洞見RSA 2021｜ ICS安全威脅——從假想到現實

RSA 2021創新沙盒環節，三位來自不同行業的專家針對ICS（工業控制系統）的安全威脅發表講話，他們分別是來自保險行業FM Global的Wade Chmielinksi、工控行業Dragos，Inc的Ben Miller、以及網路安全專欄記者Kim Zetter。

 

一、ICS現狀

來自美國保險公司FM Global的Wade表示，“萬物互聯”時代的到來使得越來越多的裝置與網際網路連線，其中不乏價值高昂的裝置。這些裝置一旦被攻擊，不僅會造成金錢損失，甚至會影響民眾的日常生活，駭客透過網路攻擊造成城市癱瘓的想象已經變成現實。同時，隨著網際網路的高速發展，IT與OT的邊界逐漸模糊，攻擊者也發現了新的機會，將目標從IT系統轉向OT系統，利用勒索軟體進行攻擊的。

 

二、攻擊目標的轉變

Wade表示，在以往的勒索軟體攻擊中，僅加密資料可能無法迫使受害者繳納贖金，於是攻擊者逐漸轉向威脅洩露敏感資料等方式。由於OT與IT環境相互依賴，且攻擊OT系統會造成極大影響，因此攻擊者逐漸將目標轉向OT系統，使收益最大化。如物流行業的ERP系統被攻擊後，物流倉庫無法及時出貨導致貨物積壓，造成整體物流服務的停滯，受害者迫於業務壓力更可能會支付贖金。

 

安全專欄記者Kim也表示，即使一些攻擊者最開始的目標不是OT系統，但由於被攻擊的IT系統會影響到相關的OT環境，也會造成類似的結果。近期，燃油管道運營商Colonial Pipeline被勒索軟體攻擊導致停運，雖然攻擊本身並沒有影響輸送燃油，但由於商家無法準確計算使用者的用量和費用，所以只能停止服務。這也是IT攻擊影響到OT環境進而影響現實生活的典型案例。Kim還提到，攻擊OT環境往往會影響現實生活，造成所謂的連帶傷害，如在燃油管道案例中被攻擊事件波及的普通民眾。但攻擊時攻擊者只會考慮到自身利益，而企業在事後也很難照顧到這些連帶受害者，因此此類事件會造成更深遠的影響。

 

三、防護手段

Dragos的研究員Ben提到，ICS攻擊日益增加，我們在討論如何有效的防護ICS攻擊時，應該從紙面理論中走出來，去現場瞭解真實環境，與當地關鍵基礎設施的同事交流對應設施的具體情況。IT廠商和ICS相關企業應該聯合起來，取長補短，共同面對潛在威脅。同時，ICS企業需更主動的研究前沿技術，結合自身業務環境，更好的瞭解整體的安全狀況。目前也有一些可供參考的最佳實踐案例，如提高網路活動的透明度可以使安全人員更好的察覺和回溯一些異常事件。透過準確定位自身業務系統中的高價值目標，指定對應的應急響應方案，確保攻擊發生時可以及時止損並恢復。Wade也表示，企業可以指定一個OT的安全負責人，以便及時掌握全域性OT的安全情況，調配安全資源，也便於事後追責定位問題。

 

四、響應措施

當發生攻擊事件並對企業造成影響時，如何降低損失並及時恢復是頭等大事。Kim在講到近期的燃油通道的攻擊事件時表示，Colonial Pipeline運營商在面對本次攻擊時就顯示出了準備不足、應對慌亂的情況。

 

勒索軟體攻擊是網路攻擊的主要方式，三位專家針對是否支付贖金的問題提出了不同的看法。Wade和Ben認為不應該支付贖金。一是因為當攻擊者看到有利可圖，就會變本加厲，導致勒索攻擊形勢進一步嚴峻。二是即使及時支付贖金，受害者也無法確定是否可以完全恢復。據說Colonial Pipeline本次雖然支付了贖金，但由於解密的過程過於漫長，最終還是選擇恢復備份的方式。Kim表示，是否支付贖金不應該是一個非黑即白的問題，需要根據具體情況分析。雖然很多企業有備份，但是從未測試過恢復備份的流程。該流程往往比想象的更復雜，需要提前演練，避免在被攻擊後啟用備份恢復流程時遇到意外情況，出現恢復失敗從而不得不支付贖金的情況。

 

五、一些思考

隨著雲技術的普及，很多企業試圖將業務放入雲端來規避安全風險。三位專家都表示，雲雖然看上去比較美好，但從攻擊鏈的角度來說，很多底層的基礎安全隱患都是一致的，企業需要更多的關注基礎安全標準，從根源杜絕安全隱患。同時，在向雲端遷移的過程中，會產生很多新問題，如配置漏洞或第三方操作風險等，更需要注意安全防護。當然，雲技術是大勢所趨，企業應儘快瞭解相關的技術，結合自身業務環境調整適應。

 

此外，有些地方政府會考慮透過懲罰支付了勒索贖金的企業，遏制勒索軟體攻擊事件的發展。三位專家對此持反對意見，政府不應該再次懲罰受害者，而應透過一些正面激勵幫助企業免受攻擊，如將一些網路安全標準擴充到關鍵基礎設施行業，從硬體到軟體，透過制定統一的安全標準來提升整體防護水平。企業也應該做好準備，應對政府可能釋出的法規法案。只有相互合作，才能最大化降低被攻擊的風險。

 

雖然一些最新技術（如SDN網路隔離技術）短期內可以有效提升企業的防護能力，但也需要納入長期提升規劃。在沒有成熟的方案前，處理相關的伴生問題需要徐徐圖之。

 

六、總結

針對ICS或者OT系統的攻擊，IT企業、關鍵基礎設施企業以及地方政府應該聯合起來，加強溝通和交流，組建共同防線，才能最大程度降低風險，提高被攻擊後的應急處理速度，迅速止損和恢復。