【专家博客】网闸无法阻挡Stuxnet 的变种病毒
- 关键词:网闸,Stuxnet,变种病毒,工业信息安全
作为工业网络安全领域的一名工作者,我从未想过有一天网络攻击会成为电视节目黄金时段的主题。最近,美国《60分钟》节目播了一段名为“Stuxnet:计算机蠕虫病毒开启了战争的新时代”的内容。如果你还没有看,我建议你一定要看一下。它很好地解释了Stuxnet这一复杂恶意软件,而且从直接参与解密和追踪Stuxnet病毒的人那里了解这一病毒是很有趣的。
最近一些精心设计的ICS病毒和网络攻击,包括Night Dragon,Duqu以及 Nitro等都被发现了。它们主要是盗取知识产权,像油田投标,SCADA操作数据,设计文档以及能够引发商业损失的其他信息。把注意力集中到工业数据泄漏是网络攻击的一种新形式,标志着工业恶意软件的发展进入了一个新时代。
S4学术报告会上Ralph Langner演讲时,Eric Byres正好在他后面。此图来自“60分钟”节目播出的有关Stuxnet的视频.
病毒制造者为什么要攻击ICS?
大多数人在思考蠕虫病毒制造者和黑客们的动机时,一般首先想到的是早期的网络攻击事件像Slammer蠕虫以及Mafia-Boy攻击等,其目的都是为了制造破坏。而Nitro和Duqu病毒则彰显了另一个完全不同的攻击目的-企图微秒持久地盗取有价值的信息。然后利用这些信息来制造一些假冒产品或其它具有竞争力的产品,在石油和矿产勘探租约时出价高于竞争对手,或者协调营销活动与对手的新产品竞争。窃取信息对于商业间谍来说并不是什么新事物。它在网络和网络安全出现之前很早就已经存在了。
如今, IP盗窃带来的潜在利润是十分巨大的。某消费品公司估算从在运营中的发生的IP窃取导致每年有大约十亿美元的假冒商品在进行生产和销售。
这些蠕虫病毒可能预示着随后会对自动化系统发起一些破坏性的攻击,不过可以肯定的是Stuxnet病毒的设计者在真正制造蠕虫病毒之前就从受害者那里收集到了详细的过程信息。Duqu病毒是否预示着一个更大的破坏性攻击? Symantec非常同意这一观点。
值得注意的是Stuxnet的目标是影响(浓缩铀的)生产,而不是引发一场爆炸造成人员伤亡。因此,下一代恶意软件的目标很有可能是悄无声息地停止世界上某个工厂或公共设施的生产。对于罪犯分子或者单一民族国家组织来说,影响竞争对手生产,卖空公司股份以及以制造破坏为由索取金钱都是有利可图的行为.
为什么我们无法保障工厂远离Stuxnet变种病毒
许多安全专家建议唯一的解决方案就是回到自动化系统完全隔离的时代。不幸的是,如今隔离控制系统已经不再现实了。正如我在《ICS和SCADA的安全神话:使用网闸进行安全防护》一文中解释的那样,现代工业及其依靠的技术都需要外界的电子信息才能运营。切断进入工厂的一个数据来源,还有另外的(潜在的风险源)“sneaker-net”来代替它。
图1: 进入控制系统的可能途径
目前,企业和政府通过禁令以及托管复杂繁重的作业流程来尝试与这一趋势抗衡。每次我们登机,排着长长的队伍等待脱鞋安检,然后洗发水被没收时,我们都会看到这种策略的应用。坦白说,对于乘坐飞机来讲,我认为这并不是有效的安全保障。
未来的道路
难道目前的情形就没有希望了吗?答案是否定的,但是ICS/ SCADA安全措施必须取得显著的改进。首先,企业需要接受一个观点,那就是完全阻止控制系统感染也许是不可能的。对蠕虫病毒制造者来说,有如此多可用的入侵途径,因此在系统的整个生命周期中,一些资产很有可能会遭遇危害。所以,资产所有者和操作人员需要相应地调整他们的安全方案,安全方案尤其需要做到以下几点:
•从风险评估开始,对构成企业风险的威胁进行量化并按影响程度排好序。
•考虑所有可能的感染途径以及对应的减缓策略,而不是只注意到某个单一的途径,如USB密钥,
•采取措施对控制网络进行分割来限制遭受危害后带来的不良后果,
•采用适合ICS的入侵检测技术来检测攻击,当设备受到危害或者存在受到危害的风险时发出报警,
•目光看得长远一些,考虑超越传统的网络层防火墙,能对关键SCADA和ICS协议进行深度包检测的防火墙,
•重点保障处于最后防线的关键系统的安全,特别是安全集成系统(safety integrated system),
•将安全评估和测试作为系统发展和周期维护过程的一部分。识别并改正潜在的缺陷,从而减少遭到成功攻击的可能性.
•要求自动化系统供应商提供安全控制产品。
•努力工作,提高管理和技术团队的工业安全文化。
实施上述措施将会提高所有工业控制系统的“纵深防御”架构。确实是企业当务之急需要做的工作。否则的话,企业可能遭受网络攻击,从而作为头条新闻出现在电视上。