2018 年 8 月份,知名芯片代工厂台积电遭遇 WannaCry 病毒入侵,导致三大工厂生产线停摆,预估损失高达约 17 亿人民币。由于台积电肩负英特尔、华为、高通、苹果等品牌芯片的代工生产,且苹果即将推出新品,人们纷纷揣测此事造成的严重影响,整个制造业和舆论界都受到了震动。而七月初,外媒《纽约时报》也报道了一起重大数据泄露事件,包含企业蓝图、工厂原理图、客户材料、员工信息等将近 47000 份、共 157 GB 的文件,影响一百多家汽车制造厂商。
从2010 年引起全球关注的震网病毒开始,整个工业互联网的安全问题一直敲打着各大企业的神经。但多年过去,工业互联网的安全防线依然较弱,这与整个行业本身的特点有关,也表明工业互联网的安全建设并不容易。
工业互联网
工业互联网的概念在国内早已存在,在近几年开始受到政策的推动。按照定义:“工业互联网是指全球工业系统与高级计算、分析、感应技术以及互联网连接融合的结果。它通过智能机器 间的连接并最终将人机连接,结合软件和大数据分析,重构全球工业、激发生产力,让世界更美好、更快速、更安全、更清洁且更经济。”
2015 年,我国发布《国务院关于积极推进“互联网 +”行动的指导意见》,提出推动互联网与制造业融合,提升制造业数字化、网络化、智能化水平,加强产业链协作,发展基于互联网的协同制造新模式。2018年7月,工业和信息化部印发了《工业互联网平台建设及推广指南》和《工业互联网平台评价方法》,则进一步加快了国内工业互联网建设。但是,工业互联网在稳步发展的同时,也逐渐凸显出大量安全问题。
工业互联网面临的几大安全痛点
工业网络自身安全性低,易于从企业内网系统渗透
2018 年 5 月份,Positive Technologies 发布的《2018 工业企业攻击向量报告》显示,73%的企业网络没有做好安全防护,容易遭受来自外部的黑客攻击。而在大量针对工业系统的攻击中,黑客正是利用企业网络(办公网络)作为跳板,进入工业系统的控制层并实施进一步入侵。企业员工所使用的企业信息系统(Corporate Information Systems,CIS)成为黑客攻击的一个重要突破口,因为这些CIS系统普遍存在安全漏洞。
其中,外部攻击者可用的管理接口(SSH、TELNET、RDP)、特权用户的字典密码、外部攻击者可用的 DBMS 连接接口、易受攻击的软件版本、不安全协议的使用、任意文件上传、SNMP 社区字符串配置、远程代码执行、用户和软件权限过大以及在明文或公众中存储敏感数据都是导致工业企业容易遭遇入侵的原因。研究表明,43%的工业企业信息系统边界的 Web 应用程序安全级别都很差。
此外,调查结果显示,82% 的案例都显示内部攻击者已经存在于企业的信息系统中,可以轻易入侵工业网络。而自 2018 年以来,我国工业安全中心也已经发现装备制造、交通、能源、智能楼宇等重要工业领域的数百个漏洞。
大多数攻击易于部署,攻击难度低
调查报告显示,67% 的攻击向量难度都比较低;且大多攻击向量只需利用设备和网络中现存的配置漏洞或系统漏洞就可以部署。而各类黑客大会、开源社区乃至地下论坛等大量涌现,让工控系统软硬件设备的漏洞及利用方式都能轻易获取,大量工控设备的弱口令信息及工控系统的扫描、探测、渗透方法都公之于众。
人为因素
大多数可以通过企业信息系统进入工业网络的企业网络配置或流量提取都存在漏洞。64% 的案例都显示漏洞是由管理员创建远程管理机制时造成的;甚至还有 18% 的企业根本没有将工控组件完全物理隔离。也就是说,大多数工业互联网企业的员工网络安全意识依然不强。在台积电“中毒”事件中,也是由于工作人员新加入一台电脑设备却没有提前杀毒直接联网,导致病毒传播,造成后续一系列的停摆。
事实上,工业互联网中负责管理网络安全的人员大多是自动化工程师和生产工程师。由于时间精力有限,他们往往只会更关注保持系统运行,而不会把安全问题放在首位。
词典密码和老旧软件影响
大多数工业企业所使用的密码都是词典密码,很容易查询。此外,许多工业协议、设备、系统在设计之初并没有考虑到在复杂网络环境中的安全性,而且这些系统的生命周期长、升级维护少,结果就是大量工业企业所使用的软件变成了老旧软件,存在很多已知的漏洞且难以修复。带病运行”的设备和系统很容易被入侵。而攻击者正是利用这些漏洞实施攻击,获取大量特权并接管整个企业基础设施。
工业互联网数据安全刻不容缓
在大数据的环境下,数据也当仁不让成为工业互联网的核心,工业互联网连接了人与机器、机器与机器、机器与产品,将汇聚大量的数据,通过数据分析和学习,用于提高生产效率、服务质量,争抢企业的竞争力。因此,在工业互联网飞速发展的当下,一旦出现数据泄露等数据相关的安全问题,也将为企业带来致命性打击。
此外,企业的工业资产不清、工业网络连接混乱、移动介质疏于管理等都是目前工业互联网所面临的主要安全问题。
工业互联网中常见的攻击模式
调查显示:配置错误;源代码漏洞以及常见高危漏洞都容易导致工业互联网安全事件。攻击者可以通过企业局域网或者被入侵的工业流程渗透进工业网络,典型的攻击分为三个阶段:
1. 使用网络插口、Wi-Fi 访客联网或其他联网攻击获取企业信息系统主机上的操作系统权限;一旦获取权限,攻击者就会提升服务器或员工工作站的本地权限,并搜集网络拓扑、设备以及软件的相关信息;
2. 获取企业信息系统上一台或多台主机的最大权限后,进一步利用软件、操作系统、web应用、网络配件、用户认证等流程的漏洞,获取更多端点的控制权;
3. 获得对关键系统的访问权并攻击工业网络
在这三个关键阶段中,可以攻击者使用各种攻击方法,不论是漏洞利用还是社工,都无所不用其极。同时,他们还会尽量隐身,潜伏多年并找准时机实现致命一击。很多工业互联网的攻击事件都属于 APT 攻击,著名的“震网”事件是最典型的例子。不论是直接破坏关键设备的显性攻击还是长期潜伏篡改生产工艺、破坏产品质量的隐性攻击,都会对企业和国家造成严重影响。
工业互联网安全成为国家战略
与民用互联网不同的是,工业互联网牵涉到国家安全、人身财产安全,这就要求机器之间工业通信也应当更安全,而且更应当自主可控。目前,汽车生产、智能制造、电子加工等领域安全问题频发,上至管理部门下至普通民众终于开始关注到工业互联网安全。
在今年的 ISC 大会上,工信部副部长陈肇雄,中央网信办总工程师赵泽良,公安部网络安全保卫局总工程师郭启全,国家密码管理局商密管理办公室主任张平武,中国互联网协会理事长邬贺铨院士等都提到了工业互联网安全问题。他们都强调“要加强网络基础设施防护”,并使用区块链、人工智能等新的安全防护技术保护工业互联网安全。目前,中央网信办和公安部已经牵头制定关键信息基础设施保护条例,工业互联网领域的基础设施及网络安全将得到来自法律层面的保护。
在工业互联网、“中国制造2025”、“工业4.0”等政策驱动下,工业企业中的信息技术(IT)和操作技术(OT)一体化已成为必然趋势。研究显示,全球工控安全市场将从 2018 年的 132 亿美元增长到 2023 年的 180.5 亿美元,综合年增长率将达到 6.5%。
对于企业而言,在政策的指导下也应当发挥自主精神,从上至下贯彻实施。同时,要注意关注顶层设计,关注核心的数据安全。具体可以从以下几点入手,提升安全防护等级:
1. 及时发现、识别并梳理资产,确认资产类型数量位置信息,并梳理清楚资产之间的连接、网络拓扑以及数据的传输;
2. 全方位全流量监控,结合威胁情报及被动式感知等手段,获取工业互联网的运行情况、实时监测流量、及时识别威胁,并通过流量分析溯源;
3. 部署好应急响应措施;一旦出现感染,通过技术手段确认威胁感染面,尽早隔离防止扩散;这一步主要可以通过网络分区以及部署具备入侵检测能力和分析能力的网关设备,识别并防御风险;此外,对于主机的安全问题,可以通过分批升级打补丁或其他主机防护软件保障安全;在其他终端也部署相应的安全产品;
4. 妥善保管数据,除了 OT 层面的安全部署,也不能忽视网络端即 IT 的安全保护措施,从普通的信息安全架度来部署防护措施,避免攻击者从内网层面渗透到工业网络层面;
5. 建立安全运营体系,合理分配职责,定期进行工作人员安全意识培训,完善事前检测、事中响应和事后分析流程,形成安全运营闭环。
参考来源:
https://www.ptsecurity.com/upload/corporate/ww-en/analytics/ICS-attacks-2018-eng.pdf
https://www.secrss.com/articles/4951
http://www.xinhuanet.com/politics/2018-07/25/c_1123172389.htm?baike
*本文作者:AdlerI,转载请注明来自 FreeBuf.COM