去年年底，惡意軟件CrashOverrided攻陷了烏克蘭電網(wǎng)30座變電站，導(dǎo)致23萬(wàn)烏克蘭居民陷入黑暗之中1。美國(guó)安全公司Dragos隨后發(fā)布了針對(duì)該惡意軟件的報(bào)告。對(duì)此，行業(yè)領(lǐng)先的網(wǎng)絡(luò)測(cè)試、可視性和安全解決方案供應(yīng)商Ixia(Nasdaq: XXIA)提出了各企業(yè)預(yù)防工業(yè)控制系統(tǒng)(ICS)攻擊的幾點(diǎn)建議。

Dragos對(duì)CrashOverride惡意軟件的分析報(bào)告具體而詳細(xì)，然而此次攻擊滲透到全球關(guān)鍵基礎(chǔ)設(shè)施的嚴(yán)峻事實(shí)卻表明了電力系統(tǒng)在未來(lái)仍有遭受針對(duì)性攻擊的風(fēng)險(xiǎn)。例如去年年初，一家名為Kemuri Water Company的水務(wù)公司的數(shù)百個(gè)可編程邏輯控制器(PLC)遭遇黑客襲擊，而這些控制器管理著用于水處理的有毒化學(xué)物質(zhì)，將造成無(wú)法想象的嚴(yán)重后果。

Ixia首席安全研究工程師Chuck McAuley表示：“針對(duì)特定工業(yè)控制系統(tǒng)的惡意軟件開(kāi)發(fā)需要集結(jié)大量人力以及深厚的專業(yè)技術(shù)，黑客不可能隨隨便便就在地下室里造出一個(gè)電網(wǎng)‘鏡像實(shí)驗(yàn)室’，因此這些攻擊通常都獲得了某個(gè)政體集團(tuán)的資助。各個(gè)國(guó)家以及參與基礎(chǔ)設(shè)施建設(shè)的私營(yíng)合作伙伴必須主動(dòng)采取安全措施，例如在互聯(lián)電網(wǎng)覆蓋多個(gè)國(guó)家的歐洲，運(yùn)營(yíng)商們必須隨時(shí)準(zhǔn)備好應(yīng)對(duì)網(wǎng)絡(luò)攻擊。”

在政體的支持下，網(wǎng)絡(luò)攻擊正在快速演化并將繼續(xù)蔓延。CrashOverride惡意軟件能夠同時(shí)利用歐洲、亞洲和中東工業(yè)控制系統(tǒng)中的四種通信協(xié)議，這充分反映了工業(yè)控制系統(tǒng)的潛在設(shè)計(jì)缺陷。

McAuley補(bǔ)充：“這一類的攻擊說(shuō)明，反復(fù)開(kāi)關(guān)斷路器應(yīng)能觸發(fā)遠(yuǎn)程終端單元和網(wǎng)絡(luò)設(shè)備發(fā)出警告。速率限制、串聯(lián)緩解技術(shù)和機(jī)器學(xué)習(xí)防御已相當(dāng)成熟，可以輕松保護(hù)工業(yè)控制系統(tǒng)。如果黑客的意圖只是造成中斷，則不必采用高極諜報(bào)技術(shù)。在這種特殊情況下，惡意軟件根本不攻擊零日漏洞，而是有針對(duì)性的選擇工業(yè)控制系統(tǒng)網(wǎng)絡(luò)的設(shè)計(jì)缺陷。您的黑客對(duì)手將僅僅暴露漏洞，盡可能使用自己的工具包，以達(dá)到自己的目的。”

Ixia認(rèn)為，各企業(yè)機(jī)構(gòu)只需采取幾個(gè)簡(jiǎn)單步驟就可以更好地針對(duì)此類攻擊做防御準(zhǔn)備：

1.保持離線

如果無(wú)力維護(hù)配備最新防御方案的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)，企業(yè)機(jī)構(gòu)就必須斷開(kāi)網(wǎng)絡(luò)連接。事實(shí)上，各企業(yè)機(jī)構(gòu)應(yīng)該盡力避免直接IP通信。網(wǎng)絡(luò)隔離可以有所幫助，但并非每次都能

夠防止惡意軟件的入侵。

2.信息共享即是重視

不論是公共部門還是私營(yíng)企業(yè)應(yīng)倡導(dǎo)信息共享文化。事實(shí)上網(wǎng)絡(luò)安全最困難的環(huán)節(jié)就是與各個(gè)行業(yè)的同行建立和維持信任。既然黑客們已經(jīng)做到了這一點(diǎn)，那么各企業(yè)也應(yīng)如此。惡意攻擊往往是將溝通不暢、法律缺陷與其他管理混亂作為自己的籌碼。

3.讓全局盡現(xiàn)眼前

在大多數(shù)情況下，特別是正如Dragos報(bào)告中所述，可視性是阻止工業(yè)攻擊的關(guān)鍵因素。網(wǎng)絡(luò)可視性應(yīng)成為任何安全態(tài)勢(shì)的基石。此外，速率限制和警報(bào)功能應(yīng)與強(qiáng)大的可視性平臺(tái)結(jié)合在一起，以便在異常發(fā)生時(shí)及時(shí)通知運(yùn)營(yíng)商。

4.有備無(wú)患是關(guān)鍵

除了掌握正確的關(guān)系動(dòng)態(tài)或工具，各企業(yè)機(jī)構(gòu)在發(fā)生攻擊時(shí)不應(yīng)束手無(wú)策。它們應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備和人員進(jìn)行測(cè)試，從而為應(yīng)對(duì)攻擊做好準(zhǔn)備。由于測(cè)試設(shè)備比較簡(jiǎn)單，各企業(yè)可以利用桌面環(huán)境，在真實(shí)環(huán)境下，用網(wǎng)絡(luò)靶場(chǎng)攻防演練來(lái)測(cè)試人員，這將讓企業(yè)員工像黑客一樣學(xué)習(xí)如何創(chuàng)造性地執(zhí)行和思考。

McAuley總結(jié)說(shuō)：“經(jīng)驗(yàn)越多，反應(yīng)就越快，也就越胸有成竹。 如果CrashOverride的受害者對(duì)自己的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)爛熟于心，他們就能立即發(fā)現(xiàn)流量模式出現(xiàn)的變化：掃描基于OPC的服務(wù)和反復(fù)開(kāi)關(guān)斷路器的IEC 104命令，讓網(wǎng)絡(luò)監(jiān)控設(shè)備能夠?qū)崟r(shí)查看和監(jiān)控這些處理進(jìn)程。