网站首页|在线留言|联系我们

产品分类
您现在的位置:首页 > 新闻中心 > “永恒之蓝”勒索病毒悄然爆发,回顾世界两大工业系统入侵事件!
“永恒之蓝”勒索病毒悄然爆发,回顾世界两大工业系统入侵事件!
  • 发布日期:2017-05-19      浏览次数:3748

      • 本期导读:

      伊朗*尔核电站开车之际为何1/5的离心机报废?

      乌克兰西部伊万诺-弗兰科夫斯克地区为何突然30座变电站下线,使得超过23万名居民陷入无电可用的困境?

      你的工控系统是在“裸奔”吗?拿什么手段防御入侵?

      引言

      5月12日,一个名为WNCRYPT“永恒之蓝”的勒索病毒悄然爆发,并在短短时间内迅速感染了超过150个国家和地区的计算机系统,此次在范围内爆发的WNCRYPT“永恒之蓝”勒索病毒事件不仅感染了医疗系统、快递公司、学校、银行、jingcha局等,还感染了很多大型石油石化公司。

      随着信息化的推动和工业化进程的加速,计算机和网络技术越来越多地应用于工业控制系统,为工业生成带来极大推动的同时,也带来了工业控制系统(简称工控系统)安全性的问题。据机构统计,截至2017年底,发生了1000余起针对工控系统的攻击事件。工控系统是现代工业基础设施的核心,包括过程控制、数据采集系统、分布式控制系统、程序逻辑控制以及其他控制系统等,广泛应用于核设施、钢铁、有色、化工、石油石化、电力、天然气、先进制造、水利枢纽、环境保护、铁路、城市轨道交通、民航、城市供水供气供热以及其他与国计民生紧密相关的领域,是国家关键基础设施的重要组成部分。而工业控制系统的安全,更关系到国家的战略安全。

      如何保证工业控制系统的安全,已引起国家相关部门的高度重视,企业应充分认识工业控制系统信息安全的重要性和紧迫性,切实加强工业控制系统信息安全管理,以保障工业生产运行安全、国家经济安全和人民生命财产安全。

       

      世界两大工业控制系统(ICS)事件回顾!

      事件一:世界ICS入侵*事件伊朗“震网”病毒事件

      2011年2月,伊朗突然宣布暂时卸载首座核电站——*尔核电站的核燃料,西方国家也悄悄对伊朗核计划进展预测进行了重大修改。但就在几个月前,美国和以色列还在警告,伊朗只需一年就能拥有快速制造hewuqi的能力。为什么会突然出现如此重大变化?因为*尔核电站遭到“震网”病毒攻击,1/5的离心机报废。自2010年8月该核电站启用后就发生连串故障,伊朗政府表面声称是天热所致,但真正原因却是核电站遭病毒攻击。一种名为“震网”(Stuxnet)的蠕虫病毒,侵入了伊朗工厂企业甚至进入西门子为核电站设计的工业控制软件,并可夺取对一系列核心生产设备尤其是核电设备的关键控制权。

      “震网”包含复杂的恶意代码,是一种典型的计算机病毒,能自我复制,并将副本通过网络传输,任何一台个人电脑只要和染毒电脑相连,自动传播给其他与之相连的电脑,Z后造成大量网络流量的连锁效应,导致整个网络系统瘫痪。“震网”主要通过U盘和局域网进行传播,是*个利用Windows“零日漏洞”,专门针对工业控制系统发动攻击的恶意软件,能够攻击石油运输管道、发电厂、大型通信设施、机场等多种工业和民用基础设施,被称为“网络daodan”。

      “震网”无须通过互联网便可传播,只要目标计算机使用微软系统,“震网”便会伪装RealTek与JMicron两大公司的数字签名,顺利绕过安全检测,自动找寻及攻击工业控制系统软件,以控制设施冷却系统或涡轮机运作,甚至让设备失控自毁,而工作人员却毫不知情。由此,“震网”成为*个专门攻击物理世界基础设施的蠕虫病毒。可以说,“震网”也是有史以来Z的蠕虫病毒,是*超级网络武器

      事件二:乌克兰电网攻击事件

      2015年12月23号下午3:30,乌克兰西部伊万诺-弗兰科夫斯克地区的居民们结束了一天的工作,陆续走向通往温暖家中的寒冷街道。而在负责当地电力供应的Prykarpattyaoblenergo控制中心,运维人员也即将完成自己的当次轮班。但就在这一切顺利推进的同时,平静被打破了,一 位当值人员在整理桌上文件时,突然发现自己的计算机屏幕上的光标开始四处游移。

       

      他看到光标指向负责当地变电站断路器的导航按钮,点击对话框并选择断开断路器——这项操作将使得整座变电站全面下线。接下来,屏幕上出现了确认窗口以复核上述操作,这位运维人员目瞪口呆地看着光标移动到框体之内并点击了确定。这时他已经可以肯定,城外的某处区域内数以千计的居民将因此陷入黑暗与寒冷当中。

       

      这位运维人员立刻抓起鼠标,试图夺回对光标的控制权——但他的反应似乎还是慢了一点。光标随后朝着另一个断路器控制按钮移动,而设备亦突然将他从控制面板中登出。虽然他反复尝试重复登录,但攻击者变更了他的密码内容,使其无法顺利完成验证。这时候,他能做的只有无奈地盯着屏幕,眼睁睁地看着设备中的恶意幽灵断开一个又一个断路器,Z终导致约30座变电站下线。然而攻击者并没有就这样停下脚步。此次攻击还影响到另外两座配电中心,这意味着遭遇下线的变电站数量几乎翻了一倍,使得超过23万名居民陷入无电可用的困境。不仅如此,其亦无法从总计三座电力供应中心的两座处获取备用电力,这意味着运维人员自身也被停电引发的黑暗所笼罩。

       

      作为有史以来*得到确认的电力设施攻击行动,此次乌克兰电力中心遇袭案的组织者们并不是碰巧接入其网络并发动功能测试攻击的机会主义者;根据相关广泛调查得出的结论,这群恶意人士拥有高超的技术水平及藏身策略。他们已经拿出几个月时间对攻击细节进行精心策划,包括首先侦察并研究网络条件、获取运维人员登录凭证,而后发动这次严密编排下的同步攻击活动。

      无论如何,此次攻击成功影响到了乌克兰的发电设施,并给各国的诸多配电中心带来值得借鉴的重要启示,无论停电事故的真正意图是什么,这都是有史以来*次针对电力网络开展的攻击行为。

      当运维人员当时可能根本不知道屏幕上四处乱动的光标究竟意味着什么,但如今*的运维人员都得到了一项明确的警告——目前这种攻击持续时间不长且危害并不严重,但下一次可就不一定了。

      你的工控系统不是在“裸奔”,作为仪表人你拿什么阻挡?

      什么是工业控制系统

      工业控制系统(ICS)是由各种自动化控制组件以及对实时数据进行采集、监测的过程控制组件,共同构成的确保工业基础设施自动化运行、过程控制与监控的业务流程管控系统。其核心组件包括SCADA、DCS、PLC、RTU、IED以及接口技术等。

      目前ICS主要面临以下风险

      ICS风险的主要根源

      • 漏洞隐蔽性和严重性;

      • 采用的硬件、软件和通信协议。

      • 安全重视不够、连接无序、数据保护和应急管理不足;设计上考虑到封闭性、主要以传统安全为主。

      • 默认配置、连接、组网、采购升级无序;主要基于工业应用的场景和执行效率。

      工控平台的脆弱性

      • 平台本身的安全漏洞问题;

      • 杀毒软件安装及升级更新问题;

      • 大量默认配置和默认口令;

      • 平台和通用平台漏洞。

      工控网络的脆弱性

      TCP/IP等通用协议与开发标准引入工业控制系统,特别是物联网、云计算、移动互联网等新兴技术,使得理论上的物理隔离网络正因为需求和业务模式的改变而不再切实可行。传统的威胁同样会在工业网络中重现。

      • 边界安全策略缺失;

      • 系统安全防御机制缺失;

      • 管理制度缺失或不完善;

      • 网络配置规范缺失;

      • 监控与应急响应机制缺失;

      • 网络通信(无线接入+拨号网络)保障机制缺失;

      • 基础设施可用性保障机制缺失。

      安全管理、标准和人才的脆弱性

      缺乏完整有效安全管理、标准和资金投入是当前我国工业控制系统的难题之一。其次,过多的强调网络边界的防护、内部环境的封闭,让内部安全管理变得混乱。另外,既了解工控系统原理和业务操作又懂信息安全的人才少之又少,为混乱的工控安全管理埋下了伏笔。Z后,内网审计、监控、准入、认证、终端管理等缺失也是造成工控系统安全威胁的重要原因。如:使用U盘、光盘导致的病毒传播、笔记本电脑的随意接入与拨号、ICS缺少监控和审计等问题。

       

      工业控制系统信息安全规范

      2016年12月27日,国家互联网信息办公室发布《国家网络空间安全战略》

      2016年10月17日,工业和信息化部发布《工业控制系统信息安全防护指南》

      2016年10月13日,《GB/T 33009 工业自动化仪表和控制系统网络安全 集散控制系统(DCS)》发布

      美国《工业控制系统安全指南》也对ICS系统安全防护作出了指导意见。

       

      如何做好工控安全防护工作

       

      一、安全软件选择与管理

      (一)在工业主机上采用经过离线环境中充分验证测试的防病毒软件或应用程序白名单软件,只允许经过工业企业自身授权和安全评估的软件运行。

      (二)建立防病毒和恶意软件入侵管理机制,对工业控制系统及临时接入的设备采取病毒查杀等安全预防措施。

       

      二、配置和补丁管理

      (一)做好工业控制网络、工业主机和工业控制设备的安全配置,建立工业控制系统配置清单,定期进行配置审计。

      (二)对重大配置变更制定变更计划并进行影响分析,配置变更实施前进行严格安全测试。

      (三)密切关注重大工控安全漏洞及其补丁发布,及时采取补丁升级措施。在补丁安装前,需对补丁进行严格的安全评估和测试验证。

       

      三、 边界安全防护

      (一)分离工业控制系统的开发、测试和生产环境。

      (二)通过工业控制网络边界防护设备对工业控制网络与企业网或互联网之间的边界进行安全防护,禁止没有防护的工业控制网络与互联网连接。

      (三)通过工业防火墙、网闸等防护设备对工业控制网络安全区域之间进行逻辑隔离安全防护。

       

      四、物理和环境安全防护

      (一)对重要工程师站、数据库、服务器等核心工业控制软硬件所在区域采取访问控制、视频监控、专人值守等物理安全防护措施。

      (二)拆除或封闭工业主机上不必要的USB、光驱、无线等接口。若确需使用,通过主机外设安全管理技术手段实施严格访问控制。

       

      五、身份认证

      (一)在工业主机登录、应用服务资源访问、工业云平台访问等过程中使用身份认证管理。对于关键设备、系统和平台的访问采用多因素认证。

      (二)合理分类设置账户权限,以Z小特权原则分配账户权限。

      (三)强化工业控制设备、SCADA软件、工业通信设备等的登录账户及密码,避免使用默认口令或弱口令,定期更新口令。

      (四)加强对身份认证证书信息保护力度,禁止在不同系统和网络环境下共享。

       

      六、远程访问安全

      (一)原则上严格禁止工业控制系统面向互联网开通HTTP、FTP、net等高风险通用网络服务。

      (二)确需远程访问的,采用数据单向访问控制等策略进行安全加固,对访问时限进行控制,并采用加标锁定策略。

      (三)确需远程维护的,采用虚拟网络(VPN)等远程接入方式进行。

      (四)保留工业控制系统的相关访问日志,并对操作过程进行安全审计。

       

      七、安全监测和应急预案演练

      (一)在工业控制网络部署网络安全监测设备,及时发现、报告并处理网络攻击或异常行为。

      (二)在重要工业控制设备前端部署具备工业协议深度包检测功能的防护设备,限制违法操作。

      (三)制定工控安全事件应急响应预案,当遭受安全威胁导致工业控制系统出现异常或故障时,应立即采取紧急防护措施,防止事态扩大,并逐级报送直至属地省级工业和信息化主管部门,同时注意保护现场,以便进行调查取证。

      (四)定期对工业控制系统的应急响应预案进行演练,必要时对应急响应预案进行修

      订。

       

      八、资产安全

      (一)建设工业控制系统资产清单,明确资产责任人,以及资产使用及处置规则。

      (二)对关键主机设备、网络设备、控制组件等进行冗余配置。

       

      九、数据安全

      (一)对静态存储和动态传输过程中的重要工业数据进行保护,根据风险评估结果对数据信息进行分级分类管理。

      (二)定期备份关键业务数据。

      (三)对测试数据进行保护。

       

      十、供应链管理

      (一)在选择工业控制系统规划、设计、建设、运维或评估等服务商时,优先考虑具备工控安全防护经验的企事业单位,以合同等方式明确服务商应承担的信息安全责任和义务。

      (二)以保密协议的方式要求服务商做好保密工作,防范敏感信息外泄。

       

      十一、落实责任

      通过建立工控安全管理机制、成立信息安全协调小组等方式,明确工控安全管理责任人,落实工控安全责任制,部署工控安全防护措施。

       

      结束语

      工控系统安全是关系国计民生的重大战略问题,在当前新形势下,如何对工控系统进行防护,防止来自内部、外部的安全威胁和恶意攻击,是信息安全领域面临的重大挑战,我们仪表人首先要解决好安全认识问题,这一点是工控安全的难点和重点问题,其次在夯实网络安全基础方面,“做好等级保护、风险评估、漏洞发现等基础性工作,完善网络安全监测预警和网络安全重大事件应急处置机制”。