乌克兰电网遭黑客入侵工控网络安全敲响警钟

■ 文/Sophia

乌克兰电网遭黑客入侵工控网络安全敲响警钟

■ 文/Sophia

网络攻击的日益猖獗，工控系统网络面临着越来越多的安全威胁，前不久爆出的乌克兰电力系统被黑事件，再次给全球工控行业敲响了警钟。

最初的工业控制系统采用专门的硬件和软件来运行专有的控制协议，而且由于是孤立的系统，不太容易受到外部的攻击。

此前，乌克兰电力公司网络系统遭到黑客攻击的事件在全球网安圈引起轩然大波，攻击直接导致乌克兰西部地区大规模停电。停电区域包括该地区首府伊万诺-弗兰科夫斯克，这座城市有140万居民。乌克兰西部电力公司表示，停电是因为工控系统受到干扰而停电。乌克兰国家安全局谴责俄罗斯黑客应对此次事件负责，俄罗斯方面则未对此置评。

这是有史以来首次导致停电的网络攻击。但这并不是第一起针对工控行业的黑客攻击，当年席卷全球工业界的震网病毒曾让伊朗的核工业倒退十年，虽然近几年看似平静，但以此次恶性事件为引子，针对工控行业的黑客攻击很可能卷土重来。

事后，乌克兰计算机紧急响应小组称其正在针对此次停电进行调查，并发现黑客在此期间获得了对发电系统的远程接入能力。该小组同时称，BlackEnergy间谍木马与KillDisk恶意软件都在被入侵能源供应商的受感染系统当中出现。

iSight Partners网 络 间 谍情报负责人约翰·胡尔特奎斯特表示，这是网络安全行业首次目睹导致停电的网络攻击。iSight Partners是一家位于美国的安全威胁情报公司。胡尔特奎斯特表示，这起攻击所用的恶意软件名为BlackEnergy，攻击者应是被称为“沙虫”的俄罗斯黑客组织，他们先前曾攻陷过美国和欧洲的电力供应商。BlackEnergy于2014年出现在西方世界，人们以为这款恶意软件已从目标网络中被清除。

工控安全再度被关注

国际上，关于工控安全的关注早已出现。2004年发布的一份专门面向美国国会的研究服务报告当中，工业控制系统网络安全专家Joe Weiss提出了多项警告，指出整个行业迫切需要制定并实施“防火墙、入侵检测以及加密等技术方案”，从而对控制系统进行保护。此类系统被用于众多工业环境，包括能源生产、化工车间、火车网络乃至飞机内部等等。

然而在十几年之后，Weiss提出的这些议案依然没能得到有效执行；整个行业也在继续构建、部署并依赖于那些仍旧易被攻击者们所远程突破的系统方案。他强调称，“真正的问题在于，为什么人们在工业基础设施领域总是疏于防备网络威胁？”

将远程控制能力纳入此类系统也没能有效提升安全性水平，美国国土安全部网络安全前副部长兼数据安全企业vArmour公司首席网络安全战略师Mark Weatherford指出，“仍然有大量控制系统接入到互联网当中。”他敦促各位采用互联网接入型ICS方案的运营人员“至少应当对攻击路径进行监控，从而了解还有哪些被遗漏的危险因素”，同时对如何在遭遇攻击时抢先一步做出响应并进行规划。

近日，美国国土安全部下属的工业控制系统网络紧急响应小组（ICS-CERT）声称也监测到相应的恶意攻击，因此对相关企业发出了警告，未来针对工业控制系统网络的攻击事件将更为严重，相关部门或企业应随时做好充足的网络防护预案。据ICS-CERT的官员透露，早在2014年该BlackEnergy3恶意软件就曾感染过美国运营商的一些关键基础设施，并有向电厂运营部门、电力设施建设公司、工控材料供应商和制造商，以及能源部门的投资者等进一步渗透的迹象。

工控系统安全问题面临挑战

工业4.0时代，智能制造，智慧城市的迅速发展，网络极大促进了全球科技的发展。对于潜伏在暗处的“黑客攻击”等网络威胁，更需谨慎防范。此前的克里米亚和乌克兰的这两次停电事故是否有联系，折射出目前错综复杂的国际形势，在此我们不做分析，但停电事故中所暴露出的工业控制系统的安全问题，则足以给予我们警示。

工业4.0时代，智能制造，智慧城市的迅速发展，网络极大促进了全球科技的发展。对于潜伏在暗处的“黑客攻击”等网络威胁，更需谨慎防范。

工业控制系统是几种类型控制系统的总称，包括监控和数据采集系统、分布式控制系统和其它控制系统如可编程逻辑控制器、远程终端、智能电子设备等，以及确保各组件通信的接口技术。工业控制系统普遍应用在电力、石油天然气、自来水和污水处理、化工、交通运输、造纸等行业，是工业基础设施能够正常运作的关键。

最初的工业控制系统采用专门的硬件和软件来运行专有的控制协议，而且由于是孤立的系统，不太容易受到外部的攻击。随着信息技术的发展，通用的计算机、操作系统和网络协议在工业控制系统中得到了广泛应用，大大增加了网络安全漏洞和事故出现的可能。另外，工业控制系统也开始与企业管理网络、生产监控网络互联互通，而这些网络本身又具备相当的开放性，甚至存在同互联网的接口，这为信息系统的安全威胁向生产系统扩散提供了便利条件。可以说，传统的IT系统所面临的信息安全风险，在工业控制系统中都是存在的，而且工业控制系统直接同生产设备交互，决定了其安全性还存在自己的特点。

工业控制系统中存在比较多的工业控制协议。绝大多数工控协议在设计之初，仅关注效率、实时性和可靠性以满足工业生产的需求，而忽视了安全性的需求，缺少诸如认证、授权和加密等安全机制，这使得工业控制协议更容易遭受第三者的窃听及欺骗性攻击。而通用IT安全产品，比如防火墙、IDS等，对于工业控制协议的识别和检测是不够的，比如对Modbus、OPC、DNP3等协议字段级别的识别和防护。在工业控制系统中，还需采用支持工业控制协议的专用安全产品来弥补通用安全技术的不足，实现对网络边界的完全保护。

有关材料显示，黑客组织 2007年 BlackEnergy就 开始在俄罗斯的地下网络中流通，最初它被设计为一个能够进行DDoS攻击的僵尸网络工具，随着时间的推移，该恶意软件已经演变为可以支持各种插件，并且基于攻击的意图进行组合以提供必要的功能。在2008年格鲁吉亚冲突期间，BlackEnergy曾被用来对格鲁吉亚实施网络攻击。从暴露的样本来看，此次攻击样本开始于一个xls文档，通过与控制端的交互产生了后续的BlackEnergy，再通过BlackEnergy释放出破坏性的KillDisk插件和SSH后门程序来破坏受感染系统，致使其无法恢复。乌克兰电力系统不得不使用备份系统，大大延长了电力系统恢复运行的时间。

行业专家表示，针对此类攻击，一方面需要强化对电力专用网络的隔离和监控，BlackEnergy运转的前提是内网同CC服务器的交互，根据我国的电力系统二次防护规定，电力调度数据网应当在专用通道上使用独立的网络设备组网，在物理层面上实现与电力企业其他数据网及外部公共信息网的安全隔离。如果真正实现了物理隔离，那么通过网络途径是无法侵入调度系统的。另一方面需要对调度网内部的网络访问加强防护，比如对SCADA系统、EMS系统的准入控制，除了传统的IT防护手段，必然还需要通过部署专业的工业控制防护产品来加强。