工业控制系统攻击越来越频繁,但并不是什么新鲜事。假设现在是1903年,您正站在波尔多(英格兰康沃尔郡)偏远半岛边缘的一家大酒店前。尽管旅舍旁边竖立着巨大的天线,偶尔还有大风筝将它们抬得更高,但您可能没有意识到自己身处历史悠久的无线电报通信站点前,或者更确切地说,是第一个受害者的心碎之地Wi-Fi攻击地。被誉为无线电发明者和无线传输之父的意大利人古列尔莫·马可尼(GuglielmoMarconi)正准备将电报无线传输到300英里外的伦敦皇家学院。在马可尼开始发送电报之前,接收设备从另一个更强的无线电信号中发出莫尔斯电码信号:“老鼠……老鼠……老鼠……老鼠。”并。原来,一家有线电视公司聘请了英国魔术师和无线电爱好者内维尔·马斯基林来破坏马可尼的演示,想证明开放的无线电通信不是一个“安全和私密”的频道。根据美国能源部的《工业控制系统网络事件历史》报告,这是历史上最早记录的针对工业控制系统(ICS)的攻击之一。尽管当时无线电报还没有完全“工业化”,但这一事件仍然表明了社会赖以生存的关键ICS带来的潜在风险。ICS是控制工业技术操作的计算机,例如发电厂、水厂、天然气公用事业、通信基础设施和制造,有时是非常专业的专用计算机。ICS还包括监督控制和数据采集(SCADA)系统,这些系统是远程监视和控制ICS操作技术(OT)的计算机。虽然ICS设备通常是高度专业化的,但困扰传统计算机的软件和硬件漏洞也会感染ICS设备。安全专家长期以来一直警告企业,黑客也可以攻击ICS,最近发生的事件如ColonialPipeline勒索软件攻击(许多技术观察者,包括WatchGuard,多年前就预测到这种情况)就是证明。更令人担忧的是,近5年来,ICS攻击屡屡得手,且攻击后果越来越严重。尽管如此,我们还是可以保护这些系统,尤其是如果我们吸取历史教训的话。以下是我们可以从以前的ICS攻击中吸取的五个关键安全教训:1.恶意的内部人员甚至可以破坏最安全的系统,导致数百万加仑未经处理的废水意外排放。故障发生时没有发出警报。调查最终发现,一名心怀不满的承包商偷了电脑和收音机,并破坏了污水泵,以发泄他对没有找到一份固定工作的愤怒。保护自己免受恶意内部人员的侵害并不容易,但实施强有力的资产管理控制和快速撤销前雇员的流程会有所帮助。此外,这次攻击让MWS意识到其设备的无线通信未加密。如果您想使用可公开访问的通信媒体,则必须对其进行加密保护。2.保密和物理隔离与坚不可摧的安全不同2010年,针对伊朗核设施的Stuxnet攻击打开了国家支持的ICS网络攻击的潘多拉魔盒。复杂的攻击导致伊朗的铀浓缩离心机疯狂旋转并最终破碎。该攻击使用了利用四个零日漏洞的超高级恶意软件、首个针对专用设备的可编程逻辑控制器(PLC)Rootkit,甚至是携带恶意软件越过物理屏障的所谓双重代理。如果要从Stuxnet中吸取一个教训,那就是:只要有足够的时间、金钱和意愿,即使是最安全的设施也可能被攻破。如果你想保护关键系统,你必须实施非常先进的安全控制和程序来抵御黑客国家队的持续攻击。3.谨防鱼叉式网络钓鱼2014年和2015年,据称俄罗斯黑客通过鱼叉式网络钓鱼(内置诱饵的Word文档)在乌克兰电力公司的计算机上安装了BlackEnergy恶意软件。该恶意软件使黑客能够中断近25万乌克兰人的电力供应长达六个小时。(同样的事件在2016年再次发生,使用CRASHOVERRIDE恶意软件。)这只是以鱼叉式网络钓鱼开始的众多ICS攻击示例之一,包括2012年的Shamoon数据删除恶意软件、2012年的2014年美国天然气管道攻击和2014年德国钢铁厂黑客攻击。教训很明确:鱼叉式网络钓鱼是ICS攻击中极为常用的策略。请务必定期培训您的员工如何识别和避免鱼叉式网络钓鱼电子邮件。4.数字攻击可能导致人身伤害和死亡2017年,专家在调查沙特阿拉伯一家石化厂的系统故障时发现了非常专业的ICS恶意软件。该恶意软件旨在禁用紧急关闭和安全系统,从而造成物理损坏。业界普遍认为,TRITON是第一个旨在造成人员伤亡的网络攻击。保护ICS系统很重要,不仅因为它们提供的服务,还因为我们的人身安全。5、ICS易受勒索软件破坏从以往的例子来看,ICS攻击似乎属于黑客国家队和恐怖黑客的“生意”,但现在,网络犯罪分子也加入了发起ICS攻击的行列。例如,全球铝业巨头NorskHydro遭受了勒索软件感染,导致其关闭了部分生产线并恢复到手动流程。此类事件生动地验证了ICS对2019年的预测。有关最近的事件,请参阅对ColonialPipeline的勒索软件攻击。虽然这些事件的起因各不相同,但它们表明网络犯罪分子现在已经足够熟练地破坏ICS公司,而这些公司是勒索的好目标。同时也反映出2020年的ICS运营技术基本不存在。运营ICS公司最好配备详细的业务连续性计划和灾难恢复计划,以便在发生勒索软件攻击等灾难时快速恢复服务。这些只是我们从几次ICS网络攻击中吸取的一些教训。还有许多其他的经验教训,而且将来可能会更频繁地重复同样的案例。
