■ 文 / 彭 華
像癌癥一樣傳播:世界首個PLC病毒問世工控網絡安全成網絡空間對抗的重要戰(zhàn)場
■ 文 / 彭 華
工控網絡安全技術是衡量一個國家綜合實力的重要組成部分,是國家安全的重要命題,也是信息安全與工業(yè)自動化的跨學科的集成,涉及到國家安全、經濟安全、民生安全,是新經濟時代一個基礎性的、亟待解決的問題,需要各級政府部門、各行業(yè)一起來加速推動。
當人人都在說互聯(lián)網時代的時候,這是一個好的時代,也是一個壞的時代。近十多年,互聯(lián)網的發(fā)展不斷突破現(xiàn)實與虛擬的邊界,而這個世界,早已運行著,一個更大更久遠的極具潛力的O2O的體系——工業(yè)。
2010年的“震網”病毒,不僅把網震了,也震驚了全世界?,F(xiàn)實世界的精準打擊,在網絡上得到復制。工業(yè)世界不是網絡虛擬世界,就是一個現(xiàn)實世界。如果一個電站被攻破,電網可能因為一個節(jié)點的損壞而造成全局破壞;如果化工廠的生產流程工藝被入侵,劇毒原料外泄,一座城市的居民就會有生命危險,于是工控安全就尤其重要了。
最近半年來發(fā)生的工控安全事件,如烏克蘭電廠,已證明工控安全形勢岌岌可危,甚至個人都可以發(fā)起對關鍵基礎設施的毀滅性打擊。應對這種攻擊,需要替換西門子S7 1200可編程控制器中的硬件,以能夠檢測到更高的頻率,并且在作動器(actuator)和PLC周圍安裝低通濾波器。這種需要實施硬件的更新?lián)Q代的應對,成本非常之高,而這對于龐大陳舊的工控系統(tǒng)來說,代價之大難以想象。工控安全已成為工業(yè)互聯(lián)網暗處的冰山。
據(jù)外媒報道,日前,世界首個PLC病毒,即工控蠕蟲病毒問世,它能夠對關鍵基礎設施產生災難性的后果,通過制造指數(shù)級增長的攻擊,而且難以檢測和制止。所幸的是,它現(xiàn)在還只是個POC(概念驗證)。
這個POC已經被兩起獨立的研究測試證實,能夠以靜默模式實現(xiàn)端到端的攻擊。有人會說,震網不就是工控病毒嗎?話雖這樣說,但震網之類的工控惡意軟件,包括“黑色能量”等要依賴于一臺被感染的計算機才能傳播并感染PLC(可編程控制器),也就是說把被感染的計算機移除即可制止病毒的傳播。
開發(fā)出這個真正工控蠕蟲POC的兩位研究人員,Spenneberg(斯班伯格)和Brüggeman(布魯格曼)表示,該病毒可以在西門子 S7 1200 可編程控制器之間像癌癥一樣的擴散,并在改編之后作用于其他系統(tǒng)。而且還可以在代理鏈接中使用,作為立足點以進入基礎設施的網絡系統(tǒng)。
這是第一個無需借助PC或其他系統(tǒng),即可實現(xiàn)在PLC之間進行傳播的蠕蟲病毒。想象一下,如果你的工控系統(tǒng)中的一臺PLC被感染,你是很難檢測到的,而且很快它就能擴散到整個系統(tǒng)中。
“利用這個病毒,可以發(fā)起拒絕服務,停止PLC的工作等等,我們都知道這對大型工廠或關鍵基礎設施意味著什么?!眱晌谎芯咳藛T制作了一個仿真電廠構造來演示蠕蟲的攻擊過程。隨著蠕蟲在PLC之間的跳躍,LED燈在150毫秒的最大時間周期內閃爍后熄滅。
更加可怕的是,這種蠕蟲攻擊還可以被PLC產生的電波頻率和振幅所掩蓋。另兩位安全研究人員Bolshev和Krotofil的研究表明,攻擊者可以通過石油管道入侵遠程站,判斷正常的頻率模式,然后重復用高頻率組件重復這些電波,以掩蓋攻擊破壞行為。
當今社會,國家安全邊界已經超越地理空間限制,延伸到了信息網絡,而在信息技術與傳統(tǒng)工業(yè)融合的過程中,工業(yè)控制系統(tǒng)正面臨越來越多的網絡安全威脅。
從業(yè)內公開的數(shù)據(jù)來看,2014年,工控用戶在控制系統(tǒng)中發(fā)生網絡安全事故的比例有所提升,受網絡安全事件影響的企業(yè)占比達到了28.6%,因病毒造成工控網絡停機的企業(yè)高達19.1%。2015年僅美國國土安全部的工業(yè)控制系統(tǒng)網絡應急響應小組(ICS-CERT)就收到了295起針對關鍵基礎設施的攻擊事件。
美國從2008年就建立了國家級的工業(yè)控制系統(tǒng)攻防靶場——“曼哈頓計劃”,與其核武器計劃同名可見重視程度。工控網絡安全不僅是國家間對抗的前沿和焦點,也正成為網絡空間對抗的重要場和反恐新戰(zhàn)場。
2015年國家明確提出“互聯(lián)網+”、“中國制造2025”等重大戰(zhàn)略舉措,十八屆五中全會和“十三五”規(guī)劃明確指出,把拓展網絡發(fā)展空間作為一個重大戰(zhàn)略舉措,“互聯(lián)網+”在各個領域的深度滲透,大家一直在期待一個萬物互聯(lián)、互聯(lián)互通的社會,期待一個基于“互聯(lián)網+”的新的經濟形態(tài)出現(xiàn)。但當所有設備、所有系統(tǒng)互聯(lián)互通以后,安全問題就顯得至關重要。
·兩位研究人員制作了一個仿真電廠構造來演示蠕蟲的攻擊過程。隨著蠕蟲在PLC之間的跳躍,LED燈在150毫秒的最大時間周期內閃爍后熄滅。
·2010年的“震網”病毒,不僅把網震了,也震驚了全世界。
在今年全國兩會召開期間,多名政協(xié)委員就已聯(lián)名提交《關于加強我國工控網絡安全,應納入國家戰(zhàn)略的建議》的提案。提案建議是從國家戰(zhàn)略高度加強工業(yè)控制網絡安全頂層設計,明確責任部門;建立完備的工控網絡安全體系,掌握芯片級核心技術;大力扶持新興工控網絡安全企業(yè),鼓勵技術創(chuàng)新和產業(yè)化;在各行業(yè)建設中同步進行工控網絡安全規(guī)劃和驗收等。
4月19日,習近平總書記在京主持召開的網信工作座談會并發(fā)表了重要講話,強調要樹立正確的網絡安全觀,加快構建關鍵信息基礎設施安全保障體系,全天候全方位感知網絡安全態(tài)勢,增強網絡安全防御能力和威懾能力。對于這次座談會及其所強調的網絡安全問題,我國信息行業(yè)高度關注,實業(yè)界也在特別關注。
日前,國內一研究院召開了以“工業(yè)控制網絡安全”為主題的新經濟圓桌會議,各界專家就目前國際安全新趨勢、我國工業(yè)控制網絡安全面臨的挑戰(zhàn)和機遇、以及如何促進工控網絡安全產業(yè)發(fā)展等,進行了交流與研討。與會專家一致認為,應對這樣一個復雜的局面,要有一些新的舉措,一是深化工控網絡安全的研究,加大宣傳力度,進一步增加社會共識;二是加快制定國家網絡經濟安全的標準;三是提高技術手段和防御能力,重點支持本土技術的創(chuàng)新和產業(yè)化;四是建立工控安全責任體系,從政府層面、企業(yè)層面如何來固化體系合理分工、合理推進;五是建立完備的工控網絡安全體系,要技術設備一體化,要解決工控設備結構安全、本體安全、行為安全,實現(xiàn)基因安全和運行維護的可持續(xù)性。