制造公司工业自动化系统造18000种恶意软件修改

  [病毒入侵主要是通过企业和工业网络之间的接口，工业网络的互联网接入，以及通过移动电话网络将工业网络上的计算机连接到网络中。它们大多通过垃圾邮件伪装成商业通信的分布式、恶意附件或连接到恶意软件下载]
  
  一家正常运营的炼油厂突然打破以往的平静——计算机屏幕开始强烈地闪烁，光标不受控制并四处游移，电线突然短路，滚滚浓烟中夹杂着大量的火花……炼油厂的设备大面积停止运转，工厂的工人们不知所措地到处观望，系统工程师们则焦头烂额、争分夺秒。
  
  这样的紧急情况源自一群专业黑客的攻击，他们通过恶意代码攻击炼油厂的控制系统，从而干扰甚至控制炼油厂的生产运营。
  
  这一幕发生在KEEN公司和卡巴斯基实验室联合发起的工业控制系统CTF决赛上，来自中国、日本和韩国的选手模拟攻击炼油厂进行安全实战。比赛现场以炼油厂的真实生产为背景，复制了变速离心泵、储罐（油箱）、热交换器和缓冲罐构成的铁管卸料器。
  
  “以炼油厂的真实生产场景作为背景，比赛现场所发生的所有情况在实际关键基础设施和工业系统中也可能发生。”卡巴斯基实验室高级研究员VladimirDashchenko说道。
  
  作为“智慧工厂”的大脑，工业控制系统可谓是企业乃至国家的“安全命门”。但全球频繁爆发针对它的大规模网络攻击，如“震网”病毒造成伊朗上千台离心机报废；乌克兰电网被攻击导致140余万家庭断电；“Petrwrap”勒索病毒影响多个国家的电力、轨道交通、石油等重点领域运行等案例引起了全球安全从业者的关注——工业控制系统一旦遭受攻击，可对现实世界造成直接的、实质性的危害，甚至威胁国家安全和经济社会稳定。
  
  而伴随着物联网和大数据在工业应用中日益普及，这些攻击目标被逐渐放大，安全防护问题也呈几何级数被认知。
  
  愈演愈烈
  
  今年5月12日晚，一款名为WannaCry的蠕虫勒索软件袭击全球网络，这被认为是迄今为止最巨大的勒索交费活动，影响到近百个国家上千家企业及公共组织。
  
  5月13日凌晨开始，中国石油(8.170, 0.04, 0.49%)旗下北京、上海、重庆、成都等多个城市的加油站出现网络瘫痪的情况，导致油卡、支付宝、微信、银联卡等联网支付方式无法使用。为确保用户数据安全和防止病毒扩散，在受到勒索病毒攻击后，中石油紧急中断所有加油站上连网络端口，并会同有关网络安全专家连夜开展处置工作，全面排查风险，制定技术解决方案。
  
  第一财经记者致电中国石油，相关方面表示称，经过技术解决，很快的时间中石油80%以上加油站恢复网络连接，用户加油卡账户资金未受影响。
  
  西门子中国研究院信息安全部总监胡建钧向第一财经记者表示，WannaCry作为一个里程碑式的事件，打开了一个以经济利益为驱动，与地下黑色产业链对接的潘多拉魔盒，它将对工业企业带来更大的威胁。
  
  事实上，在人类工业互联网发展以来，黑客利用各项漏洞的非法入侵从未停止过。
  
  早在2000年，澳大利亚马卢奇污水处理厂就曾遭遇到黑客攻击，在前后三个多月的时间里，总计约100万升未经处理的污水直接经雨水渠排入了公园、河流等自然水系。此番行为直接导致了当地大量海洋生物死亡，污水臭气熏天，给所在区域带来严重生态灾难。
  
  2003年1月，美国俄亥俄州Davis-Besse核电站和其他电力设备受到SQLSlamme蠕虫病毒攻击，在数小时内网络数据传输量剧增，导致该核电站计算机处理速度变缓、安全参数显示系统和过程控制计算机无法运作。
  
  彼时的非法入侵事件就已为工控系统安全防护敲响了警钟，但真正拉开保卫工业信息安全序幕的则是臭名昭著的“震网病毒”事件。
  
  2010年6月，震网病毒Stuxnet首次被发现，它是第一个专门定向攻击真实世界基础设施的“蠕虫”病毒。其利用当时微软尚未发现的几个漏洞，成功偷袭了伊朗Natanz核电站，造成大量离心机损毁；此后的2012年，美国加州的Chevron石油公司对外称，他们的计算机系统曾受到该震网病毒的袭击；随后，美国BakerHughes、ConocoPhillips和Marathon等石油公司也相继发表声明称，其计算机系统也感染了震网病毒。他们发布警告，一旦病毒侵害了真空阀，就会造成离岸钻探设备失火、人员伤亡和生产停顿等重大事故。
  
  胡建钧向记者介绍，2010年的“震网病毒”事件拉开了保卫工业信息安全的序幕，该病毒是第一个专门定向攻击真实世界中基础（能源）设施的“蠕虫”病毒，比如核电站、水坝和电网等。截至2011年，全球超过45000个网络以及60%的个人电脑感染了这种病毒。
  
  更为严重的是，病毒也会随着科技的进步而变异，变得更加“强大”。2011年微软安全专家检测到Stuxnet病毒的一个新型变种，Duqu木马病毒。这种比Stuxnet更聪明的病毒可以潜伏于工控系统，收集攻击目标的各种信息，以供未来网络袭击之用。2015年6月Duqu2.0爆发，甚至入侵到网络安全公司卡巴斯基的内网以及伊核谈判地点的会议酒店。其攻击实力不容小觑。
  
  根据德国数字协会Bitkom（2015年4月的一项研究）的保守分析，由于数字工业间谍、蓄意破坏和数据盗窃，德国每年遭受的损失高达510亿欧元。
  
  裸露的工业互联网
  
  虽然对于黑客或者入侵者而言，通过传统USB等物理方式入侵工控系统显然更加有效，但是随着数字工业的发展，通过互联网途径的远程入侵则会更加高效与便捷。
  
  2015年12月，黑客利用系统漏洞非法入侵了乌克兰的一家电力公司，远程控制了配电管理系统，导致7台110kV与23台35kV变电站中断了三个小时，22.5万用户停电；2016年4月，德国核电站负责燃料装卸系统的BlockBIT网络同样遭到攻击，安全人员在对这套系统的安全检测中发现了远程控制木马，虽然还没有执行非法操作，但核电站的操作员为防不测，临时关闭了发电厂。
  
  事实上，随着现今的工业日益与信息化技术融合发展，物联网、大数据在工业中应用越来越普遍，无数的设备连网接入网络，以便于监测维护。而工业物联网快速发展背后显然隐藏着一个巨大的“裸露”风险。
  
  在电力和供水系统、交通系统和工厂控制系统等利用IT系统运营的关键基础设施中，网络安全扮演着至关重要的角色。随着这些基础设施开放程度的不断提高，它们遭受攻击的可能性也越来越大。
  
  第一财经记者调查发现，病毒入侵主要是通过企业和工业网络之间的接口，工业网络的互联网接入，以及通过移动电话网络将工业网络上的计算机连接到网络中。它们大多通过垃圾邮件伪装成商业通信的分布式，或者恶意附件或连接到恶意软件下载。而等到达工业设施终端，许多发电机、水泵和其他基建设施都有一个共同的致命弱点，只要攻击者远程开关关键电路的断路器，就会使得机器的旋转部件脱离同步状态，进而造成部分系统故障。
  
  今年年初，专注于安全领域的研究中心Ponemon发表了一份美国石油天然气行业网络安全调查报告，超过2/3的受访者都表示在过去的一年里遭受过至少一次安全损害，导致关键信息丢失或生产中断。
  
  360企业安全集团董事长齐向东表示，360和东北大学工控安全实验室曾进行过联合研究，通过扫描部分网络，发现全球77766台控制系统和控制主机暴露在互联网上，其中美国占大头达到3万多台，中国也有近2000台处于裸奔的状态，涵盖了所有目前流行的控制系统和工业控制协议，涉及的应用领域从离散控制到连续控制都有。可以想见，这些系统一旦出现漏洞被攻击、被远程操控，可能引发灾难性的后果。
  
  网络安全公司卡巴斯基实验室最新报告称，制造业已经成为第二个最容易受到网络攻击的行业，工业控制系统（ICS）和制造业的计算机的入侵数量占所有攻击的三分之一。
  
  报告显示，2017年上半年大约18000种不同的恶意软件修改工业自动化系统，大多数网络攻击发生在生产材料、设备和货物的制造公司。受影响较大的部门包括工程、教育和食品饮料。其中，能源公司的ICS计算机几乎占所有攻击的5%。
  
  防御战
  
  面对几何倍数增长的网络安全攻击，工业企业并非束手无策。许多工业企业正在加强对于网络安全攻击的防护水平。
  
  “从技术层面看，在电力行业实践多年的等级保护、纵深防御依然是重要行业关键信息基础设施安全防护的最佳实践。”远景能源IoT平台生态总监唐亮告诉第一财经记者，“在分布式网络环境下实现智能设备、工控系统、云端应用全链路的网络安全情报分析、实时监控、动态分析、自动攻击定位和快速响应的闭环是提升安全防护能力的重要手段。”
  
  而作为国际工业巨头，西门子也有自己的“过墙梯”。目前，西门子全球有多家信息安全运营中心（CDC），为自身和客户提供保护。CDC依托内外部及时准确的安全威胁情报，采集受保护对象的实时运行状态，运用安全大数据分析技术，准确直观地刻画当前的安全态势，便于制定与选择最佳的安全防护策略。
  
  比如说勒索病毒，黑客可以从外部禁用计算机，在拿到赎金前不会提供代码以重新启动计算机。而西门子常常能及时发现攻击或通过采取保护措施防止遭受攻击。凭借预防性措施，迄今为止西门子拥有良好的信息安全运行记录。
  
  西门子还会对相关重要信息进行分级处理，在采访中，西门子工作人员向第一财经记者表示，西门子内部将“金块”定义为具有战略重要性的关键数据，它的丢失会给西门子造成重大损失，因而被划分为特殊类别，由西门子采用综合方法进行单独保护。
  
  将应用和系统转移至互联网是当前的趋势，因此云端安全机制也同样重要。西门子中央研究院专家正在这个领域进行努力，比如用户身份监控和访问权限等。为了在遭受网络攻击前找到安全漏洞，西门子中央研究院拥有自己的红客团队，其工作内容就是定期对西门子系统进行渗透测试。
  
  胡建钧向第一财经记者表示，西门子的安全技术防护包括三个阶段，第一步安全评估，基于IEC/ISO及中国安全标准，找出企业差距；第二步安全实施，基于纵深防御的理念；第三步动态的持续安全监测。传统上安全改进往往只执行第一步和第二步，只做到了静态安全。西门子延伸了安全防护理念，依托CDC工业信息安全运营中心做到了动态的安全防护，使得用户可以感知外部的威胁变化，洞悉内部的安全漏洞，作出及时准确的安全防护策略与动作。
  
  除了西门子，另外一家工业服务企业罗克韦尔自动化也正在尝试完善自身对于网络安全攻击的防护。
  
  “我们发现越来越多的安全威胁能够更加轻易地绕过网络边界。”ARC顾问集团战略咨询服务总监JohnKuenzler表示，“通常来说，如果你不能提前阻止威胁入侵边界，那么最好在它进入边界并有可能对运营产生影响时完成检测。”
  
  “我们的威胁检测服务是一款非侵入性的被动式安全解决方案，”罗克韦尔自动化咨询服务产品组合经理UmairMasud向第一财经记者表示，“这一点十分关键，因为我们不希望将新的数据通信引入网络后，对复杂的工业控制系统造成不利影响。”
  
  随着工业网络安全被提上日程、逐渐受到重视，提供工业网络安全服务也成为了新的风口。2016年，一家以色列的公司就获得了1200万美元的A轮融资。公开资料显示，该公司主要推广其网络安全技术，借以保护行业领域的工业控制系统（ICS）免受网络攻击威胁，包括能源、水力（自来水）、石油化工、制药等。
  
  有中金公司投行人士向第一财经记者表示，而随着更多网络安全攻击行为对国计民生产生巨大影响，这一类的投资将会显著增多。“我们所见的工业网络安全领域很可能只是冰山一角，其市场潜力十分巨大。”（来源：第一财经）