黑客攻击从其目的性可以分为炫技、破坏、金钱利益、军事目的、组织或国家行为等类别,对于以个人利益为主的大多数黑帽子而言,窃取关键数据、以及通过黑客行为获取经济利益是其网络攻击的主要目的。
因工控网络的封闭性,传统的木马、后门程序无法完成敏感数据的回传,同时工业数据除关键的工艺流程外对数据的保密性无严格要求,因此攻击者需要从传统的网络攻击中转变思路,思考如何将工控环境下的黑客行为变为数量可观的经济收益,本次Wannacry勒索软件事件则可能为工控场景下的黑客行为带来些许启示。
截止2017年5月17日,全球150多个国家和地区,超过30万台设备受到Wannacry勒索软件感染和影响,攻击者已获得价值72624.61美元的比特币。全球范围内约304万个IP地址遭受攻击,我国境内的IP地址数量约为9.4万个,其中发起Wannacry攻击(可能已被感染)的我国境内IP数量为2.6万个。随着攻击的持续发展,Wannacry已成功渗入到我国石油、化工、汽车制造等工业领域,感染勒索软件的工程师站、操作站、上位机系统无法正常运行,严重影响了工控系统的可用性和连续性。我们可以设想,Wannacry等勒索软件在普通Windows主机锁定、数据加密的基础上,加入针对PLC等控制器的锁定、加密模块,不对关键控制设备造成物理破坏,从而使受害者被迫支付赎金,实现生产活动的快速恢复。
2016年7月,卡巴斯基安全情报组公布了一份针对漏洞和不安全协议的报告,工业控制网络存在大量已知漏洞,且漏洞长期处于无修补状态。由于操作习惯、工业协议以及软件供应商等原因,工业控制系统中大量采用Windows主机进行数据采集与流程控制。由于控制网络的封闭性以及供应商组态软件的低兼容性,造成工业场景内Windows主机含有大量的已知漏洞,且多为拒绝服务、远程代码执行、缓冲区溢出等高危漏洞,也为勒索软件在工控网络的传播、感染提供了技术基础。
相信在不远的未来,针对工业场景的勒索软件将会出现在人们的视野中,单纯的工控网络隔离已无法有效对抗当下的黑客活动,工控安全应在网络隔离的基础上对关键设备、功能区域、系统网络进行综合防护。以工业防火墙、工业网闸、工控安全审计与监测平台、工控安全监控管理平台等为基础,构建工控安全技术体系和管理体系,同时向供应链方向进行安全扩展(如选择采用自主安全操作系统的安全产品),降低工控网络脆弱点,防止网络攻击、恶意软件从产品、设备供应商以及运行维护者层面进入工控网络,形成了一套全面的安全防护体系,整体提高工业企业的工控网络安全保障能力。
英赛克科技(北京)有限公司创始于2015年6月,是一家专业从事工业协议深度分析和工控网络安全攻防研究的创新型高科技企业。公司秉承技术创新理念,拥有INS-T3工业防火墙、INS-T5可信协议转换器、INS-T9工业网闸、INS-A4工控安全审计监测平台、INS-S2工控安全管控平台、工控安全攻防演练平台等多个系列的产品以及工控安全服务,为电力、石油、石化、水利、冶金、轨道交通、以及市政等行业客户提供完全自主知识产权的工业控制系统网络安全整体解决方案。