协会官方微信

返回首页

English

  • 中仪协七届七次理事(扩大)会议在北京召开
  • 第一期“OPDCA”研修课程成果汇报会
  • 2018仪器仪表行业欧洲传感器商务考察
  • 2018年仪器仪表产业发展峰会

行业动态

由勒索软件谈起:重新审视工业信息安全,要从工业主机开始
信息来源:工业安全产业联盟 上传日期:2019-01-10 点击率:722次

摘要

工业信息安全发展多年,勒索软件针对工业企业的攻击打破了现有的安全状况,再次验证了工业控制系统的脆弱性,同时也打破了工控系统长时期带病运行的常态。重新分析重边界防护的安全意识,安全事件多是由工业主机作为攻击目标的现状,真正意义上的加强工业主机的防护,保障信息世界与物理世界桥梁,是保障工业信息安全的起点。

 

1 引言

工业安全是个很大的概念,既包括通常所说的功能安全,也包括现在很火的信息安全,但不管是哪个方面,工业企业的生产安全是首要任务。即使是工业信息安全,出现最严重的后果,也是影响企业的生产。不管如何表述,工业信息安全,目前已经逐步上升到了和功能安全一样的高度。学术界、科技界,正在不断探讨如何将工业控制系统的功能安全、信息安全、操作安全相融合。因此,工业信息安全,已经是工业企业不可或缺的一个安全要素。

回顾超过百年历史的工业发展历程,其实就是工业控制系统的发展历史,就是生产安全的历史,功能安全由此而生。与控制理论和工程化发展对比,信息化的时间其实只有短短的几十年,而信息化应用在工业领域,工控信息安全由此而来。尤其是最近20年,工业信息安全的历史有点

 

2 工业信息安全的历史

工业信息安全,即大家通常所说的工控信息安全,最新的解读将工业互联网安全也包含在内。为何是历史?因为工控系统被的次数越来越多。

究其原因,主要是工控人依然以功能安全为主线,并未与时俱进地将信息安全的思想融合在工业安全的大概念里。因此,澳大利亚污水处理厂、美国核电站、波兰地铁等因信息安全而产生的事故不断发生。直到2007年,美国爱达荷国家实验室搞了一次接近真实环境的试验,证明了通过网络攻击手段,是可以造成工控系统的物理损坏,为2010年伊朗震网病毒事件的爆发埋下了伏笔。

一般提到工业信息安全是必提震网事件的。在2010年后,针对关键基础设施的攻击,包括了大量针对工控系统的攻击手段和病毒。2015年又一个标志性事件发生了——乌克兰电网停电事件,又是一次被黑,又一次造成了物理损失,最重要的是,我们通常认为的黑客,已经非常熟悉工业领域的工艺和工作业务流程。2017年,永恒之蓝勒索软件的出现,以及随后的各种变种,目标由最初的教育、医疗领域,转移到了价值更高的工业领域,目标直指工业主机,也打破了工业环境中,只要病毒木马不影响生产,就可以忽略的现象。带病运行的常态,因勒索软件所打破。 

 

3  “篱笆还是那个篱笆

篱笆,是用来保护院子的一种设施。工控系统的篱笆,传统的方法就是隔离,如物理隔离,以物理鸿沟的方式保护着工控系统的安全。即使是信息化深入的当代,隔离的思维,依然是工控系统的主流防护措施。比如能源局36号文,针对电力监控系统安全防护的要求,在管理信息大区和生产控制大区的隔离要求是接近甚至达到物理隔离水平

即使要求等级不够高的工业领域,信息安全建设不如电力行业,基本的边界隔离要求都是有的。物理隔离、逻辑隔离,多种隔离手段兼顾的要求在工业的各个领域中都有所提及。隔离即是安全,是普遍的安全思维定式,保护的效果如何却无法得到有效的验证。甚至个别企业认为有个边界防护设备就万事大吉,并没有考虑这个篱笆是否适用于自己、是否真的起到了保护作用。也就出现了只有透明模式的边界,内部毫无安全防护,工控系统运行状况一目了然的案例出现。

因此,单纯的篱笆思维,以为隔离即是安全,需要在思想上做出改变。

 

勒索软件打破了幻想

2017年的永恒之蓝勒索病毒爆发,影响面非常广泛。在应对这起全球性的安全事件过程中,没有特别的进行行业的区分和深度分析。而后的事件,却发生了很有意思的变化。勒索病毒的目标,盯上了工业领域。国内多个工业企业遭受了勒索病毒的攻击,工业主机被锁、蓝屏,不断重启,严重影响了工业企业的正常生产。国内某制造企业,因勒索病毒肆虐,导致近一个月的停产。而在处理此次安全事件过程中发现,边界设置了防火墙,但该企业内部是一张大网,办公、OA、财务、控制网,都可以互联互通,野蛮性扩张,导致安全漏洞百出,信息安全设备除了边界防护外,一片空白;管理制度形同虚设,移动介质滥用;除了发现勒索病毒外,传统的病毒、木马竟然有一万多种。在和企业人员访谈过程中,控制网有病毒和木马,已经有好多年了,因为没有导致停机停产,也没做任何安全措施;在处置分析此次安全问题过程中,甚至发现其用于系统恢复的GHOST文件,也都被植入了病毒和木马。其实,这类企业的安全问题和事件,是一大批企业的代表。要不是勒索病毒爆发,导致了停产,企业可能仍然不会真的在意工业信息安全的建设。

 

工业信息安全,从保护工业主机安全开始

经过这么多年的工控安全洗礼,在很多行业以及企业,都做了试点验证工作,甚至进行了成体系的安全规划及建设。但从美国ICS-CERT、中国CNVD和卡巴斯基工控安全应急响应中心研究报告中显示,工控漏洞的数量并没有因为工控安全建设而减少,反而是逐年增加的趋势。但我们相信看到的公开披露的工控安全漏洞,也只是冰山的一角。

在分析这些公开的工控安全漏洞的过程中,我们发现以工业主机运行的软件和通信协议漏洞占主流。通过调查,一个中级程序员在编写1000行代码中就会存在一个bug,而工业软件的漏洞,大部分集中在软件bug上。当然,发现工业主机软件漏洞持续增加,也有其他的原因存在,包括工业软件获取渠道多、成本低;分析研究工业软件漏洞的技术利用IT软件漏洞分析的经验、方法和工具;工业现场主机系统老旧,几乎不做安全更新,漏洞多、防护差等问题。

工业环境之前带毒运行是常态,勒索病毒将使此常态成为过去时。以前的工业环境,只要病毒和木马未威胁到工业企业的正常生产,工业企业几乎放任自流,最多因为病毒和木马导致系统运行缓慢;但勒索病毒的出现,打破了这一情况,比如今年8月的台积电安全事件,勒索病毒的爆发,导致了业务停摆,直接经济损失近2亿美金,毛利率降1%的损失,这还是在有一定安全能力的工业企业里发生的安全事件。其实国内的工业企业也或多或少受到勒索病毒的影响,主要分布在汽车制造、电子制造、烟草、能源等行业。高价值、低保护的工业主机将成为网络犯罪集团理想的勒索攻击目标。

APT攻击,已经不再仅仅停留在狼来了阶段,而是狼已经来了。 震网(Stuxnet)、BlackEnergy2Havex再到乌克兰停电事件的反复爆发,以及最近针对沙特石油天然气工厂攻击的Triton/TriSYSTriton攻击框架能与施耐德公司的Triconex安全仪表系统控制器(SIS)形成通信交互,通过SIS控制器的重新编程,可导致不可逆转的关机操作和设备物理损害。可以看到,针对以工控系统为业务核心的能源行业、关键制造业、水处理行业等国家关键基础设施的攻击一直在持续。APT攻击就像一把达摩克里斯之剑,高悬在工业企业的头顶,不得不令人担忧。

面对这些问题和挑战,针对工控系统的主要威胁进行了深度研究,研究结果是:信息技术的发展,工业互联的需求,工业主机是ITOT技术融合的连接点,是信息世界与物理世界的通道和桥梁,也是成本低廉、效果极佳的攻击实施点。做好工业主机的安全防护和控制,是极为关键的。因此,针对工业企业的特点、面临的三大安全威胁,提出了相应的三大对策: 

 

·马上行动,工业信息安全从主机防护开始; 

·开放心态,建立工控漏洞的协同治理机制; 

·协同联动,建立工控安全事件协同应急响应机制。

 

工业主机运行环境是非常特殊的,绝大部分工业主机安装部署后,就不会再进行根本性的升级、修改;工业主机以及软件的特殊性,以防黑为主的杀毒软件是很难在工业环境中进行适配、使用;因此业内普遍采用白名单技术进行工业主机的安全防护。

在互联网安全领域内,正是360首次提出了白名单技术,基于白名单机制建立起来的防恶意代码软件,也正是360的强项。因此提出了工业主机一体化安全防护的理念,是以白名单技术为基础,集成了资产管理、外设管控、虚拟补丁、准入控制等功能,并集成特定病毒查杀工具、主机加固工具等。其中虚拟补丁技术是很关键的,在工业主机不能进行补丁更新的情况下,发现工业主机漏洞后,可以采用虚拟补丁技术,结合白名单机制,进行有效的漏洞防护,不仅仅是禁止非法软件启动,甚至可以防止非法软件入侵主机。比如针对勒索病毒的防护模块就是基于此类技术建立起来的,可以有效地防御勒索病毒。

但在工业主机防护方面,单一的白名单技术不能做较全面的防护,有些高级的恶意攻击代码可以绕过简单的白名单机制。因此,工业主机防护技术需要在白名单技术的基础上,引入白行为技术。

工控系统具备两个有限:首先是设备运行状态是有限的,其次是运行状态下的控制指令是有限的。工业主机防护同样具备这样的特点。控制指令的有限,恰恰证明了工业主机的操作行为是稳定、可知的,采用大数据技术很容易建立起稳定的工业主机白行为基线,偏离基线的工业主机异常行为,也非常容易检测到。因此,建立基于工业主机为重要节点的工业主机操作白行为,通过监测操作行为,扩大可知探测能力、确定已知合法行为、防范未知威胁操作;实时监视工控系统的资产、操作等,出现异常,实时报警,启动应急处置流程;结合工业威胁情报进行威胁的追踪溯源,提供更高强度的工业主机主动防御能力。

工控系统的纵深防御策略,在不少工业企业内已经进行了部署。但安全是动态的,纵深防御更多的是静态的防御方式,不具备与时俱进的能力。工业互联网时代,业务的不断发展、数据量成级数增长,以业务规则为核心,建立安全基线,动态地实时监测工业互联网的信息流及操作指令,以控制指令有限为原则,监测、告警异常行为,从而建立工业互联网的白行为知识库,建立以实时监测为基础的安全运营体系。

安全的本质:漏洞是源头、响应是最佳实践。因此针对安全事件的应急响应机制的建立,同样迫在眉睫。安全响应不仅仅只是安全厂商的事情,应该是工业用户、自动化厂商、安全厂商联动,共同解决棘手的安全问题,共建一个良好的安全应急响应机制。

 

总结

综上所述,工业信息安全的体系,到目前为止还是在不断的发展阶段,虽然静态的纵深防御策略普遍被业内人所认可,但安全是动态的、持续的,单纯的扎篱笆已经被证明是严重不足的。只有加强工业主机安全,建立安全基础,以实时监测技术建立行为基线,以联动的安全响应为保障,才可有效地解决工业企业的工控信息安全的老大难问题。

 

作者简介

李 航,男,高级工程师、高级等保测评师,毕业于山东大学,硕士。现任360企业安全技术(北京)集团有限公司工业互联网安全事业部副总经理,原工业控制系统信息安全技术国家工程实验室工业安全检测中心主任,从事工控信息安全研究和工作,主要针对工控安全漏洞发现、验证,工控系统信息安全防护体系设计与实施等,参与多个工控安全国家标准,工业控制系统信息安全技术国家工程实验室技术委员会委员,参与G20峰会网络安全保障工作,被聘为专家组专家成员,曾荣获部级科技进步三等奖。

中国仪器仪表行业协会 版权所有
京ICP备13023518号-1 京公网安备 110102003807
地址:北京市西城区百万庄大街16号1号楼6层 邮编:100037