1
关注中国自动化产业发展的先行者!
2024中国自动化产业年会
2023
2023年工业安全大会
OICT公益讲堂
当前位置:首页 >> 资讯 >> 行业资讯

资讯频道

工控系统的信息安全威胁态势分析及应对
本文基于工控系统公开漏洞的统计分析结果以及近期工控信息安全攻击事 件及最新攻击技术等多个方面,讨论了工控系统当前所面临的安全威胁态势及应 对策略。
关键词:

1 引言

随着工业信息化的快速发展,涉及国计民生的电力、交通、市政、化工、关键制造业等行业的工业控制系统(以下简称工控系统),因其重要性及其重视功能实现而缺乏足够安全性考虑所造成的自身安全缺陷,使其面临着来自各种黑客组织或敌对势力日益严峻的网络威胁[1][2]。我们的研究表明:伊朗核电站的“震网病毒”事件之后,信息网络及系统相关的高风险安全漏洞正在逐渐被雪藏[3]。我们认为造成这种现象的最大可能是:大量高风险未公开的漏洞通过地下经济被出卖,或被某些国家/组织高价收购,目的是利用其开发0-day攻击或高级持久威胁(Advanced Persistent Threat ,APT)的攻击技术,为未来可能的网络对抗做准备[1]。2010年以来一系列的APT攻击事件表明,利用0-day漏洞或“水坑”模式的新型攻击正成为网络空间安全防护的新挑战[1]。而工控系统因其对于国家的重要性,将极可能使其成为未来网络战的重要攻击目标,除了伊朗核电站的“震网病毒”事件之外,最近公开的“蜻蜓组织”[4]利用Havex恶意代码[5][6][7]攻击欧美上千家能源企业等工控系统领域频发的安全事件也在进一步证实这种推断。

不管攻击者的目的是出于经济目的(如南美某国电网被攻击者敲诈勒索[8])、意识形态的纷争(如“燕子行动”[9]),甚至是国家间网络战对抗的需要(如“震网事件”、“蜻蜓组织攻击事件[4]”),我们都必须深入研究工控系统的安全性及其可能遭受到的各种威胁,加强行业用户的信息安全意识培训,进行工控系统的信息安全状况调查及系统脆弱性评估与整改,并在此基础上提供切实有效的信息安全防护措施,以确保这些关系国计民生的工控系统的安全运营。

本文将在前期研究的基础[1][2][10]上,对体现工控系统自身脆弱性的公开漏洞情况进行统计分析,并结合近期典型工控安全攻击事件,分析工控系统当前所面临的安全威胁态势及应对策略。

2 工控系统的脆弱性分析

截止到2014年6月,我们以绿盟科技安全漏洞库收录的工控系统相关漏洞为基础,参考美国CVE[11]、ICS-CERT以及中国国家信息安全漏洞共享平台所发布的漏洞信息[12] [13],整理出了549个与工控系统相关的公开漏洞。本节将重点分析公开工控漏洞的统计特征和变化趋势,主要涉及漏洞的总体变化趋势、漏洞的严重程度、漏洞所影响的工控系统类型、漏洞的危害等几个方面。

2.1 公开漏洞数总体上保持快速增长的趋势

38.jpg

图1 工控漏洞的年度变化趋势

图1给出了当前所收集工控漏洞年度增量的变化趋势,在2011年之前,公开披露的工业控制系统相关漏洞数量相当少,但在2011年出现快速增长,这可能是因为2010年的Stuxnet蠕虫事件之后,人们对工业控制系统安全问题持续关注以及工业控制系统厂商分析解决历史遗留安全问题所造成的。随着各方面对工业控制系统的安全日益重视,工业控制系统的相关公开漏洞数量仍将保持一个快速增长的总体趋势。

2.2 工控系统漏洞涉及厂商依然以国际厂商为主

图2给出了公开漏洞涉及主要工控系统厂商的统计分析情况。分析结果表明,公开漏洞所涉及的工控系统厂商仍然是以国际著名厂商为主,西门子(Siemens)、施耐德电气(Schneider)、研华科技(Advantech)、通用电气(GE)与罗克韦尔自动化(Rockwell Automation)占据漏洞数排行榜的前五名。用户调研结果表明,这些国际著名工控系统厂商的产品在国内市场上占据优势地位,甚至某些产品在某些行业处于明显的垄断地位。这种情况必然会造成这些厂商的产品倍受系统攻防双方的重视和关注,而且也比较容易获得研究分析用户的产品,这很可能就是公开漏洞涉及到的工控系统厂商总是以国际厂商为主的主要原因。由于漏洞数量与产品自身的安全性、复杂度、受研究者关注程度以及工控系统厂商对自身系统安全性的自检力度都有关系,所以我们并不能简单地认为公开漏洞数量越多的厂商产品越不安全[10]。但是却可以通过该信息评估用户工控系统所存在的安全脆弱性状况,并据此进行系统的安全加固、调整安全防护策略,来增强系统的整体安全防护能力。

39.jpg

图2 公开漏洞涉及的工控系统厂商( Top10)

图3给出了2014年上半年新增漏洞涉及工控厂商的情况,其中西门子以新增25个公开漏洞,占比39%依然位居首位,研华科技则以新增10个公开漏洞,占比15.4%而升据第二。施耐德电气则以半年新增4个漏洞(占比6%)依然位列三甲之内。但需要注意的是,与图2的总体情况相比仍有不小的变化:

(1)日本横河电机株式会社(YOKOGAWA)首次进入我们的关注视野,就以半年新增4个漏洞,与施耐德电气并列2014半年度新增漏洞的第三名。日本横河电机作为工控行业的著名跨国公司之一,其集散型控制系统(DCS)、PLC等工控产品在国内石油、化工等大型工厂生产过程有着较为广泛的应用,自然也会受到重点关注。

(2)排名第四、第五的Cogent、Ecava则是两家专业的工控软件厂商,表明除了著名国际厂商之外,在工控软件某个子领域内相对领先的企业也日益受到关注。

2.3 工控系统存在严重的安全隐患及攻击威胁

本文在分析这些漏洞的严重性时,将主要根据CVE的CVSS评估值来判断,并划分为高、中、低三种情况。图4表明,2014年的新增漏洞中“高危”漏洞(CVSS值范围7.0~10.0)超过一半(51%),且基本上都是严重性程度为“中”以上(CVSS值大于等于4.0)的漏洞。

40.jpg

图3 2014年新增工控漏洞涉及的主要厂商

41.jpg

图4 2014年新增漏洞按严重程度的分类分析

这些漏洞可导致的主要攻击威胁的统计分析如图5所示:其中,拒绝服务类漏洞占比最高(约33%),这对强调业务连续性的工控系统来说不是一个好消息。位居其次的是缓冲区溢出类漏洞,其占比也高达20%,这类漏洞较多则可能是因为工控系统在软件开发阶段缺乏严格的编程规范及要求。同样,可导致信息泄露、远程控制及权限提升类的工控漏洞也是攻击者最为关注的,利用这些漏洞可以窃取制造企业的设计图纸、生产计划、工艺流程等敏感信息,甚至能获得工控系统的控制权,干扰、破坏工控业务的正常生产或运营活动。

显然,这些漏洞可能造成的主要威胁情况也可以从侧面说明当前工控系统安全所应关注的主要安全问题。

42.jpg

图5 2014年新增漏洞的威胁分类分析( TOP 5)

2.4 与 SCADA/HMI相关的漏洞为主,占比超过 40%

图6给出2014年新增漏洞按产品相关分类的情况,其中,与SCADA/HMI相关的漏洞为主,其占比超过40%;PLC相关的漏洞以近30%的占比紧随其后。而集散控制系统(DCS)及OPC相关的漏洞也各占将近10%的份额。这表明攻、防双方都可能把主要精力放在工控系统的控制设备或工业控制管理软件系统的安全性分析上了。当然,工控系统的网络设备(网络交换机)及工业网络管理软件的安全性也受到了一定的关注。

43.jpg

图6 2014年新增漏洞涉及的工控产品

3 工控系统面临的信息安全威胁

3.1 工控信息安全事件增长快速,能源行业易受攻击

近年来,工业控制系统相关的信息安全事件正在呈快速增长的趋势(如图7)。2013年度内处理的信息安全事件就达256件[13],而这些事件又多分布在能源、关键制造业、市政、交通等涉及国计民生的关键基础行业(如图8);其中以电力为主的能源行业相关的信息安全事件高达151件,接近全年信息安全事件的三分之二。这与能源行业对于现实社会的重要性及其工控系统的自动化程度、信息化程度较高有相当的关系。

44.jpg

图7 ICS-CERT历年公布工控信息安全事件的统计分析

45.jpg

图8 2013年工控信息安全事件涉及的重要行业( ICS-CERT)

3.2 APT已成为针对工控系统的主要攻击方式

自2010年APT出现在公众视野之后,业内已经陆续报道了数十起APT攻击事件,其中不乏针对工控系统的攻击事件[1]。自Stuxnet、Flame、Duqu这些著名的攻击手段之后,2014年6月25日ICS-CERT在题为“ICS Focused Malware”的安全通告ICS-ALERT-14-176-02[5]中,通报了一种类似震网病毒(Stuxnet)的专门针对工控系统攻击的新恶意代码。安全厂商F-Secure首先发现了这种恶意代码并将其作为后门命名为W32/Havex.A,F-Secure称它是一种通用的远程访问木马(RAT,即Remote Access Trojan)。

46.jpg

图9 Havex的攻击原理

根据ICS-CERT、F-secure、Symentec等多家安全公司的研究表明[5~7]:Havex多被用于从事工业间谍活动,其主要攻击对象是欧洲的许多使用和开发工业应用程序和机械设备的公司。而且网络攻击者传播Havex恶意软件方式有多种:除了利用工具包、钓鱼邮件、垃圾邮件、重定向到受感染的Web网站等传统感染方式外,还采用了“水坑式”攻击方式,即通过渗透到目标软件公司的Web站点,并等待目标安装那些合法APP的感染恶意代码的版本。ICS-CERT的安全通告称当前至少已发现3个著名的工业控制系统提供商的Web网站已受到该恶意代码的感染。

F-Secure声称他们已收集和分析了Havex RAT的88个变种,并认为Havex及其变种多通过利用OPC标准被用来从目标网络和机器获取权限并搜集大量数据 [6][7](如图9)。但攻击者应该不仅仅是对这些目标公司的系统信息感兴趣,而必然会对获取那些目标公司所属的ICS或SCADA系统的控制权更感兴趣。

3.3 黑客组织是工控系统所面临的最大安全威胁

在2014年1月,网络安全公司CrowdStrike曾披露了一项被称为“Energetic Bear”的网络间谍活动,在这项活动中黑客们可能试图渗透欧洲、美国和亚洲能源公司的计算机网络。据CrowStrke称,那些网络攻击中所用的恶意软件就是Havex RAT和SYSMain RAT,该公司怀疑Havex RAT有可能以某种方式被俄罗斯黑客连接,或者由俄罗斯政府资助实施。

赛门铁克在其研究报告中声称黑客组织Energetic Bear(也被称为“Dragonfly”[4])1,使用一种复杂的网络武器Havex,在18个月的时间里影响了几乎84个国家,并使1000多家欧洲和北美能源公司受损;而且大多数受害者机构基本上都位于美国、西班牙、法国、意大利、德国、土耳其和波兰等国家。显然,“蜻蜓组织”有能力造成多个欧洲国家的能源供应中断,具有极大的社会危害性。

赛门铁克、F-secure、CrowdStrike等多家安全公司[4][6]在研究后基本认为:蜻蜓黑客组织的主要目标是实施间谍活动,而且它似乎是有资源、有规模、有组织的,甚至怀疑在它最近的攻击活动背后有政府的参与。Stuxnet、Flame、Duqu、Havex之后,随着攻击者对工控系统研究的进一步深入,针对工控系统攻击的恶意代码仍将会层出不穷,而且还可能在发起攻击活动的黑客组织背后更多地体现国家、政治组织或经济组织的意志。因而,面对攻击技术与手段日益先进、复杂、成熟的针对工控系统进行攻击的黑客组织,工控系统所面临的安全威胁也将日益严峻。

4 工控系统信息安全的检测及防护

面对来自黑客、敌对组织日益严峻的网络安全威胁,工业控制系统的安全性正日益受到我国的高度重视,并已从政策、标准、技术、解决方案等多个方面进行了积极应对:工业控制系统相关的信息安全标准正在制订过程中,电力、石化、制造、烟草等多个行业,已在国家主管部门的指导下进行安全检查、整改[15][16][17]。而安全检查与整改中最重要的就是工控系统自身脆弱性的监测与发现,只有及时发现工控系统存在的漏洞及所面临的安全威胁,才能进一步执行相应的安全加固及防护工作。

4.1 工控系统的脆弱性检测

工控系统与传统信息系统的较大差异性以及安全需求的不同[2],使得很难直接采用传统的适用于IT信息系统的漏洞扫描器,而是必须需要支持相应工控协议、能识别工控系统及其应用管理软件并能够检测其漏洞及配置隐患的专业工控漏洞扫描器,而且为保证系统的安全运行,多数情况下不允许对在线系统进行扫描检测,只能在工控设备上线前或维护期间进行系统的漏洞扫描。

此外,由于工控系统及业务系统的异构性、行业性的特点明显,安全厂商也难以推出通用性的工控系统漏洞扫描类的产品。

1蜻蜓组织是一个至少自 2011年起便开始活跃的东欧黑客团体。该组织最初的攻击目标是美国和加拿大的国防和航空企业,但从 2013年开始将主要目标转向许多国家的石油管道运营商、发电企业和其他能源工控设备提供商;即以那些使用工控系统来管理电、水、油、气和数据系统的机构为新的攻击目标。

为了更好地实现工控系统的信息安全检查与评估工作,工控系统的脆弱性检测与评估工作,需要安全行业、工控行业的主管部门、厂商与科研机构尽早建立多方合作机制,并促进建立国家或行业级的漏洞信息分享平台。绿盟科技目前已成功研发出“工业控制系统漏洞扫描系统”[14],并在部分客户环境中进行了试用验证,预期2014年9月正式发布上市。该产品的及时推出有助于各重点行业的安全检查与整改工作。

4.2 针对 APT攻击的检测与防护

针对APT逐步渗透攻击的特点,技术报告《工业控制系统的安全研究与实践》[1]中提出一个针对工控系统APT攻击的检测与防护方案,针对APT攻击的每个阶段讨论了相应的应对策略:(1)做好网站漏洞、挂马检测及安全防护,全方位抵御水坑攻击;(2)提高员工安全意识、部署入侵防范系统,防范社会工程攻击,阻断C&C通道;(3)加强对工控系统组件中的漏洞及后门监测并提供针对性的安全防护;(4)异常行为的检测与审计,识别发现业务中可能存在的异常流量与异常操作行为。

鉴于工控系统业务场景比较稳定、操作行为比较规范的实际情况,在实施异常行为审计的同时,也可以考虑引入基于白环境的异常监测模型,对工控系统中的异常操作行为进行实时检测与发现。

5 结语

本文基于对近期公开的工控系统相关漏洞及安全事件的统计分析的基础上,主要讨论工控系统自身的脆弱性以及所面临的安全威胁发展态势,提出了针对工控安全威胁的检测与防护建议;并呼吁建立主管部门、用户、工控厂商、安全厂商以及科研机构等参与的多方合作机制,实现优势互补,共同促进工控信息安全行业的快速发展。

作者简介

李鸿培,博士,高级工程师,现就职于北京神州绿盟信息安全科技股份有限公司,主要研究方向涉及网络安全、可信网络体系架构、安全信息智能处理技术及工业控制系统信息安全研究等。

参考文献

[1]李鸿培,忽朝俭,王晓鹏.工业控制系统的安全研究与实践[R].绿盟科技,2014,3.

[2]李鸿培,于旸,忽朝俭,曹嘉.工业控制系统及其安全性研究[R].绿盟科技. 2013,6.

[3]鲍旭华,李鸿培.2012上半年NSFOCUS安全威胁态势报告[R],绿盟科技. 2012,8.

[4]ICSFocused Malware Alert(ICS-ALERT-14-176-02A)[EB],http://ics-cert.us-cert.gov/alerts/ICS-
ALERT-14-176-02A.

[5]Havex:类似Stuxnet的恶意软件袭击欧洲SCADA系统[EB]. http://www.freebuf.com/news/37861.html.

[6]FireEye:发现SCADA间谍软件Havex的最新变种[EB]. http://www.freebuf.com/news/38954.html.

[7]南美某国电网被攻击,攻击者进行敲诈勒索[EB]. http://www.e-works.net.cn/report/fs/fs.html .

[8]2013年度全球重、特大网络安全事件回顾[EB]. http://www.hackdig.com/?12/hack-7727.htm.

[9]李鸿培,王晓鹏.2014绿盟科技工控系统安全态势报告[R].绿盟科技. 2014,9.

[10]CVE.http://www.cve.mitre.org/.

[11]CNVD. http://www.cnvd.org.cn/.

[12]ICS-CERT Monthly Monitor Newsletters. ICS-MM201404. http://ics-cert.us-cert.gov/monitors/ICS-MM201404.

[13]绿盟工控漏洞扫描系统白皮书[Z].

[14]工信部.关于加强工业控制系统信息安全管理的通知.

[15]电监会.电力工控信息安全专项监管工作方案.

[16]国家烟草局.工业企业生产区与管理区网络互联安全规范[Z].

摘自《工业控制系统信息安全专刊(第一辑)》

热点新闻

推荐产品

x
  • 在线反馈
1.我有以下需求:



2.详细的需求:
姓名:
单位:
电话:
邮件: