×

2016年3例严重工控安全事故经验教训总结
  

Sangfor_闪电回_朱丽 5929

{{ttag.title}}



如今,随着物理控制和电子系统的高度集成,在严峻的安全威胁形势下,工业控制系统(ICS)安全事关国家关键基础设施安全和民生安全,必须大力加强安全管理。在此,我们就2016年三次主要ICS事件进行讨论,综合专家意见,总结经验。


1 Operation GHOUL(食尸鬼)行动

2016年8月,卡巴斯基安全实验室揭露了针对工控行业的“食尸鬼”网络攻击活动,攻击通过伪装阿联酋国家银行电邮,使用鱼叉式钓鱼邮件,对中东和其它国家的工控组织发起了定向网络入侵。攻击中使用键盘记录程序HawkEye收集受害系统相关信息。



卡巴斯基目前发现了全球130多个受攻击目标,大多为石化、海洋、*、航空航天和重型机械等行业,涉及西班牙、巴基斯坦、阿联酋、印度、中国、埃及等国。攻击使用的鱼叉式邮件主要发送对象为目标机构的高级管理人员,如销售和市场经理、财务和行政经理、采购主管、工程师等。


观点:必须注重人员安全意识问题

Lane Thames, Tripwire漏洞安全研究组专家。他认为,从“食尸鬼”行动可以看出,在安全防范时,必须要注重人员安全意识问题。


食尸鬼”攻击行动使用了商业现成的恶意软件,虽然没有创新,但其结合了社会工程学中人的因素,针对目标机构特定人员进行了成功的定向入侵渗透。


虽然这只是众多攻击中的一个案例,但可以看出工控行业在网络安全方面远远落后于攻击者。安全永远是一个棘手的问题,不能只单纯依靠技术来解决,人员因素同样重要。技术和人员因素必须综合考虑。我个人认为,要解决好这个问题,还有很长的路要走,因为在我们的安全教育模式中就没有关注到这个问题。


短期内,工控组织机构应该对员工进行持续的网络安全和意识安全培训。长远来看,应该从早期教育入手,加强相关的网络安全教育培训,让年轻一代在懂得使用信息技术的同时,也能意识到网络安全的重要性。


2 BLACKENERGY(黑暗力量)攻击导致的断电事故

2015年12月23日,乌克兰电力供应商Prykarpattyaoblenergo通报了持续三个小时的大面积停电事故,受影响地区涉及伊万诺-弗兰科夫斯克、卡卢什、多利纳等多个乌克兰城市。后经调查发现,停电事故为网络攻击导致。攻击者使用附带有恶意代码的Excel邮件附件渗透了某电网工作站人员系统,向电网网络植入了BlackEnergy恶意软件,获得对发电系统的远程接入和控制能力。



BlackEnergy木马病毒,2007年被Arbor网络公司首次发现,之后,该恶意软件功能经历了多种变化,从相对简单的DDoS到拥有模块化结构的Rootkit技术,再到后来的具有插件支持、远程代码执行、数据采集等功能,在其最新升级版本中,还支持代理服务器、UAC绕过技术等。BlackEnergy在早期主要被黑客用于发送垃圾邮件、网上银行诈骗等。


观点:必须制订和遵守安全规则

Pavel Oreški,Tripwire网络安全专家,他认为此次攻击表明,恶意邮件和垃圾邮件对某些组织机构来说仍然是一种严重的安全威胁。


“BlackEnergy对乌克兰造成的断电事故让人震惊,这恰好能直观地说明,一个员工就能导致一场灾难性事件发生。要是这种事情发生在核电站,无法想像其后果该有多严重。


此次事件中,攻击原因是由于电站某工作人员收到了一封附带恶意宏代码的excel邮件文档,在打开文档时启用了宏功能(enable macros),导致了攻击载体植入。而现如今,我们常常会收到大量类似的垃圾邮件。


如果忽视安全准则,点击了这样的恶意文档,可能会让企业资源系统(ERP)遭到攻击者破坏,最终使业务陷入瘫痪,延迟,甚至会导致重购、重建等严重问题。


3 伊朗黑客攻击美国大坝事件

2016年3月24日,美国某公司公开指责7名伊朗黑客入侵了纽约鲍曼水坝(Bowman Avenue Dam)的一个小型防洪控制系统。幸运的是,经执法部门后期调查确认,黑客还没有完全获得整个大坝计算机系统的控制权,仅只是进行了一些信息获取和攻击尝试。这些伊朗黑客可能为伊朗伊斯兰革命卫队服务,他们还涉嫌攻击了包括摩根大通、美国银行、纽约证券交易所在内的46家金融机构。



观点:组织机构必须采取循序渐进的多重防护策略,同时要具备网络运行快速恢复能力

Keirsten Brager,CISSP, CASP, Tripwire驻某大型电力设施工程师。她认为,该事件可能比较复杂,但组织机构内部可以采取有效的保护措施。事件报道中主要突出了三方面问题:第三方机构感染了恶意软件、僵尸网络发起了对网站的DDoS攻击、远程入侵漏洞。虽然没有任何一种解决方案是完美的,但一些深度防御策略可以缓解类似威胁风险。


恶意软件:防御,检测,响应


保持系统和应用程序的最新补丁,赛门铁克曾报道过RIG漏洞利用工具包就以Java、Flash、Adobe和Silverlight漏洞为目标。未打补丁的系统感染恶意软件的机率较大。

一些恶意软件可能会逃避网络安全的实时监测,所以,组织机构内部须经常升级和评估终端检测防护能力。

部署WEB应用防火墙(WAF),自动阻断已知的WEB应用攻击。


DDoS攻击:检测、缓解


更改内置或默认的用户名密码,防止设备被恶意软件感染成为僵尸网络;

使用OpenDNS类似服务以减轻或缓解DDoS攻击流量对网络基础设施造成的影响;

部署一些可以进行DoS攻击检测过滤的路由器或防火墙设备。


安全认证:多因素认证


伊朗黑客对纽约鲍曼水坝进行攻击入侵的电脑系统未设置多因素认证;

对摩根大通等银行关键基础设施的攻击,主要原因在于相关系统缺乏双因素认证;

博思艾伦公司最新的威胁简报指出,造成乌克兰断电事故的主要原因在于,黑客远程渗透入侵了缺乏多因素认证的电网系统。


这些攻击事件表明,最好的安全防护策略之一是针对远程访问的多因素身份认证。针对恶意软件、DDoS和远程入侵等攻击,组织机构内部可以建立弹性的安全防御策略


但即使是最全面的部署防御也不是最安全最完美的。因此,对组织机构来说,具备持续监测响应能力,快速从网络攻击事件中恢复和运行才是最主要的。


总结

为应对未知安全事故,工控组织机构可以通过加强雇员安全培训、制订安全规则、采取多种安全防护措施,最大程度地实现全方位安全防护目的。


来自FreeBuf

打赏鼓励作者,期待更多好文!

打赏
暂无人打赏

Sangfor_闪电回_朱丽 发表于 2016-11-14 11:34
  
最好的安全防护策略之一是针对远程访问的多因素身份认证。针对恶意软件、DDoS和远程入侵等攻击,组织机构内部可以建立弹性的安全防御策略。但即使是最全面的部署防御也不是最安全最完美的。因此,对组织机构来说,具备持续监测响应能力,快速从网络攻击事件中恢复和运行才是最主要的。

安全事件越来越多,安全问题也越来越严重,如何做到提前预防、及时响应,快速恢复,试试某公司AF吧
稻草 发表于 2016-11-15 10:34
  
woshishui 发表于 2016-11-15 12:59
  
赞一个
新手589624 发表于 2020-3-17 08:27
  
安全事件触目惊心
发表新帖
热门标签
全部标签>
技术盲盒
西北区每日一问
安全效果
干货满满
每日一问
技术笔记
【 社区to talk】
新版本体验
功能体验
技术咨询
产品连连看
标准化排查
GIF动图学习
2023技术争霸赛专题
每周精选
信服课堂视频
通用技术
自助服务平台操作指引
秒懂零信任
技术晨报
安装部署配置
答题自测
原创分享
升级&主动服务
社区新周刊
POC测试案例
畅聊IT
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
高手请过招
高频问题集锦
全能先锋系列
云化安全能力

本版达人

SANGFOR...

本周分享达人