苗涛,张志强,胡炳华
(1.国家广播电视总局无线电台管理局;2.上海海得控制系统股份有限公司)
恶意软件是指在计算机系统上执行恶意任务的病毒、蠕虫和特洛伊木马的程序集合,其通过破坏系统及软件的正常进程来实施控制。近年来随着“两化融合”、“互联网 +”、“中国制造 2025”等国家战略的提出与稳步推进,工业控制系统由一个个“信息孤岛”向网络化、集成化方向发展,传统工业网络物理隔离被打破,以病毒、木马为代表的恶意软件通过公共互联网、USB存储介质等方式可轻松打破网络边界进入工业控制网内部。
1)2017年WannaCry勒索病毒事件
2017年5月,Wannacry勒索病毒席卷全球,病毒通过邮件、网页、存储介质甚至手机侵入并加密文件数据,受害者只有按要求支付等额价值300美元的比特币才能解密,如果7天内不支付,系统中的数据信息将会永远无法恢复。Wannacry勒索病毒借助“永恒之蓝”漏洞,可感染除Windows 10 和 Windows Server 2016之外的所有Windows操作系统,我国多家教育机构以及石油、石化、汽车、海关、医院等行业均受到严重影响。
2)2018年台积电病毒感染事件
2018年8月,全球晶圆代工龙头企业台积电位于台湾新竹科学园区的12寸晶圆厂和营运总部网络遭病毒攻击,导致生产线全数停摆。几小时后,台积电位于台中和台南的工厂也陆续遭到病毒攻击,使得台积电在台湾北、中、南三处重要生产基地的核心工厂全部沦陷,生产线全部停摆。本次事件起因是已感染Wannacry变种病毒的工业主机没有经过安全检查就直接上线,导致病毒快速在网络内传播,最终导致台积电损失约87亿元新台币。
依据《网络安全等级保护基本要求2.0》,工业控制网络从下至上可分为现场设备层(传感器、执行器)、现场控制层(PLC、DCS)、过程监控层 (SCADA)、生产管理层(ERP)以及管理信息层(办公网、网站),各层分别承载不同的业务类型和生产系统。图1为工业网络分层示意图。
图1 工业网络分层示意图
攻击路径说明:
①通过公网扫描发现对外提供服务的主机系统或业务应用系统。
②对主机系统或业务应用系统进行渗透。
③进入单位办公网,以办公网为基础对监控网进行渗透。
④进入监控网,以监控网为基础对控制网进行渗透。
⑤进入控制网并对控制系统进行攻击。
攻击路径说明:
①由公共网络通过邮件钓鱼攻击、文件传输、软件下载等方式,将恶意代码带入办公网络,并对生产网络进行攻击。
②由工控网络通过文件传输、移动存储、私建网络、插拔移动通信设备等方式,将恶意代码带入监控网络,对生产网络进行攻击。
③由工控网络通过文件传输、移动存储、私建网络、插拔移动通信设备等方式,将恶意代码带入控制网络,对生产网络进行攻击。
④由供应链中的设备生产和维护厂家,将恶意代码直接带入工控系统。
Black Energy (黑暗力量)恶意软件最早发现于2007年,由俄罗斯地下黑客组织开发并广泛使用在BOTNET,主要用于建立僵尸网络,对定向目标实施DDoS攻击。
2008年俄罗斯与格鲁吉亚冲突期间,黑客组织利用Black Energy曾一度攻击格鲁吉亚政府。安全研究机构自2014年夏季,陆续从乌克兰政府及企事业单位截获Black Energy样本,可以预见其矛头开始瞄准乌克兰政府组织,并主要用于机密信息窃取和持续攻击。
Black Energy有一套完整的生成器,可以根据C&C(指挥和控制)服务器的命令生成脚本和感染受害主机的客户端程序,方便地建立僵尸网络,只需在C&C服务器下达简单指令,僵尸网络受害主机便统一执行其指令。经过多年发展, Black Energy进一步升级,包括支持代理服务器,绕过用户账户认证(UAC)技术,以及针对64位Windows系统的签名驱动等等。
Black Energy恶意软件成名于2015年12月23日的乌克兰停电事件,此事件使7个110KV的变电站和23个35KV的变电站出现故障,导致80000用户断电。
此事件中黑客采用了“演进式”攻击路径,通过“社会工程”手段收集目标用户邮箱,向其定向发送携带恶意文件的Spam邮件,疏于安全防范的用户打开带宏病毒的Office文档,通过运行Installer(恶意安装程序)对受害者主机进行感染。
图4 Black Energy恶意软件感染流程图
Installer会释放并加载Rootkit内核驱动,Rootkit使用APC线程注入系统关键进程svchost.exe(注入体main.dll),紧接着main.dll会开启本地网络端口,使用HTTPS协议主动连接外网主控服务器,一旦连接成功恶意软件便开始等待攻击者下发指令。图4为Black Energy恶意软件感染流程图。
恶意软件的攻击一般伴随着恶意软件投放、感染目标主机、目标网络扫描探测、网内扩散、执行目标操作等阶段。在恶意软件防护中,切断任一攻击途径或攻击过程即可阻止恶意软件对目标网络的攻击,如Black Energy恶意软件可通过IP黑白名单、主机系统安全防护、关键进程完整性保护等措施,分别在网络探测、网内扩散、感染主机等阶段切断攻击过程,实现安全防护。图5为Black Energy恶意软件防治示意图。
图5 Black Energy恶意软件防治示意图
随着工控安全行业的蓬勃发展,单纯的办公网与生产网隔离已无法有效对抗。工控安全应在网络隔离的基础上对关键设备、功能区域、系统网络进行综合防护。以访问控制、工业协议深度检测、安全审计、安全监测、主机安全防护等技术手段为基础,结合安全管理措施,向供应链方向进行安全扩展,切断恶意软件攻击途径或攻击过程,形成一套完整的工业恶意软件防治体系。
图6 工业协议DPI技术示意图
访问控制技术是传统信息安全技术的一种,主要应用于数据报文的检测与过滤,通过访问控制技术可将工业网络划分为不同的业务区域,各区域间仅允许必要的网络协议通信和数据传递,实现工业网络的安全分区和逻辑隔离。
由于工业网络主要承载工业生产业务,其网络中存在大量Modbus TCP、OPC、IEC104、S7等工业协议,可通过工业协议DPI技术实现对工业协议的深度解析,对工业协议“完整性、功能码、地址范围、参数值范围”进行全字段检测,保证工业业务指令级安全。图6为工业协议DPI技术示意图。
通过访问控制和工业协议DPI的结合,可有效抑制恶意软件的传播行为,将安全威胁限定在特定区域内。
安全监测与审计以数据流量、数据包逆向还原为基础,并结合现场工业业务以及工业网络建立通信数据模型,通过协议、数据包、流量、业务、行为的综合分析实现病毒发现与预警。通过安全监测与审计技术可快速发现异常网络连接、异常端口、异常数据指令、异常请求访问、协议通讯异常、业务流波动等异常行为。
为保证安全监测与审计的准确性,还需对检测和审计的结果进行关联分析。关联分析又称关联挖掘,是在关系数据或其他信息载体中,查找存在于项目集合或对象集合之间的频繁模式、关联、相关性或因果结构。在网络安全中,一个安全事件的形成往往需要多个资产和过程的配合,关联分析技术分别从时间和空间维度对网络安全日志进行整合分析,寻找安全事件内在依赖,降低安全误报。
“白名单”机制是网络安全白名单与主机安全白名单的统称,与“黑名单”相对应,由于传统信息安全以黑名单库为核心,工业环境的相对封闭性无法保证黑名单库的及时更新,导致传统信息安全产品无法直接应用于工业环境。
由于工业环境业务功能稳定、系统配置稳定、软件应用稳定、网络流量相对稳定的特点,白名单机制在工业网络安全中获得大规模应用。白名单以可信表单为核心,主机安全防护系统通过提前预置可信且安全的程序表单,可在摆脱黑名单的前提下,阻断恶意软件的运行。工业防火墙通过白名单机制可保证网络内通信关系、通信协议以及通信内容的安全性,保障工业网络安全。
在网络安全中人与技术是联系紧密的两个重要实体,人是安全策略的制定者,产品技术是安全策略的具体执行部分。但由于安全管理的缺失以及安全意识的薄弱,人往往成为网络安全中的软肋。
网络安全管理从制度、流程、人员等角度,对系统上线、存储介质、系统补丁、数据备份、安全培训、应急预案等进行设置和管理,形成技术与管理的安全闭环。
工业恶意软件的防范与治理是一项复杂的综合性工程,不同工业企业可根据本企业的网络安全战略,灵活运用行业标准、等级保护等规范标准开展病毒治理工作,通过技术与管理手段的综合运用,整体提高工业企业病毒防护水平,实现安全促进业务,安全促进生产的目的。