信协议非常容易遭致远程攻击(如第四章的虚拟案例一所述)。
- 检测防护:基于对 ICS 通信协议与规约的深度解码分析,通过网络协议异常性 特征识别与监测 ICS 各系统和网络间可能存在的威胁,并提供针对性的防护措 施,从而提升了企业对于系统运行过程的威胁感知与安全防护能力
- 标准制订:国家主管机构应促进工业控制系统行业与安全研究机构、厂商的合 作,并主导制订相关的通信协议的安全标准。以提供推荐性行业标准。
- 建立针对 ICS 的违规操作、越权访问等行为的有效监管
- 异常行为检测:对 ICS 系统的各种操作行为进行分析,并基于<主体,地点, 时间,访问方式,操作,客体>的行为描述六元组模型(如图 5.2 所示)构建系 统操作行为或网络运行相关的白环境。基于白环境可以很方便地开发针对 ICS 异常行为的检测类产品(比如 IPS)。
图 5.2 基于六元组的异常检测模型 - 安全审计:基于对 ICS 通信协议与规约的深度解码分析,实现对 ICS 系统的安 全日志记录及审计功能。应考虑对控制过程实现基于网络流量的安全审计,审 计过程应力争做到对控制指令的识别和可控,如 Modbus、DNP3 等经典工控 协议的解析能力分析,实现工业控制协议会话的过程记录和审计;并提供安全 事件之后的事后追查能力。
- 建立完善的 ICS 安全保障体系,加强安全运维与管理。
a) ICS 安全保障体系建设 在保证工业控制系统的正常运行的前提下,充分调动技术、管理等安全手段,对
帐号与口令安全、恶意代码管理、安全更新(补丁管理)、业务连续性管理等关键控 制领域实施制度化/流程化、可落地的、具有多层次纵深防御能力的安全保障体系建设。
其建设依据将参考以下国内外工业控制系统安全相关政策及实践,使企业能够充 分识别运行管理过程的信息安全控制点,构建符合国家、行业监管、资本市场要求以 及安全最佳实践的安全保障体系。具体参考的相关政策和安全实践包括但不限于: - 《关于加强工业控制系统信息安全管理的通知》(工信部协[2011]451 号)
- GB/T 26333-2010 《工业控制网络安全风险评估规范》
- IEC 62443/ISA 99 《工业过程测量、控制和自动化 网络与系统信息安全》
- NIST SP800-82 《工业控制系统 (ICS) 安全指南》
- NIST SP800-53 《联邦信息系统和组织的安全控制推荐》
- 北美电气可靠性协会关键性基础设施防护标准(NERC CIP 标准)等。
- 安全运维与管理
- 边界控制:严格管理所有可能的 ICS 系统访问入口,包括将 SCADA 相关 系统与互联网及其他办公网络物理隔离,严格控制移动介质和无线网络的 接入,必要时采用设备准入控制机制。
- 系统上线安全评估及周期性安全评估:工业控制系统的入网与上线是整个 系统安全生命周期的重要阶段,也是系统所有者和操作者掌握其安全风险 水平的最佳时机。因此,在系统上线时要尽可能对系统的安全状况进行较 为详细的评估:系统及应用漏洞扫描、WEB 应用测试与扫描、ICS 系统安 全基线配置核查以及无线现场网络的安全评估等。然后根据评估结果在保 障 ICS 系统可用性的前提下,尽可能对发现的安全问题进行处理。需要注 意的是:常见的评估工具和测试手段将有可能会造成系统的中断(如产生 偶然的拒绝服务攻击),因此对工业控制统的评估和测试和传统的 IT 风险 评估相比应更加谨慎,在评估的过程中可采用一些能够确保对工业控制系 统的影响降到最低的替代性评估手段(如表 5.1)。
对象** 常见手段(IT 环境)** 工业控制系统建议手段
主机和 主机地址扫描(如 手工配置检查
网络** NMAP) 物理线缆跟踪/检索
数据包被动监听(嗅探和入侵检测) 控制扫描范围
服务** 端口扫描(如 NMAP) 本地端口检查(Netstat)
测试环境扫描
漏洞** 漏洞扫描(如 Nessus) 本地服务检查(如 Banner)结合 CVE 漏
洞库信息对比
测试环境扫描 表格 17 安全测试、检查的替代手段(建议)
- 系统防护:系统防护措施的更新速度是其有效性最重要的度量指标,只有 及时更新通用或专用系统的安全补丁和相关配置,升级各种防护和检测设 备的规则,才能起到有效的防护效果。
- 需要保障 ICS 系统业务连续性的应急响应计划,强调对安全事件的快速响 应能力。
c) 此外,还需要加强人员的安全意识培训和工作流程管理制度的落实等。
\5. 加强针对 ICS 的新型攻击技术(例如 APT)的防范研究
目前 ICS 领域影响最大的就是‘震网病毒’为代表的高级可持续性威胁(APT) 类攻击。这类 APT 攻击并不是一个独立的、具体的攻击技术,而是一种攻击行为模式 的体现。达成 APT 攻击需要无孔不入的情报收集能力;它们往往掌握有最新的 0day 漏洞、拥有能够规避当时检测工具的传播和控制程序,以及能够利用所掌握的资源快 速展开连锁行动的组织力和行动力。显然,这样的攻击不是能够依靠单一的技术实现 防范和检测的,针对性的防护需要多个层面安全防护措施的综合开展:
- 做好 ICS 系统的基础性安全防护工作。从防范主体的角度来看,应当做到“安全 防御无死角”。面对长期的侦测和试探,任何安全短板都可能成为攻击者的快速 通道。也许只有做好各方面的防范,通过多种安全产品(机制)协同工作的体 系化防御措施才能够抵御 APT 这些高级的持久性攻击[LHP]。
- 加强“深入分析”技术的探索。APT 攻击并不意味着没有痕迹,只是隐蔽性较强 而难以发现。通过收集 APT 攻击事件相关的技术情报(攻击的特征、原理、危 害、样本及分析报告等),并利用多维度的海量数据挖掘和关联分析技术,实 现跨时域、跨设备和跨区域的踪迹分析,来大幅增加发现攻击行为的概率。也 就是说,只有具备及时识别、发现 APT 攻击的能力之后,才能有效地提供针对 性的 APT 安全防护能力。
- 加强国际合作,协同研究与防范。由于 APT 攻击具有低成本、高破坏和隐蔽性 的特点,它对 CII 或工业控制系统攻击所造成的破坏和社会影响,很有可能不 逊于核武器的攻击后果。如果不对其加以限制,只会使破坏程度不断升级。所 以,成立国际联合组织、建立国际性的抑制体系可以减少国家间的过激行为, 同时也可监控和打击网络犯罪及恐怖主义行为。
上述描述的安全建议从多维度考虑对工业控制系统可能面对的风险进行防护,并尽可能 降低相关系统的安全风险级别。但需要意识到由于外部威胁环境和系统技术演变将可能引入 新的风险点。系统、人员、商业目标以及内、外部威胁等安全相关因素的任何一个发生改变 时,都应建议企业对当前安全防护体系的正确性和有效性重新进行评估,以确定其能否有效 应对新的风险。因此 ICS 的安全保障措施也将是一个持续的改善过程,通过这一过程可使工 业控制系统获得最大程度的保护。
参考资料
绿盟 2013年工业控制系统及其安全性研究报
友情链接
GB-T 37095-2018 信息安全技术 办公信息系统安全基本技术要求