致命的工控中勒索软件

最近，在美国召开的RSA信息安全大会上，来自佐治亚理工学院的网络安全研究专家展示了一款由他们自行设计和开发的专门针对工业控制系统（以下简称“工控系统”）的新型勒索软件LogicLocker，并现场演示了LogicLocker接管水处理厂控制系统的过程，证明了通过勒索软件来攻击并控制工控系统的可行性。作为国家关键信息基础设施的重要组成部分，工控系统一旦被非法控制，可能造成人员伤亡、环境污染、停产停工等严重后果，甚至威胁国家安全，有必要对此进行分析研究，积极应对。

攻击路径不断增加

随着两化融合的深入推进，互联网快速渗透到工业生产各领域各环节，能源、装备制造等重要行业原有相对封闭的系统运行环境逐渐被打破。管理网和生产控制网的双向信息交互，使得生产控制权限不断上移，数字化通信和工控系统组件的智能化，导致攻击目标下移，工控系统的采集执行层、现场控制层、集中监控层、管理调度层和互联网等都成为潜在的攻击发起点，不仅大大增加了攻击点、攻击面和信任网络边界，也为病毒、木马、勒索软件等传统互联网威胁向工控系统扩散提供了可能。

工控系统成攻击重点

IBM安全管理服务的数据显示，2016年发生的针对工控系统的网络攻击数量较2015年增加了110%。而以金钱为目的的勒索软件也逐步将攻击目标转向系统漏洞较多的工控系统，通过攻击并加密直接暴露在互联网上的工控系统设备，实施勒索行为。2016年10月，英国国家健康医疗体系NHS基金会计算机怀疑被勒索软件感染，导致其IT网络中的所有设备被迫离线，多家医院取消数百例手术。2016年11月，美国旧金山公共交通机构的服务器和计算机感染勒索软件HDDCryptor，数据被加密，自动售票机被迫关闭，公共交通部门被勒索100比特币（约合73000美元）的赎金。2017年1月12日至15日期间，美国华盛顿特区70%的警用闭路电视监控系统的视频存储设备感染勒索软件，而闭路电视监控系统正是工控系统的重要组成部分之一。这些案例充分表明，工控系统或将成为勒索软件下一个重点攻击目标。

在今年的RSA信息安全大会上，大会主办方设定了一整天的议程对勒索软件的相关议题进行了探讨。会议展示了勒索软件相关的最新研究成果，其中令人印象深刻的是，佐治亚理工学院的安全研究人员展示了其研发的新型勒索软件接管水处理厂的控制系统的全过程。

这款新型勒索软件LogicLocker是第一个对外宣布的针对工控系统PLC设备的工控勒索软件。该勒索软件的工作原理是：首先利用施耐德Modicon M241可编程控制器（PLC）固有的应用程序接口，在联网的状况下自动扫描工控系统网络内具有已知安全漏洞的PLC设备，在模拟实验中，研究人员利用可编程逻辑控制器和一些管道、槽罐以及水泵等工具模拟出了一个小型的污水处理系统。然后通过类似钓鱼邮件和恶意链接等常见的攻击方法让目标系统感染勒索软件，再利用勒索软件来对目标系统实施模拟攻击。在接管控制系统后，研究人员可以命令PLC进行关闭阀门、增加水中的氯气含量、向工作人员显示虚假的操作信息等操作，而饮用水氯含量超标会对人体造成伤害，黑客可以以此威胁工控系统运营商支付赎金。

工控系统的防护不足

勒索软件已成为比传统的木马、病毒等更加有利可图的“商业犯罪模式”，也更加容易被黑客利用对关键信息基础设施工控系统进行攻击勒索。而目前，工控系统的组件具有多种可被勒索软件利用的系统漏洞，一般工控系统没有针对这些系统漏洞的防护措施，导致这些工控系统对勒索软件的攻击几乎不设防。例如，佐治亚理工学院针对勒索软件的研究结果显示，有超过1500个目标PLC具有可被勒索软件利用的程序漏洞且直接暴露在网上。这意味着大量工控系统可以被该勒索软件轻易攻击，而并未部署任何防护措施。

后果将极为严重

虽然此次模拟攻击实验的对象并非真正的城市水净化处理系统，但足以表明黑客通过勒索软件破坏国家关键信息基础设施的可行性，使用PLC设备的供电系统、能源供应、供暖系统、通风系统、空调控制系统和电梯控制器等，乃至电力、石化化工、交通运输以及装备制造行业的工控系统都可能成为勒索软件攻击的目标。一旦关键信息基础设施受到攻击，相对于支付赎金的经济损失，攻击造成的安全事件后果更为严重。例如，城市的水净化处理系统遭到攻击，导致城市用水被污染，会直接危害环境安全和民众人身安全。目前，工控系统情况都差不多，直接威胁国家政治安全和社会稳定，影响国家安全。

信息安全防护迫在眉睫

截至目前，通用技术手段还不能够保证解密勒索软件的标准加密算法，因此，提升工控系统信息安全防护能力，加强针对勒索软件攻击的事前防御尤为重要。一是加强终端安全防护，包括及时更改工控系统默认密码、禁用不需要的协议、设置合理的访问控制策略、定期更新设备固件、及时备份所有程序文档及数据等。二是加强网络安全防护，实施网络分段控制和可疑流量监控，在不同的网络安全区域之间配置具有两道防火墙的隔离区，并监控区域内流量，一旦发现可疑流量及违反策略的行为，及时进行隔离。三是重点加强员工的信息安全意识培训，提高员工的钓鱼邮件鉴别能力，不使用工控系统内的计算机查收邮件或打开未经安全确认的文件和外部链接，不随意接入未经授权的移动设备。此外，还应制定工控安全事件的应急响应和快速恢复策略，以备攻击事件发生时能快速判断攻击影响状况，及时恢复设备运行。N