工业网络安全的当前问题

在过去的一年里，勒索软件攻击迅速增加，这对制造和生产环境中的工程师来说是一个令人不安的消息。正如你所想象的，勒索软件是一种恶意软件，犯罪分子使用它来阻止对计算机系统的访问，直到他们的要求得到满足。

执行勒索软件攻击本身并不需要编程技能，因为今天在互联网的一些阴暗角落随时可以获得实施此类攻击的工具包，或者免费，或者收取少量费用。

根据SonicWall最近发布的2017年年度威胁报告，勒索软件威胁的数量呈指数级增长，从2015年的近400万次攻击增加到2016年的6.38亿次，同比增长超过167倍。该报告称:“2016年勒索软件的迅速崛起与我们近年来看到的任何情况都不同。”

想要证据证明威胁是真的吗?根据博思艾伦·汉密尔顿工业网络安全威胁简报，在2015年和2016年，尽管许多入侵没有报告，但已知至少发生了15起重大工业事件。它们包括以下内容:

• 2016年4月，网络犯罪分子通过网络钓鱼向总部位于密歇根州的公共电力和水务公司BWL的公司网络发送了勒索软件。管理员关闭了公司网络，以隔离勒索软件，防止它潜在地进入操作技术环境。
• 2015年12月，一个据称由俄罗斯支持的组织通过鱼叉式网络钓鱼获取有效的网络证书，对乌克兰三家电力分销商的监控和数据采集(SCADA)系统进行了远程访问。攻击者利用系统地打开断路器，造成22.5万名客户停电。
• 2015年6月，一名网络犯罪分子在一个专门出售被盗数据的暗网论坛上发布了出售SCADA访问凭证的广告。这篇文章包括SCADA图形用户界面的截图，IP地址，以及管理水力发电机的SCADA系统的虚拟网络计算密码。

举手答题

为了更好地了解这种威胁，佐治亚理工学院(Georgia Institute of Technology)的网络安全研究人员最近开发了一种勒索软件，能够控制一个模拟水处理厂，据佐治亚理工学院研究视野(Georgia Tech Research Horizons)的新闻稿称。在获得访问权限后，研究人员命令可编程逻辑控制器(plc)关闭阀门，增加水中的氯含量，并显示错误的读数。

研究人员表示，模拟攻击突出了制造业和生产工厂中工业控制系统(ICS)的漏洞。据信，这是勒索软件对真正的plc进行攻击的第一次演示，该研究于今年2月在旧金山举行的RSA会议上发表。

根据SonicWall，勒索软件攻击通常通过网络钓鱼活动进行，并使用安全套接字层/传输层安全(SSL/TLS)加密来隐藏。网络钓鱼是在电子通信中伪装成可信实体，恶意获取信息或访问权限的行为。TLS和SSL都是用于通信安全的加密协议。

SonicWall表示，以上述工具包形式出现的勒索软件即服务(ransomware-as-a-service)的兴起，使网络犯罪分子比以往任何时候都更容易访问和部署勒索软件。企业正在努力保护自己，并对新出现的网络威胁所带来的困境做出回应。

SonicWall表示，到2016年第一季度末，公司已经支付了2.09亿美元的赎金，到2016年年中，几乎一半的公司报告在过去12个月里遭到了勒索软件攻击。

去年，各种规模的公司都遭受了勒索软件的攻击，SonicWall说，尽管许多公司从未公开过。但有记录的是，他们获得了价值超过2万美元的比特币赎金。整个袭击后的清理工作，包括响应、稳定和恢复，很容易就会花费数百万美元。

一个简短的演示

许多集成电路系统缺乏强大的安全协议。乔治亚理工学院的研究人员表示，因此，关键工业系统遭到破坏并被勒索赎金只是时间问题，因为攻击者下一步要做的就是破坏这些系统中的plc。

为了进行演示，摩托罗拉基金会教授、电气与计算机工程学院副主席拉希姆·贝亚(Raheem Beyah)和该校的博士生戴维·福姆比(David Formby)必须找到1400台可直接通过互联网访问的单一类型的plc。

首先，研究人员确定了工业设施中常用的几种plc。他们获得了三种不同的设备，并测试了它们的安全设置，包括密码保护和对设置更改的敏感性。然后将这些设备与泵、管道和水箱结合起来，形成一个模拟的水处理设施。

大多数plc都隐藏在业务系统后面，在一定程度上保护它们，直到业务网络受到损害。研究人员说，一旦攻击者进入一个商业系统，控制系统可能不会被适当地隔离。太多的企业都是这样，网络上的任何人都有权对控制系统进行更改。薄弱的密码和安全策略可能会让入侵者控制泵、阀门和ICS的其他关键组件。

事实上，控制系统从未打算连接到互联网，而今天却连接到互联网，而用户坚持认为这些系统不在公共网络上，不会受到攻击。研究人员指出，ICS通常具有操作员不知道的连接，包括维护、故障排除和更新。

合理的建议

博思艾伦的简报证实，鱼叉式网络钓鱼是主要的攻击方式。报告称，它是“(2016年)最大的ICS攻击行动之一——秘密狼行动(Operation secret Wolf)的初始攻击载体，以及(2015年)披露的两起最具破坏性的攻击——对德国钢铁厂和乌克兰电力分销商的攻击。”

虽然目前还没有针对国际通信系统的勒索软件攻击的报道，但十多年来，漏洞一直是一个众所周知的事实。今天的不同之处在于，数字货币比特币的可用性使犯罪分子能够从攻击中获得经济利益。佐治亚理工学院的研究人员认为，随着企业和其他类型的勒索软件目标变得越来越难以渗透，攻击者可能会把ICS作为更容易攻击的目标。

他们说，除了提高密码安全性和限制连接外，运营商还应该安装入侵监控系统，以便在攻击者进入过程控制网络时发出警报。

博思艾伦根据美国国土安全部(Department of Homeland Security)的一项研究得出的结论证实，通过企业网络侵入控制网络的情况也在增加。虽然企业入侵仍然很低，仅占2015年报告事件的12%，但在此期间，试图通过企业网络入侵的数量增加了33%。2015年，ICS运营商报告的事故总数上升了20%。

博思艾伦表示，对控制系统的攻击可能会导致“切实的影响”，因此他们会选择攻击目标。当企业受到攻击时，勒索软件对ICS的攻击可能会破坏运营或阻止对资产的访问，而不是简单地加密文件。

博思艾伦表示，将勒索软件整合到攻击工具包中，有利于实现一次构建，多次感染的有利可图的方法。它导致了一支名副其实的攻击大军，确保了巨大的感染率。据《福布斯》杂志报道，2016年2月，一些变种的感染估计每天有9万台机器。事实上，根据Cryptothreat Alliance的数据，2015年1月至10月期间，仅Cryptowall 3.0版本就创造了约3.25亿美元的收入。

博思艾伦指出，当ICS通常是无法从备份中恢复的旧系统时，问题只会变得更加复杂。获取系统软件和配置设置的干净版本也可能很困难。进入系统本身可能很困难，而且可能缺乏训练有素的恢复人员。

“ICS网络中勒索软件感染的频率和严重程度可能会增加。”

政府的帮助

2016年4月，美国商务部国家标准与技术研究所发布了一份针对制造业的NIST网络安全框架草案。该研究所表示，该配置文件为制造商提供了一种简单的方法，表明他们为保护制造系统资源和操作数据而采取的控制类型。它允许评估他们在可接受的风险水平上操作控制环境的能力。此外，该框架概述了一种标准化的方法来准备验证系统安全性的网络安全计划。

该概要文件围绕NIST网络安全框架的主要功能区域构建，并列举了基本的网络安全功能和活动。五个主要功能领域是:识别、保护、检测、响应和恢复。在主要功能区域中有98个不同的安全目标。总共有近100个目标，包括一个起点，用于制定特定于制造商或特定于部门的概况，认识到低、中、高风险水平。除了对NIST网络安全框架中的功能和类别进行优先级排序外，使用该配置文件还可以帮助确定可以实现的相关安全实践的子集，以支持企业目标。

最后的话

今年2月，IBM、诺基亚、帕洛阿尔托网络、赛门铁克和Trustonic组成了物联网网络安全联盟。两家公司表示，他们将共同努力，帮助找到应对顶级物联网安全挑战的解决方案，同时提高人们对如何更好地保护物联网生态系统的认识。在去年的一项调查中，AT&T报告称，在物联网设备中寻找漏洞的攻击者增加了3198%。大约58%的受访者表示，他们对自己设备的安全性感到不放心。

“物联网设备数量的爆炸性增长预计只会持续下去;因此，相关的网络安全保护也必须如此，”AT&T高级解决方案高级副总裁Mo Katibeh说。今天的企业正在连接各种设备，从工厂车间的机器人到心脏起搏器和冰箱。帮助这些组织保持安全需要整个物联网生态系统的创新，以实现可持续增长。”

联盟成员表示，端点、网络、云和应用层的保护与良好的物联网安全有关。他们还相信使用威胁分析和设计具有内置和“永远在线”安全性的产品。他们计划向消费者提供建议，并向制造商和开发人员提供创建更安全、更可靠的物联网生态系统所需的知识。

这一切都是说，勒索软件和其他类型的网络恐怖主义的危险和威胁已经引起了技术领导者的注意。如果不解决这一威胁，将危及他们的客户群、技术基础设施和未来的梦想。

然而，无论针对ICS的威胁解决得多么好，在任何时候都不可能减轻所有可能的风险，无论是由于财务、技术还是政治限制。在考虑一种方法时，专家们建议采取渐进的方法，专注于高影响、低成本的初始步骤，消除迫在眉睫的风险，同时考虑长期战略。

2016工业网络安全开发者总结

SonicWall最近发布的2017年度威胁报告中提到的其他当前和值得注意的网络威胁发展包括:

• 设计糟糕的物联网设备正在被大规模分布式拒绝服务攻击所利用。
• 安全套接字层/传输层安全(SSL/TLS)加密的恶意软件为网络犯罪分子提供了一个未经检查的后门。与此同时，SSL/ tls加密的流量增长了34%，这在一定程度上是对云应用日益普及的响应。
• 安卓设备的安全保护得到了加强，但仍然容易受到覆盖攻击。

另一方面，经常看到的漏洞工具包Angler、Nuclear和Neutrino在2016年年中消失了。此外，2016年收集到的独特恶意软件样本数量从2015年的6300万下降到6000万，下降了6.25%。总攻击次数多年来首次下降，从2015年的81.9亿次降至2016年的78.7亿次。

凯文·帕克是CFE Media的高级内容经理，kparker@cfemedia.com．

欲知详情，请点击以下相关链接:

https://www.rh.gatech.edu/news/587359/simulated-ransomware-attack-shows-vulnerability-industrial-controls

https://www.sonicwall.com/whitepaper/2017-sonicwall-annual-threat-report8121810/

https://www.boozallen.com/insights/2016/06/industrial-cybersecurity-threat-briefing/

https://csrc.nist.gov/cyberframework/documents/Manufacturing-Profile-DRAFT.pdf

您是否具有本内容中提到的主题的经验和专业知识?您应该考虑为我们的CFE媒体编辑团队做出贡献，并获得您和您的公司应得的认可。点击在这里开始这个过程。