谷神星网络解密谁在攻击你的ICS设备

一、简介

监控及数据采集系统（SCADA）是指与工业控制系统（ICS）进行通讯的系统/网络，它为ICS操作员提供监控过程管理所需的数据。随着自动化技术的持续发展及其全球重要性的提升，ICS和SCADA的应用越来越广泛。

早期SCADA设备主要基于电力管道和水处理管道等分布式应用，主要通过不可靠的或不稳定低带宽的或高延迟的链路来采集远程数据。虽然SCADA设备在全球范围内得到推广应用，但却面临着安全性缺失这一基本问题。

30年来，SCADA这一状况并没有因为技术进步而发生较大改变，信息安全方面仍然没有得到改善。其技术的高度发展和信息安全的严重不足加剧了SCADA的安全隐患，并因此可能给全球带来深远的影响。

为确保SCADA的环境安全，很多国家开始研究和实施标准化管理。美国已经制定出国家标准技术研究所（NIST）特刊800-82 标准和IEC 62443标准。汽车制造业发达的日本则依据IEC 62443标准；其信息技术推进机构（IPA）也开始对SCADA设备实施嵌入式设备安全认证程序。

二、ICS的风险与威胁

目前SCADA设备的风险与威胁越来越普遍。其中，很多风险与使用HMI(人机界面)和数据存储有关。HMI在使用中会受到传统网络应用缺陷的威胁，例如SQL注入攻击和跨网站脚本（XSS）bugs等。HMI也会受到传统服务器端漏洞的影响。比如，对于Windows Server 2003操作系统，攻击者可以通过定位漏洞程序探寻到HMI。HMI威胁会经由不安全的边界网络（DMZ）或商业网络，入侵安全的SCADA环境。例如，为家庭供暖的温控器，一般会设定温度上限和温度下限，一旦环境温度低于温度下限，暖气就会自动开启；入侵HMI就可以打开与安全区域的通讯，篡改设定值。

数据存储主要用于记录工业过程中的历史信息和趋势以供未来参考。数据存储作为中央数据库，记录了ICS环境中所有的过程信息。如果攻击者接触到位于DMZ或商业网络的数据存储，就有可能获得进入多个安全系统的权限（如读/读写等）。从过程/命令中的历史数据到统计数据，攻击者可以获得大量的信息数据。某些环境下，若攻击者入侵数据存储，他可以通过中间人（MiTM）命令篡改发送给可编程逻辑控制（PLC）设备的运行指令。

目前已知的ICS攻击事件有：2000年澳大利亚马芦奇污水处理厂被前雇员攻击事件；2003年美国俄亥俄州核电站系统遭Slammer蠕虫攻击发生瘫痪事件；2008年波兰罗兹市黑客导致火车脱轨事件；2009年美国加州交通信号系统受攻击事件；2013年南韩银行和广播服务被中断事件等。还有很多未被公布的ICS攻击以及尚未被发现的ICS攻击事件，比如，有时发生设备故障后，由于不了解网络攻击，工程师只是更换相关零件，并没有对故障原因进行调查等。

三、ICS攻击者的常用手段

传统的ICS结构中并没有设置安全设备或相关协议，所以很容易受到外部攻击。那么“到底谁在攻击你的ICS设备”？为了诱捕目标攻击，美国最早在ICS环境中进行了蜜罐部署，即模拟部分或全部ICS设备；为适应全球发展，又对蜜罐结构进行了创新，即将除开HMI设备外的模块都独立运行在逻辑分离的虚拟机上；并将部署在不同地理位置的蜜罐连接起来成相互独立的蜜罐网络。目前蜜罐网络涵盖了8个国家共12台蜜罐；其中，中国2个，日本1个，俄罗斯3个等。

通过蜜罐网络诱捕到的攻击信息发现，攻击者通常会在 ShodanHQ 网站上搜索特定的词条来侦测ICS设备，如“SCADA”，“Modbus”，“Simatic+HMI”，“Simatic+S7”和“HMI”等。然后，攻击者会进行大量地端口扫描，以确定ICS设备的地点。另外，他们还会通过公共的文字分享平台如Pastebin和Pastie等来进行侦测。

观察发现，很多攻击者不仅对目标IP地址进行侦测，他们也会对设备所在的网区进行侦测，并对周边子网络进行端口扫描。攻击者可以通过指纹识别或其他身份验证方式确定操作系统，并找到系统漏洞。一旦成功入侵相关设备，70%会持续不断地攻击并采取后续行动，包括泄露相关数据等。

四、到底谁在攻击ICS设备

数据表明，2013年3月至6月间，蜜罐网络中总共有7台蜜罐遭受到来自俄罗斯、德国、美国等16个国家共74次的攻击。此外，还有11次“危险”攻击，即虽然是无目的攻击，但会导致ICS设备灾难性的瘫痪。同样，还有很多“非危险”攻击，虽不会对ICS设备造成灾难性影响，但如果持续发生的话，也会带来严重后果,如企图读/写PLC或SCADA设备等。

其中，日本蜜罐受到的攻击最引人注目。攻击者在ShosanHQ 搜索中输入“SCADA country：Japan”进行查询，根据运行结果，确定到蜜罐的IP地址，并进行了2次远程端口扫描。第一次是对首1024个端口扫描，他们经常先扫描这些他们认为的常规端口。在发现端口502（如Modbus端口）是开放的之后，他们又对所有65,535个端口进行了扫描。但是，他们并没有采用相对隐蔽、不易发觉的“慢扫描”方式，而是一次性扫描了所有端口，所以就引起了注意。攻击者扫描目标设备端口后，继而图谋入侵HMI（该HMI已设有缺省用户名和密码的安全防护）；他们似乎只是手动尝试了几次用户名和密码后，就成功进入到HMI安全区域。然后，他们一边尝试登陆Windows Server 2003，一边企图读取和修改Modbus通讯。读取Modbus通讯失败之后，攻击者快速转去修改蜜罐HMI的设定值；他们在修改了泵腔压力值和水温值，并预设了水泵的关闭时间后，即刻退出系统，停止了一切与蜜罐/Windows服务器的相关活动。

另外，蜜罐网络记录中除了有目标攻击，还有多达33,466次的自动攻击，如SQL注入攻击等。

五、为什么攻击ICS设备

虽然蜜罐网络捕获了大量的攻击企图，但却很难判定攻击者的动机。目前主要根据攻击来源国来评估他们的动机。例如，A国如果有意拷贝B国的ICS设备技术的话，那么就会认此为A国攻击的动机。另外，还要结合攻击的影响来判定。如果目标攻击并没有侵害ICS设备，那么攻击者有可能只是进行间谍或信息收集活动。如果目标攻击侵害了ICS设备，那么可以根据受影响程度来判定其背后动机是否为蓄意破坏。

根据蜜罐网络在2012年12月至2013年5月15日期间捕获的攻击数据，可以肯定，至少15次目标攻击是为了收集信息、监视目标或侵害目标运行；至少33次攻击是破坏性的，意图中止目标ICS设备的运行。

六、如何防御ICS设备攻击

ICS设备受威胁的范围一直在快速变化，对ICS设备的攻击也在不断发生，如果按照“谁在攻击你的ICS设备？”文中建议及做好以下控制措施，可以有效防御ICS攻击：

1）封闭所有USB及外部媒介接口；

2）采取积极主动的防护措施；若条件允许，可以在ICS网络中使用反入侵系统(IPS)或其他各种主动的保护措施；

3）设立应用白名单机制，仅允许列在白名单上的应用在ICS设备上安装和运行；

4）对数据分类管理；将数据分为“高度机密”，“机密”和/或“开放”等类别，保护重要且机密的数据，避免向ICS设备外部泄露；

5）遵循相关标准；如国家安全技术研究所（NIST）美国政府的ICS标准，可以行之有效地管理ICS设备网络；

6）定期进行反向测试；查找网络漏洞，确保网络漏洞已打补丁，可以降低漏洞数量，了解漏洞位置。

7）管理漏洞；采用漏洞扫描仪和管理仪对ICS基础结构进行扫描和管理可以有效降低漏洞的数量，帮助对ICS环境威胁保持警醒。

谷神星网络科技：创造性系统解决方案提供商。

·谷神星网络科技有限公司，应时代而生，为工业网络的安全提供了国际先进的整体解决方案。·北京谷神星网络科技有限公司，成立于2012年，以强大技术实力和创新商业理念，致力于成为工控及物联网络安全领域的领跑者。

·谷神星网络科技，基于“物”的网络安全领先技术，聚焦客户最重要的挑战与需求，创造解决本质问题的产品与服务，使得谷神星成为企业决策者和技术高管最信赖的伙伴，保卫万物互联的世界，协助客户实现丰收的喜悦。

（编辑：严肃）