电网面临网络安全威胁

在没有人会感到意外的情况下，美国和欧洲的能源公司遭受了一系列攻击，导致坏人获得了电网运营的权限，以至于他们可以打开电力开关。

赛门铁克(Symantec)发布的一份报告显示，一个被称为蜻蜓2.0的组织发起了攻击，称该组织自2015年以来攻击了数十家能源公司。

赛门铁克表示，在20多起攻击中，攻击者进入了目标公司的网络。在美国电力公司和至少一家土耳其公司，他们的法医分析发现，黑客获得了他们所谓的操作权限。这将意味着控制电力公司工程师用来向断路器等设备发送实际命令的接口，使他们有能力阻止电力流入美国家庭和企业。

除了针对电力公司的攻击，乌克兰还在2015年12月和2016年12月分别遭受了攻击，导致超过25万居民停电。

Claroty的帕特里克·麦克布莱德(Patrick McBride)说:“如果以前还不清楚，那么现在就应该清楚了，不管攻击是谁发动的，他都有真正的意图获得立足点，并了解这些网络。”“你不需要用水晶球来理解动机。他们正在尽可能多地学习，以便将来能有所作为。什么时候会发生，还有很多猜测。”

aeSolutions工业网络安全主管约翰·库西马诺(John Cusimano)表示:“蜻蜓攻击再次出现令人担忧，它是在运行计算机上发现的，恶意软件的目的是获取能源和工业控制系统(ICS)系统的访问权限。”

找到方法

对于所有这些类型的攻击，总是需要有进入控制系统网络的方法。

“任何来自第三方或公司自己的业务网络的远程连接都是攻击皇冠宝石(实际控制事物的网络和系统)的潜在发射点。Berkana Resources首席信息安全官格雷厄姆•斯皮克(Graham Speake)表示:“大多数(但肯定不是所有)公司至少在一定程度上隔离了控制和业务网络，并对远程访问进行了一定程度的控制。”“这些障碍的复杂程度，以及控制访问权授予、撤销和审查的流程和政策，将决定远程对手利用这些障碍的可能性有多大。理想情况是不允许所有远程访问，只从控制系统网络中推出数据，最好是通过数据二极管类型的设备，但这并不总是可行的。在需要远程访问的地方，确实需要严格控制和监控，以确保只允许有效的流量和用户通过。市场上也有一些异常检测工具，它们也可以很好地发现控制系统网络中的恶意流量模式。虽然这是一句古老的格言，但纵深防御是一种很好的方式，但不要只是设置防御，还要积极地监控它们。”

很明显，攻击者不仅擅长进入系统，他们也非常了解控制系统。

“肯定有知道控制系统的对手。假设这是俄罗斯演员负责沙虫的东西和乌克兰的攻击，是的，他们知道控制系统，”麦克布莱德说。“这些人不仅知道如何进入系统，一旦他们进入系统，他们就真的知道如何让事情发生。进入网络是微不足道的。一旦你参与其中，为了得到你真正想要的结果，你真的需要了解控制系统。这个对手知道怎么做，有工具，有贸易技巧。”

在这些日子里，攻击者会通过暴力或秘密的方式进入，实用程序(以及一般用户)需要知道他们的系统上运行着什么。

ICS面临的挑战

“挑战在于能源部门ICS系统的安装基础庞大、复杂且没有良好的记录。发现ICS系统由跨越30或40年的设备和网络组成并不罕见，这些设备和网络在过去几十年里不断扩展、发展，坦率地说，它们已经‘拼凑’在一起了，”Cusimano说。“正因为如此，许多组织都没有意识到其ICS系统深处的安全漏洞。找到它们的唯一方法是执行深入的漏洞评估，绘制出实际的ICS网络和数据流，并评估ICS端点和网络设备的配置。

“在过去几年中出现了多种软件工具，以帮助最终用户理解和管理他们的ICS系统。这些工具可能非常有用，但最终用户需要意识到，没有任何工具可以单独为您工作。需要做出重大努力来确定现有ICS系统中的漏洞和风险的基线。工具可以帮助完成这项工作，但是它们不能完全自动化这项工作。它需要对控制系统、网络、工业协议和工厂操作有深入了解的人，他们还需要有时间真正地“走过网络”，打开每个机柜，跟踪每根未记录的网线，找到另一端是什么。这是一个很大的努力，但结果总是值得的。

“一旦你记录了实际的系统架构、数据流和漏洞，你就可以从运营的角度评估风险，并制定一个路线图来解决高风险项目。然后，只有在那时，您才应该评估能够帮助检测、响应和管理变更的持续监视工具。在评估系统并实施基本ICS安全最佳实践之前投资这些工具，就类似于在围栏上有开口、多个未上锁的门窗和分散在各处的贵重物品的房子上安装复杂的报警系统。你可以这样做，但你需要很多传感器，因为攻击面很大，你会被警报淹没，而警报只会在你被抢劫后才会告诉你。你的时间和金钱最好先花在评估裂缝、修复栅栏、安装外部锁、把贵重物品放进保险箱，然后设计一个报警系统来监控关键的接入点。”

使用有效的方法

关于企业应该如何保护自己的信息并不新鲜，这是一个行之有效的公式。

ICS Secure的安全控制专家埃里克·拜尔斯(Eric Byres)说:“我们不能依赖于躲在障碍物后面，而是必须开始保护我们控制系统的组件。”“蜻蜓、震网和黑能源在ICS网络上都非常明显，但遗憾的是，很少有公司这样做。更可悲的是，如今很少有人真正有办法以一种有意义的方式监控他们的ICS网络流量。提供软件帮助ICS监控的公司出现了淘金热，这是一个好消息。不幸的是，在整个公司范围内部署ICS网络分析软件比看起来要困难得多。

同样重要的是要注意，监测只是解决方案的一半。有效的安全是一个控制循环，在这个循环中，观察结果可以转化为立即的行动。例如，如果您检测到网络上的活动，表明有人正在扫描您设备上的特定漏洞，那么您需要确切地知道哪些设备可能容易受到该漏洞的影响，并有一种方法立即对这些设备进行分类。等待明天的早班来制定补丁策略是不够的，”Byres说。

麦克布莱德就公用事业如何保护自己提出了几点建议:

• 网络市场细分
• 网络监控，检查异常情况
• 了解你的弱点
• 尽可能多地修补
• 在入口和出口设置防火墙
• 教育员工如何使用网络安全方法，比如避免鱼叉式网络钓鱼攻击
• 安全远程访问
• 多因素身份验证。

目标数年

赛门铁克在入侵报告中指出，该公司追踪蜻蜓2.0攻击至少可以追溯到2015年12月，但发现它们在2017年上半年显著增加，特别是在美国、土耳其和瑞士。该公司对这些漏洞的分析发现，它们始于鱼叉式网络钓鱼电子邮件，诱骗受害者打开恶意附件。

PAS网络安全业务部门总经理David Zahn表示:“在关键基础设施中，我们严重依赖传统的安全控制，如系统复杂性和模糊性，以防止攻击者获得对发电、炼油和制造的控制。”

扎恩说:“最终，攻击者的聪明才智、毅力，以及可能的民族国家的支持，都表明这些控制(和其他)是不够的安全保障。”“赤裸裸的事实是，关键基础设施在网络安全方面远远落后于金融服务等其他行业，甚至这些行业也在继续遭受重大攻击。因此，当我们得到攻击者控制电力运行的消息时，这并不令人惊讶。”

格雷戈里·黑尔是《工业安全与保安来源》(ISSSource.com)，这是一个新闻资讯网站，内容涵盖制造业自动化领域的安全及保安事宜。本内容最初出现在ISSSource.com．ISSSource是CFE Media的内容合作伙伴。由CFE媒体制作编辑克里斯·瓦夫拉编辑，cvavra@cfemedia.com．

在线额外

请看下面ISSSource的相关报道。

原始内容可以在www.isssource.com．

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。