在刚刚过去的上星期,CNN报道美国国家电网的控制软件存在的漏洞可能会导致电力系统的破坏,这再度引起了人们对于美国电力网的关注,这些年来,美国一直在默默的修复电网的问题。
在CNN的报道中,因电脑控制系统执行了错误的恶意代码,控制端显示发电机数量减少。
国家实验室在三月的时候就向国土安全部演示这一可能出现的情况。同时攻击利用了软件数据采集与监视控制系统(SCADA)中的一个广为人知的漏洞——尽管已经修复了漏洞。通过这一演示可以看出一次数字攻击对国家关键基础设施造成的威胁是多么的严重!
网络安全监控公司NetWitness的首席执行官Amit Yoran说,尽管没有人详细的透露这一实验的细节,所描述的场景以及实验的结果,“但是我认为这一场景绝对比在任何专业的杂志上描述的情况更加真实。”
“过去人们可能会说,这怎么可能;现在,这一切已经发生了。”国土安全部的网络安全部门的前负责人Yoran说。
但如果就此武断的说所有的控制系统都会受到类似的网络攻击的影响,也是不对的,并不是所有的网络攻击都有这样可怕的后果,正是因为只有一台发电机受到了这样的影响,所以就不能说说有的机器都会受到影响。想一想任何的技术都会有它的缺陷,并且我们有防止类似事故发生的管理员,那并不能代表所有的可能性都会发生。
“假如攻击者可以进入控制系统,可能会利用基础设施,这会是很可怕的事情。”Dale Peterson,数据采集与监视控制系统(SCADA)安全咨询公司Digital Bond的首席执行官。
SCADA和工业控制系统,它们使用的是传统的网络和硬件,因此被认为是对那些影响整体信息系统的网络攻击是免疫的。许多SCADA系统使用的是内部网络和硬件,它们并不是通过Internet相联系的。
因此,相比侵入许多商业公司的网站,要想从外网直接侵入局域网是相当困难的。Peterson说,但是一旦有人侵入网络,SCADA系统——特别是那些很老式的系统——它们的漏洞会更多。
Digital Bond公司在过去就发现了并且发布了几个这样的漏洞,美国国家计算机安全响应中心(United States Computer Emergency Readiness Team)有时也发布与SCADA相关的漏洞。但是现在业界对于是否公布或是公布多少相关信息仍然有争论,因为人们普遍对于落在攻击者手中的信息会产生极大的恐慌。因此,与SCADA及其进程处理系统漏洞的信息很少为外界所知。
其实有很多危险的系统,并且很多系统不可能是安全的,即使有安全补丁的情况下,这就是为什么在公用事业公司中很多的控制系统已经使用了12-15年之久,仍会轻易的破坏它们。
利用SCADA系统一般来说比较看重的是产品的稳定性和有效性当它们推出这样一款系统的时候,经常的为了保证系统的不间断工作时间,它们很少更换和升级相关的安全控制设施,在这样的情况下,一个行之有效的保证安全的措施就是安装新的系统,但是由于这一花费过高,很多企业并不愿意采取这样的措施。
SunEdison 公司的首席战略执行官和合伙人Jigar Shah 说,SCADA系统并不像以前一样不受外界影响,这家公司的主要产品是太阳能。在像Shah一样的执行官看来,在公用事业企业中,随着类似结构的不断信息化,使得控制系统更加容易受到网络攻击的危害。
譬如说,“现在绝大多数的开关控制存在于闭路系统中,但是将来的目标就是使它们与Internet相连接,”Shah said说。“这样会使系统遭受外部攻击的几率大大增加。”
Byres Security公司的首席执行官Eric Byres说,大量使用以太网(Ethernet),TCP/IP和网络技术给了黑客们可乘之机,他们可以利用大量的后门程序和边路设备来攻击公用事业企业的核心控制系统。
最近,赛门铁克(Symantec)公司公布了一份安全白皮书,其中分析了由不列颠哥伦比亚技术学院(British Columbia Institute of Technology)建立的工业安全事故数据库(ISID)的信息。报告显示,从2001年开始,针对SCADA和其他控制系统的网络攻击大量增加了。
其中大量的事故都是由互联网病毒造成的,譬如说木马,蠕虫,而且很多都是蓄意的破坏行为。除此之外,报告还指出许多SCADA和进程控制网络的访问日志记录的情况很差,这也给进入系统提供了次要通道。
在Byres看来,如果有人利用ISID的数据做一个推断的话,我们可以得出如下结论:世界500强企业每年发生的工业网络攻击事故大概是2000到3000起。
这一问题已经引起了政府的关注,许多企业也逐渐开始重视这个问题。一些企业,比如DuPont(杜邦),British Petroleum(英国石化)已经真正开始面对这个问题,并且已经在采取强有力的措施来保证它们的进程处理环境的安全。对于能源工业来说,最大的风险不是企业的领导人,而是那些对这一问题没有引起重视的二级企业。
DHS(Data Health System)公司,还有北美电气可靠性委员会(North American Electric Reliability Council )也开始关注网络攻击问题。NERC的关于网络攻击的八条标准,包括确认,安全管理控制,人才及培训,周边安全,系统安全,突发事件报告以及响应对策。
“我们正在做许多工作来加强SCADA系统的安全,但是要保证系统的安全并不简单,这些植入系统是与其它的系统相互联系的,与机械部件还有其本身的基础设施相联系的。他们花费数年的时间来设计和布置,因此适应性很强。”
笔者以为如果只想着部署安全措施而不了解这一问题的复杂性很可能会比网络攻击的危害更大。
