新闻快讯
< >

都说关键基础设施脆弱,然鹅,那又怎样?

E安全3月6日讯 美国马里兰州网络安全厂商 Dragos 公司发布的一批最新研究结果显示,经过测试,美国工业系统当中存在的安全漏洞半数以上都有可能导致“严重的运营影响”。2017年有超过60%的漏洞警告指出,关键基础设施可能被劫持,而71%的上报漏洞可能会削弱工作人员监控系统的能力。关键基础设施的安全顾问通常建议运营商打补丁,然而这种建议并不实际。

报告发现

在构成电网的现代发电厂、输电设施以及变电站当中,几乎所有任务都由计算机负责控制。而且自从2016年俄罗斯黑客在乌克兰引发电力中断以来,此类系统的安全性并没有得到显著提升。这类网络攻击事件在现实生活上演,这使得政府官员越来越担心基础设施领域的网络安全问题。


Dragos 公司专门研究各类工业控制系统,包括电网与工厂车间等等。该公司分析2017年存在于工业控制组件中的163项新安全漏洞,发现一旦在网络攻击当中遭到利用,其中61%都有可能造成“严重的运营影响”。

如果攻击者能够获得工厂运营网络的访问权限,那么大多数安全漏洞都将遭到利用,实际上有15%的漏洞允许攻击者立足外部实现入侵。

Dragos公司还发现,设备制造商就安全漏洞情况向公共设施及其它客户提出警告的具体方式同样存在多种严重问题。绝大多数安全公告(占2017年全部安全漏洞的72%)几乎没有提供任何有关解决安全漏洞的指导性意见。Dragos 公司高级漏洞分析师雷德·威特曼指出,这些厂商未能提供理想的替代性缓解数据。

漏洞主要存在使用协议与架构的设备中

此次新报告的一大亮点则在于,大多数工业控制安全漏洞都存在于使用协议与架构的设备当中,这导致此类设备在本质上就拥有风险因素。相比之下,其它额外漏洞反而变得不太重要。截至目前,针对复杂控制系统的攻击能力还仅被掌握在少数国家(例如美国、俄罗斯以及以色列)手中。

朝鲜黑客的下一个目标是美国电网?

2017年9月,Dragos 公司发现了一位代号为“Covellite”的黑客组织曾试图加入此俱乐部。Covellite 一直以美国、欧洲以及东亚部分地区的电力公共设施作为目标,利用鱼叉式网络钓鱼攻击作为起点,且使用的代码与基础设施与朝鲜黑客组织 Lazarus 集团曾经使用过的非常相似。

目前有迹象表明,朝鲜可能正在努力缩小与俄罗斯间的攻击能力差距,并将美国视为打击目标。如果朝鲜试图建立起可与俄罗斯匹敌的电网攻击能力,那么以工业控制系统层面来讲目前尚处于早期侦察阶段,Covellite 没有显示出任何特殊的专业知识。Dragos 公司的乔·斯洛维克表示这一问题的未来后果仍然令人担忧,从风险的角度来看,考虑到朝鲜半岛局势恶化的可能性,朝鲜方面势力的加入将令整个安全环境变得更为复杂。”

Feige图片20180306113233.jpg

这一发现也再次印证了安全业界此前所发现的,针对电力设施的攻击技术出现的巨大进步。2017年6月,Dragos 与欧洲安全厂商ESET 公司的研究人员共同发现,攻击者部署了一款复杂度令人吃惊的恶意软件 Crash Override,而其也正是引发2016年基辅冬季大停电的元凶,乌克兰政府有理有据地将此次攻击归因于俄罗斯,2017年年底,另一股不明身份的犯罪分子利用恶意软件 Triton 攻击了一家位于沙特阿拉伯的石化工厂,相关代码专门针对该工厂的安全系统缺陷而构建。

斯洛维克指出,Triton 攻击活动的出现标志着网络战争已经迎来了新的对抗规则。

都说关键基础设施脆弱,然鹅,那又怎样?

2017年,Dragos 查看了163个漏洞公告,其中大部分并未提供真正的解决方案。Dragos的资深漏洞分析师里德·怀特曼指出,72%的漏洞公告只建议 IT 团队为系统打补丁。关键基础设施的安全顾问通常建议运营商打补丁,然而这种建议并不实际,为系统打补丁对64%的关键设施而言毫无价值可言。这就如同病人每次到医院就医,医生只嘱咐患者吃药,但却不提供处方,也不提供药物详情以及何时服用药物等信息,仅仅只是嘱咐患者吃药,这完全无济于事。

打补丁并没有什么用

美国参议院能源与自然资源委员2018年2月28日就关键基础设施网络威胁召开听证会,Dragos 的首席执行官罗伯特·李在会上表示,美国如果遭遇大型网络攻击,美国政府应该会有应对之策。但如果在美国华盛顿哥伦比亚特区发生30分钟以上的停电时间又当如何?

朝鲜黑客可能正在开发用于关闭美国电网的恶意软件-E安全

大多数关键基础设施一开始就缺乏安全性,使用安全补丁就如同在骨折处贴上创可贴,根本毫无意义。安装补丁对于普通大众需要更新手机或笔记本电脑是有效的,然而,工厂的情况截然不同,它们可能需要24小时不停歇运转。

怀特曼还表示,普通大众可以在安装安全补丁时关机10分钟,但这对工厂和电厂而言10分钟意味着巨大损失。关键基础设施一年通常只有1或2次机会停止运转,获得更新。即使能获得更新,但等到安装的时候可能已为时已晚。

这份报告还指出,这些漏洞公告还敦促工厂使用安全的网络,但该建议也没什么用,因为它没有明确指出需要当心哪些网络漏洞利用,并且也没有提供其它有用的细节。

发布安全公告并不意味着,次日就会发生导致停电的大规模网络攻击,但上述这些建议对防止网络攻击毫无帮助。一方面,关键基础设施系统收到了警告通知,但却未部署适当的修复措施,也也为攻击者打开了机会之门。怀特曼建议,在关键基础设施运营商无法立即打补丁的情况下,安全公告应向其提供降低风险的建议。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。