去年年底，惡意軟件CrashOverrided攻陷了烏克蘭電網(wǎng)30座變電站，導(dǎo)致23萬烏克蘭居民陷入黑暗之中1。美國安全公司Dragos隨后發(fā)布了針對該惡意軟件的報告。對此，行業(yè)領(lǐng)先的網(wǎng)絡(luò)測試、可視性和安全解決方案供應(yīng)商Ixia(Nasdaq: XXIA)提出了各企業(yè)預(yù)防工業(yè)控制系統(tǒng)(ICS)攻擊的幾點建議。

Dragos對CrashOverride惡意軟件的分析報告具體而詳細，然而此次攻擊滲透到全球關(guān)鍵基礎(chǔ)設(shè)施的嚴峻事實卻表明了電力系統(tǒng)在未來仍有遭受針對性攻擊的風(fēng)險。例如去年年初，一家名為Kemuri Water Company的水務(wù)公司的數(shù)百個可編程邏輯控制器(PLC)遭遇黑客襲擊，而這些控制器管理著用于水處理的有毒化學(xué)物質(zhì)，將造成無法想象的嚴重后果。

Ixia首席安全研究工程師Chuck McAuley表示：“針對特定工業(yè)控制系統(tǒng)的惡意軟件開發(fā)需要集結(jié)大量人力以及深厚的專業(yè)技術(shù)，黑客不可能隨隨便便就在地下室里造出一個電網(wǎng)‘鏡像實驗室’，因此這些攻擊通常都獲得了某個政體集團的資助。各個國家以及參與基礎(chǔ)設(shè)施建設(shè)的私營合作伙伴必須主動采取安全措施，例如在互聯(lián)電網(wǎng)覆蓋多個國家的歐洲，運營商們必須隨時準備好應(yīng)對網(wǎng)絡(luò)攻擊。”

在政體的支持下，網(wǎng)絡(luò)攻擊正在快速演化并將繼續(xù)蔓延。CrashOverride惡意軟件能夠同時利用歐洲、亞洲和中東工業(yè)控制系統(tǒng)中的四種通信協(xié)議，這充分反映了工業(yè)控制系統(tǒng)的潛在設(shè)計缺陷。

McAuley補充：“這一類的攻擊說明，反復(fù)開關(guān)斷路器應(yīng)能觸發(fā)遠程終端單元和網(wǎng)絡(luò)設(shè)備發(fā)出警告。速率限制、串聯(lián)緩解技術(shù)和機器學(xué)習(xí)防御已相當(dāng)成熟，可以輕松保護工業(yè)控制系統(tǒng)。如果黑客的意圖只是造成中斷，則不必采用高極諜報技術(shù)。在這種特殊情況下，惡意軟件根本不攻擊零日漏洞，而是有針對性的選擇工業(yè)控制系統(tǒng)網(wǎng)絡(luò)的設(shè)計缺陷。您的黑客對手將僅僅暴露漏洞，盡可能使用自己的工具包，以達到自己的目的。”

Ixia認為，各企業(yè)機構(gòu)只需采取幾個簡單步驟就可以更好地針對此類攻擊做防御準備：

1.保持離線

如果無力維護配備最新防御方案的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)，企業(yè)機構(gòu)就必須斷開網(wǎng)絡(luò)連接。事實上，各企業(yè)機構(gòu)應(yīng)該盡力避免直接IP通信。網(wǎng)絡(luò)隔離可以有所幫助，但并非每次都能

夠防止惡意軟件的入侵。

2.信息共享即是重視

不論是公共部門還是私營企業(yè)應(yīng)倡導(dǎo)信息共享文化。事實上網(wǎng)絡(luò)安全最困難的環(huán)節(jié)就是與各個行業(yè)的同行建立和維持信任。既然黑客們已經(jīng)做到了這一點，那么各企業(yè)也應(yīng)如此。惡意攻擊往往是將溝通不暢、法律缺陷與其他管理混亂作為自己的籌碼。

3.讓全局盡現(xiàn)眼前

在大多數(shù)情況下，特別是正如Dragos報告中所述，可視性是阻止工業(yè)攻擊的關(guān)鍵因素。網(wǎng)絡(luò)可視性應(yīng)成為任何安全態(tài)勢的基石。此外，速率限制和警報功能應(yīng)與強大的可視性平臺結(jié)合在一起，以便在異常發(fā)生時及時通知運營商。

4.有備無患是關(guān)鍵

除了掌握正確的關(guān)系動態(tài)或工具，各企業(yè)機構(gòu)在發(fā)生攻擊時不應(yīng)束手無策。它們應(yīng)對網(wǎng)絡(luò)設(shè)備和人員進行測試，從而為應(yīng)對攻擊做好準備。由于測試設(shè)備比較簡單，各企業(yè)可以利用桌面環(huán)境，在真實環(huán)境下，用網(wǎng)絡(luò)靶場攻防演練來測試人員，這將讓企業(yè)員工像黑客一樣學(xué)習(xí)如何創(chuàng)造性地執(zhí)行和思考。

McAuley總結(jié)說：“經(jīng)驗越多，反應(yīng)就越快，也就越胸有成竹。 如果CrashOverride的受害者對自己的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)爛熟于心，他們就能立即發(fā)現(xiàn)流量模式出現(xiàn)的變化：掃描基于OPC的服務(wù)和反復(fù)開關(guān)斷路器的IEC 104命令，讓網(wǎng)絡(luò)監(jiān)控設(shè)備能夠?qū)崟r查看和監(jiān)控這些處理進程。