黑客攻擊從其目的性可以分為炫技、破壞、金錢利益、軍事目的、組織或國家行為等類別,對于以個人利益為主的大多數黑帽子而言,竊取關鍵數據、以及通過黑客行為獲取經濟利益是其網絡攻擊的主要目的。
因工控網絡的封閉性,傳統的木馬、后門程序無法完成敏感數據的回傳,同時工業數據除關鍵的工藝流程外對數據的保密性無嚴格要求,因此攻擊者需要從傳統的網絡攻擊中轉變思路,思考如何將工控環境下的黑客行為變為數量可觀的經濟收益,本次Wannacry勒索軟件事件則可能為工控場景下的黑客行為帶來些許啟示。
截止2017年5月17日,全球150多個國家和地區,超過30萬臺設備受到Wannacry勒索軟件感染和影響,攻擊者已獲得價值72624.61美元的比特幣。全球范圍內約304萬個IP地址遭受攻擊,我國境內的IP地址數量約為9.4萬個,其中發起Wannacry攻擊(可能已被感染)的我國境內IP數量為2.6萬個。隨著攻擊的持續發展,Wannacry已成功滲入到我國石油、化工、汽車制造等工業領域,感染勒索軟件的工程師站、操作站、上位機系統無法正常運行,嚴重影響了工控系統的可用性和連續性。我們可以設想,Wannacry等勒索軟件在普通Windows主機鎖定、數據加密的基礎上,加入針對PLC等控制器的鎖定、加密模塊,不對關鍵控制設備造成物理破壞,從而使受害者被迫支付贖金,實現生產活動的快速恢復。
2016年7月,卡巴斯基安全情報組公布了一份針對漏洞和不安全協議的報告,工業控制網絡存在大量已知漏洞,且漏洞長期處于無修補狀態。由于操作習慣、工業協議以及軟件供應商等原因,工業控制系統中大量采用Windows主機進行數據采集與流程控制。由于控制網絡的封閉性以及供應商組態軟件的低兼容性,造成工業場景內Windows主機含有大量的已知漏洞,且多為拒絕服務、遠程代碼執行、緩沖區溢出等高危漏洞,也為勒索軟件在工控網絡的傳播、感染提供了技術基礎。
相信在不遠的未來,針對工業場景的勒索軟件將會出現在人們的視野中,單純的工控網絡隔離已無法有效對抗當下的黑客活動,工控安全應在網絡隔離的基礎上對關鍵設備、功能區域、系統網絡進行綜合防護。以工業防火墻、工業網閘、工控安全審計與監測平臺、工控安全監控管理平臺等為基礎,構建工控安全技術體系和管理體系,同時向供應鏈方向進行安全擴展(如選擇采用自主安全操作系統的安全產品),降低工控網絡脆弱點,防止網絡攻擊、惡意軟件從產品、設備供應商以及運行維護者層面進入工控網絡,形成了一套全面的安全防護體系,整體提高工業企業的工控網絡安全保障能力。
英賽克科技(北京)有限公司創始于2015年6月,是一家專業從事工業協議深度分析和工控網絡安全攻防研究的創新型高科技企業。公司秉承技術創新理念,擁有INS-T3工業防火墻、INS-T5可信協議轉換器、INS-T9工業網閘、INS-A4工控安全審計監測平臺、INS-S2工控安全管控平臺、工控安全攻防演練平臺等多個系列的產品以及工控安全服務,為電力、石油、石化、水利、冶金、軌道交通、以及市政等行業客戶提供完全自主知識產權的工業控制系統網絡安全整體解決方案。