C114通信网  |  通信人家园

资讯
2019/9/19 16:41

顶象:工控设备被远程瞬间摧毁 企业该怎么防

厂商供稿  

2019年9月17日-21日,第21届中国工博会在上海召开。本届工博会主题是“智能、互联——赋能产业新发展”。吸引了来自美国、德国、法国、以色列等27个国家和地区的2610家企业参与。

在“工控安全&工业互联网”主题论坛上,顶象洞见安全实验室负责人董阳演示某个高危漏洞的危害,只用了一秒钟,就远程摧毁了正在运行中的某主流工控PLC设备。

1568872610919548.png

“漏洞是黑客发动攻击的重要源头。随着智能化、网联化的推进,从“封闭单机”向“开放联网”推进的工控系统,将面临不法黑客的各类攻击。企业需要随时掌握工控系统的安全现状,了解系统内存在什么漏洞、这些漏洞分布在哪里、该怎么去防御”。董阳表示,顶象洞见安全实验室提供立体的风险感知和威胁预警服务,帮助企业提前做好安全防护。

被恶意攻击盯上的工控设施

工控系统(ICS)是一个通用术语,它包括多种工业生产中使用的控制系统,包括监控和数据采集系统(SCADA)、分布式控制系统(DCS)和其他较小的控制系统,如可编程逻辑控制器(PLC),广泛应用在石油石化、烟草、电力、核能等工业生产领域,以及航天、铁路、公路、地铁、水务等公共服务领域,堪称关键生产设施和基础设施运行的“神经中枢”。统计显示,我国超过80%的涉及国计民生的关键基础设施依靠工业系统来实现自动化作业。

1568872645319856.png

近年来,针对工控系统的攻击事件日益增多。2015年,乌克兰电力系统被恶意软件攻击,导致数小时的大规模停电,波及约140万人;2018年,台积电多个芯片制造厂遭遇Wannacry的变种病毒攻击,多条生产线暂时停产,损失超2.5亿美金;2019年,委内瑞拉的发电站被网络攻击, 23个州大规模停电。

由单机转向联网,工控风险呈现四大特征

由于工业系统的本质目标是控制,而互联网的核心目标是交换。相较于传统互联网采用平等关系的点对点传输模式,工控系统多采用基于主从关系的非对等网络。尤其随着智能化、网联化的推进,暴露出越来越多的风险。

1568872654288774.png

顶象洞见安全实验室负责人董阳表示,联网的工控系统大多处于“裸奔”的状态,任何不怀好意的黑客都可以发动攻击。他认为,工控风险主要呈现以下四个特征:

1、工控系统的设计主要是专用的相对封闭可信的通信线路,也就是封闭的“单机系统”,原本没有考虑联网需求,系统和联网设备也未配置防护系统,存在很多安全缺陷和漏洞。

2、工业设备资产分布广、设备类型繁多,攻击行为难以察觉。

3、攻击门槛低,数行代码即可造成严重后果。

4、工业设备的协议、设备、系统设计复杂,潜在漏洞多,系统更新升级慢、修复维护成本高;而且大量的系统设备需要7×24小时不间断运转,没有机会及时修复补丁。

联网工控设备一秒钟即被远程摧毁,三类漏洞值得警惕

漏洞是风险的爆发源头,无论是病毒攻击还是黑客入侵大多是基于漏洞。

据国家工业信息安全发展研究中心《工业信息安全态势白皮书》显示,截至2017年11月,全球范围内暴露在互联网上的工控系统及设备数量已超10万个,相比2016年年底上升了43%。据CNVD(国家信息安全漏洞共享平台)数据显示,截至2018年12月31日,2018年新增工控系统行业漏洞125个,其中高危漏洞19个,中危漏洞2个,低危漏洞104个。国家工业信息安全发展研究中心监测去年发布预警,3000余个暴露在互联网上的工业系统,95%以上有漏洞,可以轻易被远程控制,约20%的重要工控系统可被远程入侵并完全接管。

会议现场,董阳演示某个高危漏洞的危害,只用一秒钟就远程摧毁了正在运行中的某主流工控PLC设备。“利用这个漏洞,一行python源码就能远程操控这个设备。只需要几分钟,就能让数百上千台联网的工控设备瘫痪。”

image.png

他说,洞见安全实验室上月挖出100余个漏洞,其中近一半是高危漏洞,“像这样的高危漏洞还有很多,主要出现在操作系统、信息协议及管理流程上”。

操作系统上存在的漏洞:包含工程师站、服务器等工作人员使用的电脑设备,依旧运行着Winxp、Win2000甚至更老的版本的“退役”系统,维护和升级周期早已经结束。而且许多工控系统禁止安装安全防护软件,也难以实现病毒库的实时更新。

通信协议上存在的漏洞:工控系统中的专有协议在设计之初是为满足大规模分布式控制系统的运行,放弃或牺牲了其安全特性,由此导致许多工控协议存在被利用的高危漏洞,极易遭受攻击。

安全策略和管理上存在的漏洞:这一点主要是“人”的问题。很多工控系统为了追求可用性、易用性而牺牲安全性,大多缺乏完整有效的安全策略与管理流程。

这些漏洞一旦被黑客掌握并加以利用,不仅可能引发故障停机,还会导致安全事故发生,甚至影响正常公共服务,给社会带来不可估量的损失。

顶象针对工控的恶意攻击显出原形

知己知彼才能百战不殆。要保障工控系统安全,首要任务是识别风险和感知威胁,也就是拥有发现风险和感知攻击的能力,进而才能有效做好风险评估与防控。

针对以上问题,顶象洞见安全实验室研发出“工控全网威胁感知平台”和“工控内网风险侦测平台”,提供从风险感知、威胁预警立体化解决方案,帮助企业发现风险,提前做好安全防护。

1568872678421543.png

董阳表示,“工控全网威胁感知平台”主要提供全行业的风险态势感知,包含全网工控漏洞变化、风险趋势、遭受攻击的设备等,为行业和企业决策提供有效的数据支撑。“‘工控内网风险侦测平台’全面梳理企业内网的设备、系统等设施,发现并定位潜在漏洞隐患,让管理者一目了然内网现状,并给出科学的修复和防护建议,有效保障工控系统的安全”。

“洞见非常专注工控0Day漏洞的挖掘和研究上,从而帮助企业更早发现未知风险与威胁,这一点与大多数安全服务商只提供已知漏洞风险预警平台不同,”董阳进一步表示。

建设工控安全保障体系,推动可持续发展

国务院印发的《关于深化“互联网 先进制造业”发展工业互联网的指导意见》指出,工业互联网通过系统构建网络、平台、安全三大功能体系,打造人、机、物全面互联的新型网络基础设施,形成智能化发展的新兴业态和应用模式,是推进制造强国和网络强国建设的重要基础。工业和信息化部等十部委共同印发的《加强工业互联网安全工作的指导意见》要求,加强工业设备的安全接入和防护,强化工业互联网安全,加强边缘层、IaaS层、工业PaaS层、工业SaaS层分层部署安全防护措施,建立健全工业APP安全和检测机制。

最新颁布的《网络安全等级保护2.0》中,对工业系统安全有较为详细的规定:在安全计算环境要求“应关闭或拆除控制设备的软盘驱动、光盘驱动、USB接口、串行口或多余网口等”;在安全区域边界规定“应在工业控制系统与企业其他系统之间部署访问控制设备,配置访问控制策略,禁止任何穿越区域边界的E-Mail、Web、Telnet、Rlogin、FTP 等通用网络服务”。

面对日益复杂严峻的安全形势,需要各界持续推进工控安全态势感知建设,构建上下联动、协调配合的技术保障体系。只有做到自主可控,才能够形成可持续发展。

给作者点赞
0 VS 0
写得不太好

  免责声明:本文仅代表作者个人观点,与C114通信网无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。

热门文章
    最新视频
    为您推荐

      C114简介 | 联系我们 | 网站地图 | 手机版

      Copyright©1999-2024 c114 All Rights Reserved | 沪ICP备12002291号

      C114 通信网 版权所有 举报电话:021-54451141