工業互聯網安全隱患巨大:現狀令人擔憂!
http://www.dardar168.cn工業4.0”,我們國家規劃為“中國制造2025”,也稱“工業互聯網”,我個人認為“工業互聯網”這個稱呼更容易理解。互聯網的背后是人,互聯網攻擊和犯罪就是盜竊隱私、詐騙財物;工業互聯網的背后是生產線,是控制系統、是汽車、是衣食住行吃穿用的東西工業互聯網 網絡攻擊可能導致生產線停轉、控制失靈、車毀人亡。所以工業互聯網 習近平總書記在去年419網絡工作座談會上講話中提出:安全是發展的前提,發展是安全的保障。這句話用到工業互聯網上更加恰當。沒有安全保障,工業互聯網將寸步難行。
一、現在越來越多工業系統暴露在互聯網上。
工業越發達的國家安全,暴露的也越多。360和東北大學工控安全實驗室進行過聯合研究安全,通過掃描部分網絡安全,就發現了全球77766臺控制系統和控制主機暴露在互聯網上,其中美國占大頭3萬多臺,中國包括臺灣在內近2000臺,涵蓋了所有目前流行的控制系統和工業控制協議,包括使用S7協議的西門子PLC、使用Modbus協議的施耐德PLC、使用DNP3的電力SCADA系統,涉及的應用領域從離散控制到連續控制都有。這些系統一旦出現漏洞被攻擊、被遠程操控,可能引發災難性的后果。
二、從工業互聯網的發展趨勢上看,這種暴露會從常態化走向標準化。
也就是說無處不在的網絡連接,實時不間斷地大數據收集,以及來自云端的智能化控制是工業互聯網的發展潮流。
工業互聯網安全隱患巨大:現狀令人擔憂!
我國提出的工業互聯網的四個應用場景:智能化生產、網絡化協同、個性化定制、還有服務化延伸,這其中服務化延伸和個性化定制是天然跟互聯網融合的,網絡化協同也是通過互聯網連接在一起的。智能化生產分為兩種情況,一種是直接跟互聯網連接的;另一種是不直接連接互聯網,而是通過監控調度網絡連接到企業管理網。但是這四個系統本身都是通過各種途徑連接在一起的,并最終連接到互聯網上,因此,這些工業系統最終也間接暴露在互聯網上了。
比如,制造業的標桿企業三一重工,為了實現卡車、挖掘機的智能,需要通過互聯網來收集數據和下發控制指令;還通過工業互聯網將分散在信息系統、車間工控系統和生產設備上的數據進行匯聚,實現互聯互通和智能生產。
在這個系統中,從網絡層看,要把IT網絡與OT網絡連接起來,并實現數據交換。實際生產中,管理層將工藝流程的設計數據分解成不同的子任務,分發給監控層;監控層根據接收到的任務信息,轉化成相應的指令下發給控制層;控制層通過工業以太網或現場總線,控制閥門、機械臂等執行部件,進行生產制造。
工業智能化之所以叫工業互聯網,就是要繼承互聯網的開放性,一定會越來越開放,聯網暴露度會越來越高。
三、暴露的工業互聯網安全隱患巨大,安全現狀令人擔憂。
來自 360 補天平臺的監測數據顯示,工業互聯網聯盟成員中 82 家工業企業中,有 28.05 %都出現過漏洞,并且 23.2 %是高危漏洞,遭遇網絡攻擊的風險很大。這些漏洞還僅僅是全部系統漏洞的一少部分,因為在漏洞發現方式上,它僅是白帽子主動提交的,而不包括主動掃描發現的。在漏洞范圍上,它也僅僅是針對應用站點的漏洞,還沒有監測它的協議漏洞和其他漏洞,也不包括主動掃描發現的漏洞,通過這些漏洞,黑客都有可能攻擊工業系統。
卡巴斯基去年掃描了全球170個國家的近20萬套ICS工業控制系統,其中92%都存在安全漏洞,有遭遇黑客攻擊、被接管、被破壞的風險。
三個案例
2015年12月,黑客利用SCADA系統的漏洞非法入侵了烏克蘭一家電力公司,遠程控制了配電管理系統,導致7 臺110kV與23 臺35kV 變電站中斷了三個小時,導致22.5萬用戶停電。
2016年12月,同一個黑客組織再次對烏克蘭另外一家電力企業實施了攻擊,這次是通過入侵數據網絡,間接影響了電廠的控制系統,造成變電站停止運行。
2016年4月德國核電站負責燃料裝卸系統的Block B IT 網絡遭到攻擊,安全人員在對這套系統的安全檢測中發現了遠程控制木馬,雖然還沒有執行非法操作,但核電站的操作員為防不測,臨時關閉了發電廠。
兩個案例
有人認為通過智能生產與互聯網隔離可以解決安全問題,這也是錯誤的。最著名的案例就是前幾年伊朗核設施遭到震網蠕蟲攻擊破壞事件,伊朗的核設施的運行控制系統是完全隔離的,但是黑客組織首先定向攻擊了伊朗核系統的一位核心人員,再利用電腦中系統的0day漏洞入侵了他的電腦,這臺電腦使用過的一個USB盤被插入了核設施的控制網絡里,利用了“USB擺渡”這種攻擊手法將震網蠕蟲植入了控制系統,最后控制破壞了伊朗的核設施。
2015年初,國內的某大型鋼廠的高爐控制系統的上位機(安裝控制軟件的計算機)運行速度越來越慢,導致最后無法進行生產,連續更換兩臺備用計算機,上線后均在幾個小時內發生同樣的故障現象。直接導致該生產線停產3天,經濟損失接近1億。360安全人員現場處置發現,故障計算機上充斥著五六年前流行的蠕蟲、木馬,進一步檢查發現,整個網絡中充斥各種惡意流量、僵尸木馬和蠕蟲病毒。
物聯網和勒索軟件
工業互聯網是物聯網的重要組成部分,物聯網的安全威脅更是觸目驚心:去年10月份,全世界有近80萬網絡攝像頭感染惡意軟件,受控組成僵尸網絡攻擊了美國互聯網基礎設施DNS服務器,造成了大半個美國互聯網斷網。
在今年的RSA上,勒索軟件被評為七大致命攻擊之首,以前勒索軟件的目標是醫療、交通、政府等行業的數據系統,現在也開始轉向物聯網、工控。從攻擊電腦和服務器加密鎖定數據和文件轉向鎖定酒店的門禁、電梯控制系統等、被鎖定的酒店所有的門,只有繳納贖金才能打開,被鎖定電梯也只有繳納贖金后才能運行,其造成的威脅將是災難性的。
上面這些案例說明,工業互聯網如果不能得到有效的保護,其后果將是災難性。
四、工業互聯網安全治理的六大措施。
在工業互聯網不太發達的時候,OT表面上都是隔離的,大家都淡化了安全意識,沒有采取安全措施,但實際上這只是邏輯上的隔離,OT通過各種途徑跟IT還是連接的。安全意識淡漠和安全措施不利,導致OT系統也變成了藏污納垢的地方,漏洞叢生,后門和遠控數不清,就像總書記419講話中說的,誰進來了不知道,是敵是友不知道,干了什么不知道。
去年國內的某保密部門的生產系統癱瘓,所有機器都無法啟動,被用蠕蟲病毒傳播的木馬遠程控制,導致系統崩潰。360安服團隊應邀對某涉核單位IT設施系統及工業控制系統進行的安全評估和檢查中,在信息安全技術體系、安全管理、安全運維各環節中都存在嚴重問題。很多IT系統的主機缺乏主要的殺毒軟件,基本處于裸奔狀態;系統補丁從安裝那天起就沒有做過任何的更新過。
360安全服務團隊對某核電站工控系統進行了安全檢查,包括如DCS系統上位機、實物保護系統以及相關終端,發現在技術層面以及管理層面均存在嚴重的安全隱患,包括沒有強制密碼策略以及登錄安全策略、終端存在弱口令甚至空口令,以及濫用移動U盤等現象。
工業互聯網安全隱患巨大:現狀令人擔憂!
我認為要對工業互聯網進行有效的安全治理,應該采取以下6項措施:
1. 提高安全意識,將工業互聯網的安全上升到最高級。安全比工業互聯網本身更重要,讓安全成為工業互聯網的前提,成為頂層設計;
2. 建立全天候工業互聯網安全態勢感知能力,一個網絡攻擊者不會單純的攻擊你一家,網絡攻擊是全球的,我們要對全球的網絡安全態勢有感知能力,尤其要關注同行的,就好比你住在一個小區里,鄰居家被偷了,怎么偷的,了解這些情況對自己防患于未然是有幫助的;
3. 建立跨越物理世界、商業世界、操作網絡(OT)、信息網絡(IT)一體化安全防御體系。改變割裂對待OT、IT安全的狀況,提高工業互聯網預警、檢測、響應、追蹤溯源的縱深防御能力形成包括終端、邊界、數據、工業云的安全防護,以及威脅情報收集和應急響應體系等;
4. 建立工業互聯網安全運營與分析中心。對企業內工業數據和安全數據持續收集,建立企業的安全數據倉庫。利用大數據方法發現工業生產異常,這是數據驅動安全的最佳實踐方法;
5. 重點防御保證關鍵基礎設施的安全。很多的工業互聯網企業都涉及關鍵基礎設施,有更大的概率遭受APT攻擊,更需要重點防御。
6. 協同防御,共建安全+工業互聯網命運共同體。去年,360提出了協同聯動體系,通過數據協同、智能協同和產業協同建立安全生態和立體防御體系,得到了全球安全行業的認同,上周在美國RSA大會上,360補天還聯合全球多家漏洞響應平臺共建響應機制等。