用户中心

资讯 > 专题报道

震网对于工业控制系统的启示

作者:华镕,罗克韦尔自动化(中国)有限公司2011.12.16阅读 6382

        自动化工程师需要认真对待“震网”(Stuxnet病毒,并且从中吸取教训。震网不仅仅是IT中的蠕虫,还是一种攻击工艺流程的成熟武器。震网使用编程软件下载自己的编码至PLC系统。
        在震网(Stuxnet)之前CONTROL ENGINEERING China版权所有,任何网络的攻击(有目标或无目标)被认为能够由IT安保技术发现,诸如防火墙或侵入检测系统,深度防御能够防止对物理过程的危害。然而,从前实际控制系统的网络事故(恶意的和无意的)已经展示了很多工业控制系统(ICS)网络事故不是容易检测到的,并且它们能够引起物理损坏,甚至已经存在了深度防御的设计。
        美国能源部(DOE)和国土安全部(DHS)已资助连续开发ICS侵入检测系统(IDS)/侵入预防系统(IPS)技术和加固监视控制和数据采集(SCADA)系统。注意使用SCADA这个术语是重要的,因为这些同样的技术还没有实施到很多老式非SCADA设备上,诸如PLC,电子驱动器,过程传感器,和其他现场设备。另一个隐含假定正在开发的标准中,诸如ISA99和北美电气可靠性公司(NERC)的关键基础架构保护(CIP)标准,针对ICS的攻击已经足够的全面,包括一些非常棘手的攻击。
        震网历史
        震网第一次网络攻击是针对ICS设备的说法尚有争论。震网直到2010年的6月中才被人们知道,当它被调查人使用VirusBlockAda识别后,一家位于白俄罗斯明斯克的安保供应商。(VirusBlockAda监视什么系统或谁是客户尚不清楚)。
        这个蠕虫是著名的,不仅是它的技术复杂度,而且因为它瞄准ICS设计,运行在电厂,包括核电站,智能电网,水处理系统,海上油井平台,舰船,其他关键基础设施,甚至针对伊朗的关键基础设施。具有讽刺意味的是,DOE有一个对等研发部门在震网揭露的那一周进行了复审,没有一个DOE研发项目知道它的存在。
        很多人认为震网是一种数据泄漏问题。数据泄漏涉及到非授权计算机系统信息输出的隐蔽传送。然而,震网远不是数据泄漏——它是第一个针对PLC的根工具(rootkit)。根工具是一组程序和编码,隐藏在计算机中的恶意软件。它是针对过程进行攻击的武器。它有使用编程软件的能力,把自己的编码加载到PLC中。另外,震网隐藏在这些编码块中,所以当一个编程人员使用感染设备试图观看PLC的所有代码块时,他们不会发现被震网感染的代码。因此,震网不仅是把自己隐藏在视窗系统中的根工具,还是第一个共所周知躲藏在PLC代码背后的根工具。特别地,震网钩住编程软件,这意味着当有人使用该软件观察PLC的代码块时,感染的块不会被发现CONTROL ENGINEERING China版权所有,并且不能被重写。震网包含70种加密的代码块,出现的形式是替换一些基础的日常程序。在这些块下载到PLC之前CONTROL ENGINEERING China版权所有,它们要根据PLC类型进行定制。 有报告称:大于100,000机器受到震网的影响。然而,震网是一种多维度的攻击。可见的面貌是数据泄漏,这不影响PLC;影响PLC的真正武器确不易发现。根据Ralph Langner 在应用控制解决方案2010研讨会的介绍,病毒的作用只在满足了特定的条件后才会爆发。因此,还不清楚究竟有多少机器实际被这种“武器”所感染。
        震网能够使用MS08-067,同样是Downadup蠕虫使用的漏洞来传播。MS08-067是一种要命的漏洞CONTROL ENGINEERING China版权所有,存在于Windows 2008/Vista/2003/XP/2000视窗服务器的服务中,使得感染计算机能够被黑客远程控制,与登录的用户有着相同的权限。如果这个用户具有管理员的权限,黑客能够接管系统的全部控制。震网出现的时间与Conficker蠕虫相同。震网能够使用 Conficker蠕虫传播它自己。
        震网的启示
        无论有意还是无意,震网管理使用了在ICS 网络中出现的一系列常规弱点:
        • 震网使用闪存(U盘)从物理接口进入系统,然后使用Windows中的多处漏洞,获得对PLC的访问权限。通过攻击Windows接口,焦点在Windows,而不是在 PLC攻击。另外,多数政府对工业的早期响应不是直接针对ICS工程师。
        • 工业不知道复杂的ICS网络攻击是什么样子,或那种控制系统的独有属性被当作目标。一种复杂攻击,诸如震网,多数不能被ICS中的侵入检测系统和侵入保护系统IDS/IPS或ICS安保研究人员所发现。能源部赞助资金开发IDS规则和签名的努力没有实施。
        • DOE资助项目没有针对老版本的Windows,而普遍用于多数的ICS系统,这是震网的攻击对象。DOE资助的集成安保系统不能发现它。工业需要理解ICS网络漏洞的独特性,不能通过典型的IT分析来发现。
        • 有6种传播途径,而仅有一个补丁针对震网。因此,补丁管理应该有最好的方法,最小影响,阻止攻击。
        • DOE或DHS没有努力针对PLC,就像针对基于Windows的SCADA系统,分布式控制系统,和归档数据库。因此,没有特定的IDS/IPS签名被开发出来。
        • 震网代码是模块化的,震网代码的很多部分可以应用与任何ICS厂家。所以每家ICS厂商都需要做好准备,预防震网的网络攻击,并且准备现场遭受攻击后的恢复预案。
        • 反病毒解决方案可能不一定成功CONTROL ENGINEERING China版权所有,直到实际的攻击被理解之后。IT类型的解决方案可能提供一种安保的错觉,并且影响ICS设备的性能。
        • 发现这种蠕虫要花去非常资深IT安保研究人员的很大精力,也将花费ICS人员的时间去理解这个过程。需要建立一支由IT安保研究人员、ICS专家、威胁分析师和法律专家的团队,应对这些复杂类型的攻击。
        • 可能与以前的网络病毒爆发(如Conficker)有很多连接。连接点和重新检查以前ICS网络事故,再来考虑这些“新”攻击是非常重要的。
        • 震网蠕虫代表一种不同的相互依赖模式——ICS厂商。在这种情况下,感染西门子PLC 可能影响多个工业领域,每种情况可以有其他的相互依赖。这种相互依赖需要有不同的理解。
        • NERC CIP流程是不足以应对诸如像震网这样的事件,特别在运行的(变电站或工厂)环境。
        • 震网对智能电网展示了一个危险关键现象——依靠钥匙管理。智能电网网络安保的缓解方法需要重新检查。
        对于震网我们可以做什么还是个问题,因为现在不可能指认哪个控制器被“感染了”。 因为这是一个工程攻击,工厂和变电站工程设计和计划组织部门需要围绕这类攻击进行工作,从网络的观点这是不能工作的。安全、保护和控制在同一个网络上融合使得攻击,诸如震网会造成破坏性的结果。
        如何预防震网
        震网的开发者不想病毒被认出,至少在早期阶段,并且针对特定的目标,用外科手术式的方法。我们不认为仿冒者会重复这种做法,也不会对发现他们而不在乎。为了保护关键基础设施,要采取重要措施,防止相似的弱点受到类似的攻击。
        • 根据ISA S99、NERC CIP、核管制委员会(NRC)管制指南5-71和核能研究所(NEI)08-09CONTROL ENGINEERING China版权所有,执行一次详细的漏洞分析。
        • 建立和执行ICS网络安保策略和程序。
        • 理解你的ICS中实际上有什么。
        • 针对不同的ICS应用适当的技术。
        • 使工程和计划组织部门评估震网攻击的潜在影响。
        • 要准备备份方案,因为ICS将被有意或无意的网络事故所影响。
        • ICS网络安保研究需要包括ICS现场设备,它们通常没有安保功能,但可能接到最糟的结果。
        结论
        • 震网是一种对物理过程的攻击,这意味着它不是“可补丁的”。
        • 这是一种目标为ICS的复杂网络攻击,ICS社区没有什么机会去检测它。
        • IT恶意件研究人员有最佳的机会去发现它。ICS社区需要与他们合作。
        • 对于震网,ICS社区需要理解怎样检测感染,知道是否可以信赖控制系统。
        • 不要固定在西门子的PLC,这可能发生在任何的ICS上。
        • 当你的系统受影响时,要启动备份方案。
版权声明:版权归控制工程网所有,转载请注明出处!

频道推荐

关于我们

控制工程网 & CONTROL ENGINEERING China 全球工业控制、自动化和仪器仪表领域的先锋媒体

CE全球

联系我们

商务及广告合作
任小姐(北京)                 夏小姐(上海)
电话:010-82053688      电话:18616877918
rendongxue@cechina.cn      xiashuxian@cechina.cn
新闻投稿:王小姐

关注我们的微信

关于我们 | 网站地图 | 联系我们
© 2003-2020    经营许可编号:京ICP证120335号
公安机关备案号:110102002318  服务热线:010-82053688