2018年工業控制網路安全態勢白皮書
東北大學“諦聽”網路安全團隊基於自身傳統的安全研究優勢開發設計並實現了“諦聽”網路空間工控裝置搜尋引擎(http://www.ditecting.com),並根據“諦聽”收集的各類安全資料,撰寫併發布了2018年工業控制網路安全態勢白皮書,讀者可以通過報告瞭解2018年典型工控安全標準、法規分析及典型工控安全事件分析,同時報告對工控系統漏洞、工控系統攻擊、聯網工控裝置進行了闡釋及分析,有助於全面瞭解工業控制系統安全現狀,多方位感知工業控制系統安全態勢,為研究工控安全相關人員提供參考。
宣告
東北大學“諦聽”網路安全團隊版權所有,並保留對本報告本宣告的最終解釋權和修改權。
未經東北大學“諦聽”網路安全團隊同意,任何人不得以任何形式對本報告內的任何內容進行復制、摘錄、備份、修改、傳播、翻譯成其它語言、將其全部或部分用於商業用途。
文件依據現有資訊製作,其內容如有更改,恕不另行通知。
東北大學“諦聽”網路安全團隊在編寫該文件的時候已盡最大努力保證其內容準確可靠,但難免存在遺漏、不準確、或錯誤,懇請各界批評指正。
有任何寶貴意見或建議,請反饋至:
電子郵箱:[email protected]
官方網站:http://www.ditecting.com
微信公眾號:諦聽ditecting
1. 前言
工業控制系統是電力、交通、能源、水利、冶金、航空航天等國家重要基礎設施的“大腦”和“中樞神經”,超過80%的涉及國計民生的關鍵基礎設施依靠工業控制系統實現自動化作業。隨著經濟與技術發展,工業控制系統在應對傳統功能安全威脅的同時,也面臨越來越多的病毒、木馬、黑客入侵等工控資訊保安威脅。
習近平總書記在黨的十九大報告中指出,“堅持總體國家安全觀。統籌發展和安全,增強憂患意識,做到居安思危,是我們黨治國理政的一個重大原則。”工業資訊保安作為國家安全的重要組成部分,事關經濟執行、社會穩定和國家安全。當前,隨著雲端計算、大資料、人工智慧等新一代資訊科技與製造技術加速融合,工業資訊保安形勢日趨嚴峻,亟須加快提升工業資訊保安保障能力,為工業生產安全和兩化融合健康發展撐起“保護傘”,為製造強國和網路強國戰略實施築牢“防護牆”。
“十三五”規劃開始,網路空間安全已上升至國家安全戰略,工控網路安全作為網路安全的中的薄弱而又至關重要部分,全方位感知工控系統的安全態勢成為亟待解決的重要問題之一。
2017年底,國家工業和資訊化部制定並印發了《工業控制系統資訊保安行動計劃(2018-2020年)》,為全面落實國家安全戰略,提升工業企業工控安全防護能力,加快我國工控安全保障體系建設,促進工業資訊保安產業健康發展指明瞭道路。2018年3月,為加強黨中央對涉及黨和國家事業全域性的重大工作的集中統一領導,強化決策和統籌協調職責,根據中共中央印發了《深化黨和國家機構改革方案》,將中央網路安全和資訊化領導小組改為中央網路安全和資訊化委員會。為順應國家形勢,東北大學“諦聽”網路安全團隊基於自身傳統的安全研究優勢開發設計並實現了“諦聽”網路空間工控裝置搜尋引擎(http://www.ditecting.com),並根據“諦聽”收集的各類安全資料,撰寫併發布了2018年工業控制網路安全態勢白皮書,讀者可以通過報告瞭解2018年典型工控安全標準、法規分析及典型工控安全事件分析,同時報告對工控系統漏洞、工控系統攻擊、聯網工控裝置進行了闡釋及分析,有助於全面瞭解工業控制系統安全現狀,多方位感知工業控制系統安全態勢,為研究工控安全相關人員提供參考。
2. 2018年典型工控安全政策法規分析
2018年,我國在資訊保安和產業安全體系建設等方面均加快了腳步,工業控制系統資訊保安政策法規日趨完善,工業企業越發重視,市場規模逐步釋放。
2018年是工控資訊保安領域政策、法規密集釋出的一年,相信在這些政策法規的引領下,中國的工控資訊保安事業會走向深入,成為確保國家安全的重要組成部分。下面就介紹這些重量級的釋出。
一、《工業網際網路發展行動計劃(2018-2020年)》
2018年5月31日,根據《國務院關於深化“網際網路+先進製造業”發展工業網際網路的指導意見》(以下簡稱《指導意見》),2018-2020年是我國工業網際網路建設起步階段,對未來發展影響深遠。為貫徹落實《指導意見》要求,深入實施工業網際網路創新發展戰略,推動實體經濟與數字經濟深度融合,制訂本行動計劃。到2020年底,初步建成工業網際網路基礎設施和產業體系。
二、《網路關鍵裝置和網路安全專用產品安全認證實施規則公告》
認監委和國家網際網路資訊辦公室根據《中華人民共和國網路安全法》、《中華人民共和國認證認可條例》和《關於釋出<網路關鍵裝置和網路安全專用產品目錄(第一批)>的公告》,釋出了網路關鍵裝置和網路安全專用產品安全認證實施要求的公告。
三、《網路安全等級保護條例(徵求意見稿)》
2018年6月27日,公安部發布《網路安全等級保護條例(徵求意見稿)》。《意見稿》提出,國家實行網路安全等級保護制度,對網路實施分等級保護、分等級監管。提出了網路安全等級保護工作的基本原則:應當按照突出重點、主動防禦、綜合防控的原則,建立健全網路安全防護體系,重點保護涉及國家安全、國計民生、社會公共利益的網路的基礎設施安全、執行安全和資料安全。
四、國家標準《電力資訊系統安全檢查規範》
為規範電力資訊系統安全的檢查流程、內容和方法,防範網路與資訊保安攻擊對電力資訊系統造成的侵害,保障電力資訊系統的安全穩定執行,保護國家關鍵資訊基礎設施的安全,依據國家有關資訊保安和電力行業資訊系統安全的規定和要求,制定國家標準《電力資訊系統安全檢查規範》。該標準於2018年3月15日釋出,2018年10月1日起開始實施。
五、《關於加強電力行業網路安全工作的指導意見》
2018年9月13日,國家能源局釋出了《關於加強電力行業網路安全工作的指導意見》。《意見》以習近平總書記關於網路強國戰略的重要論述為指導,全面貫徹落實黨中央、國務院關於網路安全工作決策部署,以及《網路安全法》《電力監管條例》等法律法規要求,對提升電力行業網路安全防護能力,築牢堅強網路安全防禦體系,防範和遏制重大網路安全事件,保障電力系統安全穩定執行和電力可靠供應,具有重要意義。
六、《GB/T36627-2018 網路安全等級保護測試評估技術指南》
2018年9月17日,由上海市資訊保安測評認證中心參與編制的國家標準《GB/T 36627-2018 網路安全等級保護測試評估技術指南》正式釋出,該標準將於2019年4月1日正式實施。
此次釋出的國家標準給出了網路安全等級保護測評中的相關測評技術的分類和定義,提出了技術性測試評估的要素、原則,並對測評結果的分析和應用提出了建議。該標準適用於測評機構開展等級測評工作,以及主管部門及運營使用單位開展安全評估。
七、《國家智慧製造標準體系建設指南(2018年版)》
2018年10月,按照標準體系動態更新機制,紮實構建滿足產業發展需求、先進適用的智慧製造標準體系,推動裝備質量水平的整體提升,工業和資訊化部、國家標準化管理委員會共同組織制定了《國家智慧製造標準體系建設指南(2018年版)》。
八、《關於進一步加強核電執行安全管理的指導意見》
2018年5月31日,國家發展改革委、國家能源局、生態環境部、國防科工局四部委聯合釋出《關於進一步加強核電執行安全管理的指導意見》。《意見》指出,將網路安全納入核電安全管理體系,加強能力建設,保障核電廠網路安全。開展網路安全能力建設,做好網路等級保護測評,開展網路安全培訓及評估工作。
3. 2018典型工控安全事件分析
近年來,隨著工業控制系統網路和物聯網環境變得更加開放與多變,工業控制系統則相對變得更加脆弱,工業控制系統的各種網路攻擊事件日益增多,暴露出工業控制系統在安全防護方面的嚴重不足。工業控制系統的安全性面臨巨大的挑戰。“諦聽”團隊彙總了2018典型工控安全事件,以瞭解工業控制系統所面臨的安全威脅,促進國內工控網路安全事業不斷髮展。
3.1 羅克韋爾工控裝置曝多項嚴重漏洞
2018年3月,思科Talos安全研究團隊發文指出羅克韋爾自動化公司的 Allen-Bradley MicroLogix 1400系列可程式設計邏輯控制器( PLC )中存在多項嚴重安全漏洞,這些漏洞可用來發起拒絕服務攻擊、篡改裝置的配置和梯形邏輯、寫入或刪除記憶體模組上的資料等。該系列可程式設計邏輯控制器被各關鍵基礎設施部門廣泛運用於工業控制系統(ICS)的執行過程控制,一旦被利用將會導致嚴重的損害。思科Talos團隊建議使用受影響裝置的組織機構將韌體升級到最新版本,並儘量避免將控制系統裝置以及相關係統直接暴露在網際網路中。
3.2 俄黑客對美國核電站和供水設施攻擊事件
2018年3月,美國計算機應急準備小組釋出了一則安全通告TA18-074A,詳細描述了俄羅斯黑客針對美國某發電廠的網路攻擊事件。通告稱俄黑客組織通過(1)收集目標相關的網際網路資訊和使用的開源系統的原始碼;(2)盜用合法賬號傳送魚叉式釣魚電子郵件;(3)在受信任網站插入JavaScript或PHP程式碼進行水坑攻擊;(4)利用釣魚郵件和水坑攻擊收集使用者登入憑證資訊;(5)構建基於作業系統和工業控制系統的攻擊程式碼發起攻擊。本次攻擊的主要目的是以收集情報為主,攻擊者植入了收集資訊的程式,該程式捕獲螢幕截圖,記錄有關計算機的詳細資訊,並在該計算機上儲存有關使用者帳戶的資訊。此安全事件告誡我們:加強員工安全意識教育和管理是十分必要的,如密碼定期更換且不復用,安裝防病毒軟體並確保及時更新等。
3.3 俄羅斯黑客入侵美國電網
2018年7月,一位美國國土安全部官員稱:“我們跟蹤到一個行蹤隱祕的俄羅斯黑客,該人有可能為政府資助組織工作。他先是侵入了主要供應商的網路,並利用前者與電力公司建立的信任關係輕鬆侵入到電力公司的安全網路系統。”
11月30日,火眼的分析員Alex Orleans指出“目前仍然有瞄準美國電網的俄羅斯網路間諜活動,電網仍然會遭受到不斷的攻擊”,火眼(FireEye)已經識別出一組俄羅斯網路集團通過TEMP Isotope, Dragonfly 2.0 和Energetic Bear.等漏洞進行試探和攻擊。這組黑客依賴於現成黑客工具和自制後門技術的組合,儘管美國的電網已經通過NERC釋出的一系列CIP 標準增強了網路防禦能力。但是並不是每一處的電網組成設施都固若金湯,比如部分承包給本地企業的地方電網的網路防禦能力就非常差,這留給了來自俄羅斯(包括伊朗和朝鮮)的網路黑客們可乘之機。
與中國情況不同,美國的電網是由很多獨立的企業管控,在安全性、可控性方面比較弱。入侵者攻擊該系統不受保護的弱點,而數以百計的承包商和分包商毫無防備。所以連美國官方都無法統計有多少企業和供應商被攻擊並蒙受損失。
3.4 臺積電遭勒索病毒入侵,致三個生產基地停擺
8月3日晚間,臺積電位於臺灣新竹科學園區的12英寸晶圓廠和營運總部的部分生產裝置受到魔窟勒索病毒WannaCry勒索病毒的一個變種感染,具體現象是電腦藍屏,鎖各類文件、資料庫,裝置宕機或重複開機。幾個小時之內,臺積電位於臺中科學園區的Fab 15廠,以及臺南科學園區的Fab 14廠也陸續被感染,這代表臺積電在臺灣北、中、南三處重要生產基地,同步因為病毒入侵而導致生產線停擺。經過應急處置,截止8月5日下午2點,該公司約80%受影響裝置恢復正常,至8月6日下午,生產線已經全部恢復生產。損失高達26億。
此次事件原因是員工在安裝新裝置的過程時,沒有事先做好隔離和離線安全檢查工作,導致新裝置連線到公司內部網路後,病毒快速傳播,並最終影響整個生產線。
3.5 西門子PLC、SCADA等工控系統曝兩個高危漏洞,影響廣泛
8月7日,西門子釋出官方公告稱,其用於SIMATIC STEP7和SIMATIC WinCC產品的TIA Portal(Totally Integrated Automation Portal全整合自動化門戶)軟體存在兩個高危漏洞(CVE-2018-11453和CVE-2018-11454)。影響範圍包括兩款產品V10、V11、V12、V13的所有版本,以及V14中小於SP1 Update 6和V15中小於Update 2的版本。TIA Portal是西門子的一款可讓企業不受限制地訪問公司自動化服務的軟體。由於TIA Portal廣泛適用於西門子PLC(如S7-1200、S7-300/400、S7-1500等)、SCADA等工控系統,以上兩個漏洞將對基於西門子產品的工業控制系統環境造成重大風險。據國家工業資訊保安發展研究中心監測發現,我國可能受到該漏洞影響的聯網西門子STEP 7、Wincc產品達138個。
本次發現的兩個高危漏洞中,CVE-2018-11453可讓攻擊者在得到訪問本地檔案系統的許可權後,通過插入特製檔案實現對TIA Portal的拒絕服務攻擊或執行任意程式碼;CVE-2018-11454可讓攻擊者利用特定TIA Portal目錄中的錯誤檔案許可權配置,操縱目錄內的資源(如新增惡意負載等),並在該資源被合法使用者傳送到目標裝置後實現遠端控制。
3.6 Rockwell(羅克韋爾自動化有限公司)和ICS-CERT釋出通報
2018年9月,Rockwell(羅克韋爾自動化有限公司)和ICS-CERT釋出通報稱, Rockwell的RSLinx Classic軟體存在三個高危漏洞(CVE-2018-14829、CVE-2018-14821和CVE-2018-14827),影響範圍包括RSLinx Classic 4.00.01及之前版本,一旦被成功利用可能實現任意程式碼執行甚至導致裝置系統崩潰。
RSLinx Classic是一款Rockwell開發的專用工業軟體,用於實現對Rockwell相關裝置、網路產品的統一配置管理,具有資料採集、控制器程式設計、人機互動等功能,廣泛應用於能源、製造、汙水處理等領域。
這三個高危漏洞的利用方式都是通過44818埠進行遠端攻擊或破壞,其中CVE-2018-14829為基於棧的緩衝區溢位漏洞,攻擊者可以通過傳送含有惡意程式碼的資料包,實現在主機上的任意程式碼執行、讀取敏感資訊或導致系統崩潰等;CVE-2018-14821為基於堆的緩衝區溢位漏洞,攻擊者可以通過傳送含有惡意程式碼的資料包,導致應用程式終止執行;CVE-2018-14827為資源耗盡漏洞,攻擊者可以通過傳送特製的Ethernet/IP資料包,導致應用程式崩潰。
3.7 義大利石油與天然氣開採公司Saipem遭受網路攻擊
12月10日,義大利石油與天然氣開採公司Saipem遭受網路攻擊,主要影響了其在中東的伺服器,包括沙烏地阿拉伯、阿拉伯聯合大公國和科威特,造成公司10%的主機資料被破壞。Saipem釋出公告證實此次網路攻擊的罪魁禍首是Shamoon惡意軟體的變種。
公告顯示,Shamoon惡意軟體襲擊了該公司在中東,印度等地的伺服器,導致資料和基礎設施受損,公司通過備份緩慢的恢復資料,沒有造成資料丟失,此次攻擊來自印度金奈,但攻擊者的身份尚不明確。
Shamoon主要“功能”為擦除主機資料,並向受害者展示一條訊息,通常與政治有關,另外Shamoon還包括一個功能完備的勒索軟體模組擦拭功能。攻擊者獲取被感染計算機網路的管理員憑證後,利用管理憑證在組織內廣泛傳播擦除器。然後在預定的日期啟用磁碟擦除器,擦除主機資料。
3.8 施耐德聯合ICS-CERT釋出高危漏洞
2018年12月,施耐德電氣有限公司(Schneider Electric SA)和CNCERT下屬的工業網際網路安全應急響應中心ICS-CERT釋出通報稱,Modicon M221全系PLC存在資料真實性驗證不足高危漏洞(CVE-2018-7798),一旦被成功利用可遠端更改PLC的IPv4配置致使通訊異常。
Modicon M221全系PLC是施耐德電氣有限公司所設計的可程式設計邏輯控制器,可通過乙太網和Modbus協議進行網路通訊。CVE-2018-7798高危漏洞是由於Modicon M221 PLC中UMAS協議的網路配置模組實現不合理,未對資料真實性進行充分驗證,導致攻擊者可遠端更改IPv4配置引數,例如IP地址、子網掩碼和閘道器等,從而攔截目標PLC的網路流量。
4. 工控系統安全漏洞概況
隨著計算機和網路技術的發展,特別是兩化融合以及物聯網的快速發展,越來越多的通用協議、硬體和軟體在工業控制系統產品中採用,並以各種方式與網際網路等公共網路連線,使得針對工業控制系統的攻擊行為大幅度增長。其中,最常見的攻擊方式就是利用工業控制系統的漏洞,PLC(Programmable Logic Controller,可程式設計邏輯控制器)、DCS(Distributed Control System,分散式控制系統)、SCADA(Supervisory Control And Data Acquisition,資料採集與監視控制系統) 乃至應用軟體均被發現存在大量資訊保安漏洞,如 ABB 施耐德電(Schneider)、通用電氣(GE)、研華科技(Advantech)及羅克韋爾(Rockwell)等工業控制系統廠商產品均被發現包含各種資訊保安漏洞。
圖4-1 2000-2018年工控漏洞走勢圖(資料來源CNVD、“諦聽”)
根據CNVD(國家資訊保安漏洞共享平臺)和“諦聽”的資料,2008-2018年工控漏洞走勢如圖4-1所示。從圖中可以看出,2010年之後工控漏洞數量顯著增長,出現此趨勢的主要原因是2010年後工業控制系統安全問題的關注度日益增高。
圖4-2 工控系統行業漏洞危險等級餅狀圖(資料來源CNVD、“諦聽”)
如圖4-2是工控系統行業漏洞危險等級餅狀圖,由圖中可知,高危工控安全漏洞佔所有漏洞中的15%。截至2018年12月31日,2018年新增工控系統行業漏洞125個,其中高危漏洞19個,中危漏洞2個,低危漏洞104個。這些資料都表明,工控系統存在巨大的潛在安全風險,需要引起高度重視。
5. 聯網工控裝置分佈
“諦聽”網路空間工控裝置搜尋引擎共支援26種服務的協議指紋識別,圖5-1展示了“諦聽“網路安全團隊識別的工控協議相關資訊及2018年感知的IP數量。瞭解這些協議的詳細資訊請參照“諦聽”網路安全團隊以前釋出的工業控制網路安全態勢分析白皮書,或登入檢視,此處不再贅述。
圖5-1 “諦聽”網路空間工控裝置搜尋引擎支援的協議
“諦聽”官方網站(www.ditecing.com)公佈的資料為2017年以前的歷史資料,若需要最新版的資料請與東北大學“諦聽”網路安全團隊直接聯絡獲取。根據“諦聽”網路空間工控裝置搜尋引擎收集的內部資料,經“諦聽”網路安全團隊分析,得出如圖5-2、5-3和5-4的視覺化展示,下面做簡要說明。
圖5-2 “諦聽”暴露工控裝置總覽全球視角
如圖5-2所示是以全球視角分析工控裝置的暴露情況(Demo展示),圖5-3為全球工控裝置暴露Top-10國家。由於 2018 年“諦聽”團隊新增多個協議的解析工具,並且提高了對快掃結果的深度互動和蜜罐識別能力,因此國家排名較過去有較大變化。
圖5-3 全球工控裝置暴露Top-10
全球範圍內,美國作為世界上最發達的工業化國家暴露出的工控裝置仍然保持第一,巴西近年工業產值增長迅速位居第二,韓國在電子、半導體等產業均處於領先水平位居第三,南非、法國等緊隨其後,中國排名全球第六位。以下著重介紹國內及美國、巴西、南非的工控裝置暴露情況。
一、國內工控裝置暴露情況
中國暴露工控裝置數量在全球排名第六。工業是也逐漸發展為中國經濟的重要支柱,經過幾十年的發展,中國基本上建立了部門比較齊全、以委託加工型態為主體、以高新科技產業中的資訊電子產業、製造業中的鋼鐵、石油和紡織業等為支柱的工業體系,工控系統面臨的安全風險應該引起足夠的重視。
圖5-4 國內暴露各協議佔比
在全國暴露的工控裝置數量圖5-5中可以看到,臺灣地區暴露的工控裝置最多。工業是臺灣經濟的重要支柱,經過幾十年的發展,臺灣基本上建立了部門比較齊全、以委託加工型態為主體、以高新科技產業中的資訊電子產業、製造業中的鋼鐵、石油和紡織業等為支柱的工業體系,因此工控系統面臨較大安全風險。
香港提出“再工業化”,近年來大力推動工業發展,暴露的工控裝置數量位居國內第二。從成立“智慧製造技術展示中心”到“智慧產業聯盟”,從建立“知創空間”,到推出“工業4.0先導專案”,為協助製造企業轉型升級,香港推動工業產業多元化,製造業近年來蓬勃發展。
圖5-5 國內各地區暴露工控裝置數量
大陸範圍內廣東省暴露工控裝置數量最多。廣東以製造業為主,發揮毗鄰港澳的優勢,深化先進製造業方面的區域合作,具有食品、紡織業、機械、家用電器、汽車、醫藥、建材、冶金工業體系。作為廣東省支柱產業的裝備製造業、汽車製造業平穩快速發展。同時,廣東省倡導傳統制造業企業加快推進智慧化改造,智慧手機、家電等行業處於領先水平。廣東省是經濟的核心發展區,卻有很大的安全隱患,可見加強此地區的安全服務是當務之急。
北京市走新型工業化道路,加快形成以高新技術產業和現代製造業為主體,以優化改造後的傳統優勢產業為基礎,以都市型工業為重要補充的新型工業結構。工業結構顯著改善,工業由傳統重工業發展到以汽車、電子為主導的現代製造業。在軟體、積體電路、計算機和網路、通訊、生物醫藥、能源環保等重點領域形成國內優勢產業叢集。北京市成為大陸地區工控裝置暴露第二多地區。
長江三角洲地區暴露數量僅次於北京。長三角地區(江蘇、浙江和上海)是我國經濟最發達、產業配套最完善、整體競爭力最強的地區。隨著工業化程序的不斷加快,長三角地區三大產業之間的比例關係進一步優化。上海將發展現代服務業和先進製造業放在優先地位;浙江抓住產業結構調整的機遇,著力提升先進製造業的競爭力,加快承擔國際產業轉移;江蘇以發展現代製造業來增強自主創業能力,堅持以資訊化帶動工業化,促進資訊科技和資訊產業的快速發展,推進資訊科技在各行業各領域的普及和應用。同時,江蘇還要建設現代國際製造業基地,有選擇、高起點地承接國際產業。
東北地區作為中國工業的搖籃,遼寧、吉林、黑龍江三省一度成為中國經濟的火車頭。東北是中國最重要的工業基地之一,東北地區在構建社會主義和諧社會中起著舉足輕重地作用,已形成以鋼鐵、機械、石油、化工等為核心的完整工業體系。工業區由南向北逐步推進,除原有的瀋陽—撫順—鞍山—本溪重工業區外,還出現了以機械、化工為主的旅大工業區,以煤炭、化工等為主的遼西走廊工業區,以機械、化工、造紙等為主的長春—吉林中部工業區,以電機、石油、機械工業等為主的哈爾濱—大慶—齊齊哈爾工業區,以煤炭—森林工業為主的黑龍江西部工業區等,另外東北也是中國主要的軍工業基地,軍工關係到一個國家的安全命脈,所以更易成為首要攻擊的目標。
二、國際工控裝置暴露情況
國際工控裝置的暴露情況以美國、巴西和南非為例進行簡要介紹。美國作為世界上最發達的工業化國家暴露的工控裝置最多。美國企業、政府、科研機構相互聯手,主導著全球網路資訊科技和產業的發展程序,包括英特爾、IBM、高通、思科、蘋果、微軟、甲骨文、谷歌等一批IT巨頭控制著全球網路資訊產業鏈的主幹,同時在半導體(積體電路)、通訊網路、作業系統、辦公系統、資料庫、搜尋引擎、雲端計算、大資料技術等關鍵技術領域也佔據明顯的先發優勢。在網際網路的新時代背景下,工業化遇上了資訊化,美國倡導“工業網際網路”,將智慧裝置、人和資料連線起來,通過網際網路,實現內外服務的網路化,並以智慧的方式利用這些交換的資料,形成開放而全球化的工業網路。在製造業巨頭通用電氣的領導下,美國五家行業龍頭企業聯手組建了工業網際網路聯盟(IIC),將工業網際網路推廣開來,以促進資訊化和工業化的深度融合。
圖5-6 美國暴露各工控協議佔比
同時,美國的網路空間軍事力量建設強大,已經具備全球網路空間作戰控制能力。美國一直大規模發展網路監控和攻防力量,在不斷提升國家的網路能力的同時,也在監聽其他國家的網路活動,收集情報。期諾登曝光“稜鏡門”事件後,美國也絲毫沒有放鬆網路空間軍事力量建設。正因如此,美國也成為眾矢之的,頻繁遭受有組織的犯罪集團或國家級的網路戰攻擊。據美媒報道,由伊朗支援的黑客集團,一直對美國能源、金融、水利、電力等行業進行網路攻擊,也曾成功地獲取美國企業的控制系統軟體許可權,足以破壞石油與天然氣管道裝置。
巴西工控裝置暴露數量位居第二。巴西的經濟非常發達,在整個拉美洲地區,巴西的經濟是首位的。巴西在70年代建成了比較完整的工業體系,主要工業部門有鋼鐵、汽車、造船、石油、水泥、化工、冶金、電力、紡織、建築等。核電、通訊、電子、飛機制造、軍工等已跨入世界先進國家的行列。在第二次世界大戰後,為改變單一的經濟結構,政府加快了工業化的步伐。巴西政府加快了工業化的步伐。巴西的鐵礦儲量大,質地優良,產量和出口量都居世界前列。在現代工業方面,鋼鐵,造船,汽車,飛機制造等已經躍居世界重要生產國家的行列。巴西是南美鋼鐵大國,為世界第六大產鋼國,鋼材出口達1200萬噸,佔全國鋼材總量的54%。也是拉美第一、世界第九大汽車生產國。
圖5-7 巴西暴露各工控協議佔比
由圖5-8所示,聖保羅(Sao Paulo)暴露的工控裝置數量極其突出。由於聖保羅是巴西最大的城市和最大的工業中心,大型工業企業有3000多家,工人達200餘萬,整體工業實力雄踞南美諸城市之首。聖保羅州盛產棉花、稻米和咖啡,所以作為州首府的聖保羅市的工業以棉紡、糧食加工、咖啡加工的傳統工業為主。後來,逐漸發展了冶金、機械、汽車、電力、食品、水泥、化學、橡膠、菸草、造紙等工業,而這些工業部門能夠大力發展的主要原因是城市附近有豐富的水力資源,工業原料的大部分可從聖保羅州及附近地區獲得。近二三十年來,聖保羅又建有巴西電子工業中心、汽車工業基地和全國最大的煉油廠。這也說明了越是重點的經濟發展區,工業發展越繁榮的地區,工控系統的暴露數量越多。
圖5-8巴西各地區暴露工控裝置數量
南非是非洲經濟最發達的國家,經濟發展水平較高,基礎設施良好,資源豐富,國內生產總值、對外貿易額均佔非洲之首。南非擁有非洲最先進的交通、電力、通訊等工業基礎設施。製造業、建築業、能源業和礦業是南非工業四大部門。主要產品有鋼鐵、金屬製品、化工、運輸裝置、機器製造、食品加工、紡織、服裝等。鋼鐵工業是南非製造業的支柱,擁有六大鋼鐵聯合公司、130多家鋼鐵企業。南非已成為世界最大的黃金生產國和出口國。發電量佔全非洲的60%。圖5-8中可發現用於電氣電力行業的自動化系統通訊標準IEC 60870-5-104暴露佔比最大,也說明了南非的電力、交通等基礎設施發展繁榮。
圖5-9 南非暴露各工控協議佔比
由圖5-4、5-6、5-7、5-9可見,對於中國、美國、南非、巴西幾個工控裝置暴露數量較多的幾個國家而言,使用佔比最多的是Tridium Niagara Fox,因其獨創的“Niagara Framework”框架,可以整合、連線各種智慧裝置和系統,而無需考慮它們的製造廠家和所使用的協議,形成一個統一的平臺,給客戶創造價值而受到全球大部分客戶的青睞。
同樣使用佔比較高的工控服務為Modbus協議,Modbus協議現屬於施耐德公司,是全球第一個真正用於工業現場的匯流排協議,因其公開發表無版稅要求,工業網路部署相對容易,對供應商來說,修改移動原生的位元或位元組沒有很多限制等優點,得到全球的廣泛應用。
常用於電氣電力行業的自動化系統通訊標準IEC 60870-5-104使用佔比也較高(南非尤為明顯)。IEC 60870-5-104是國際電工委員會制定的一個規範,用於適應和引導電力系統排程自動化的發展,規範排程自動化及遠動裝置的技術性能。IEC 60870-5-104可用於交通行業,利用IEC104規約實現城市軌道交通中變電站與基於都會網路的綜合監控系統的整合通訊是非常好的一個方法,它既保證了電力監控系統的開放性,又能很好的滿足城市軌道交通系統對電力監控系統資訊傳輸的實時、可靠等要求,又有利於利用標準化的優勢帶來開發的便捷性。
其餘的工控服務像OMRON FINS、樓宇BACnet等也被應用,但佔比較小。協議最初設計時候,為了兼顧工業控制系統通訊的實時性,很多都忽略了協議通訊的機密性、可認證性等。但是隨著工業控制系統與資訊網路的聯絡密切,傳統觀念認為工業內網與網際網路物理隔離已經不存在了,所以幾乎所有的現場匯流排協議都是明碼通訊。近幾年,出現了很多針對工控網路的新型攻擊方法,如PLC-Blaser病毒,這種病毒是研究人員在實驗室測試成功的蠕蟲病毒,它能夠從一臺PLC向另一臺PLC傳播而無需一臺PC或伺服器,它的設計是針對Siemens S7系列的PLC的。可見,越是使用廣泛的協議越要保證其傳輸資料的安全性。
由以上的統計圖表和分析可知,越是重點的經濟發展區,工控系統的暴露數量越多,也就越容易成為首要攻擊的目標。同時,“諦聽”團隊發現,部分暴露在網際網路上的工控系統存在已經被惡意利用的跡象,需引起高度重視。
三、工控IP與威脅情報關聯分析
我們利用暴露在網際網路上的工控IP地址與網際網路上(例如西刺等網站)爬取的威脅情報進行關聯了分析,其中包括代理IP庫(約133萬條)、洋蔥路由IP庫(約25萬條)、惡意IP庫(約480萬條)、殭屍節點IP庫(約113萬條)。將工控IP與其他各庫內的IP進行對比,計算工控資產IP相鄰網路的分佈情況,按照IP網路號相差≦±2、≦±4、≦±8、≦±16、≦±32進行比較統計,得到如下結果。
圖5-10 工控IP與威脅情報關聯分析
可以看出工控IP與洋蔥路由(TOR)IP關聯較大,且與殭屍節點IP、代理IP、惡意IP均存在大量關聯。這部分與威脅情報關聯極大的工控IP很有可能已經被應用於惡意攻擊,值得引起高度關注。
6. 工控系統攻擊分析
針對工業控制系統的病毒、木馬等攻擊行為近年來大幅度增長,能夠引發整個控制系統的故障,甚至惡性安全事故,對人員、裝置和環境造成嚴重的後果。東北大學“諦聽”團隊研發了工控安全蜜罐“諦聽左耳”,模擬多種工控協議和工控裝置,並全面捕獲攻擊者的訪問流量。通過蜜罐資料與威脅情報資料的關聯分析,能夠有效檢測針對工業控制網路的入侵行為,並對其進行進一步的分析和研究,為網路安全事件的預警預測提供資料支撐,有效防護工控網路系統安全。
“諦聽”蜜罐目前支援8個協議,根據其中已執行一年以上的蜜罐所收集的資料,經關聯分析,得出如圖6-1、6-2和6-3的視覺化展示,下面做簡要說明。其中,圖6-1展示了“諦聽”蜜罐捕獲攻擊者資料的多維度視覺化分析(Demo)。
圖6-1 威脅IP視覺化展示
圖6-2為各協議攻擊量佔比。S7通訊協議是西門子S7系列PLC內部整合的一種通訊協議,DNP3.0是電力、水廠常用的分散式網路協議,此外,Omron fins協議、Modbus協議可以說是工業自動化領域應用十分廣泛的通訊協議。因此,以上協議受到了網路安全研究人員的關注,截獲到的訪問流量較多。
圖6-2 各協議攻擊量佔比(資料來源“諦聽”)
圖6-3 各國家攻擊IP量排名(資料來源“諦聽”)
多個蜜罐所採集的資料從IP地址進行分析,圖6-3可直觀地展現2018年採集到各國攻擊IP的排名。由於當前“諦聽”蜜罐主要部署在國內地址上,因此監控到的來自國內IP的攻擊流量最高、美國、德國的攻擊流量排在第二、第三位。“諦聽”團隊正在對此類資料進行深入的分析和研究,將持續釋出相關的研究成果。
7. 總結
隨著國務院印發《關於深化“網際網路+先進製造業”發展工業網際網路的指導意見》,我國工業網際網路發展面臨新的發展機遇,同時也給保障工控安全帶來更為嚴峻的挑戰。我國網際網路普及和工業網際網路、大資料、數字化工廠等新技術、新業務的快速發展與應用,使工業控制系統網路複雜度在不斷提高,各生產單元內部系統與受控系統資訊交換的需求也不斷增長,工業控制系統網路安全需求也在快速的增長。近年來,隨著工業控制系統安全面臨高危安全漏洞層出不窮、暴露網際網路上的工控系統及裝置有增無減、網路攻擊難度逐漸降低,工業控制系統網路安全威脅與風險不斷加大。工控系統漏洞及入侵案例細節公開、美國網路“武器庫”洩露、APT組織依然活躍等問題,對我國工控系統安全不斷提出新的挑戰。工業與IT的高度融合,II/OT一體化把安全威脅從虛擬世界帶到現實世界,尤其是關鍵基礎設施,一旦遭受攻擊會帶來巨大的損失。
縱觀整個2018年,各類威脅資料持續上升。但是幸運的是,政產學研各界已經紛紛意識到工控系統網路安全的重要性,並採取措施加強預警,爭取防患於未然。工業網際網路在國內的推進無論從國家政策層面還是企業實際落地層面都得到了積極的重視,而對工業網際網路的資訊保安保障也是一樣的,伴隨著國家“網際網路+製造業”等政策的不斷推進落實,工業網際網路的推進速度必將不斷加快,工控安全行業任重而道遠。
報告資料提供:“諦聽”網路安全團隊全體成員
報告資料視覺化:金白澈
報告資料分析:“諦聽”網路安全團隊全體成員
報告編寫:姚羽教授、劉思宇、安紅娜
宣告:本文來自諦聽ditecting,版權歸作者所有。文章內容僅代表作者獨立觀點,不代表安全內參立場,轉載目的在於傳遞更多資訊。如需轉載,請聯絡原作者獲取授權。