那些年被病毒入侵的工控系统

蓝天二号

在这个信息技术和网络技术迅猛发展的时代，中国互联网从一条网速仅有64Kbps的网线，发展到如今拥有全球最大的4G网络，全球上网人群最多的国家。如果网络可以用肉眼看得见的话，你会发现整个地球已经被它给覆盖了。当然，黑客也是无处不在，他可以在地球任何一个角落连接上你的网络，然后窃取你的信息。



近年来，国内外发生越来越多的工业网络安全事件，用惨重的经济损失警示着我们：“我们的信息安全时刻受到黑客的威胁。”



近期，在卡巴斯基实验室发表的关于ICS威胁环境的报告中，卡巴斯基实验室专家发现13,698台工业控制系统主机暴露于互联网中，而且这些主机很可能都属于大型组织，包括能源行业、交通运输行业、航空行业、石油和天然气行业、化工行业、汽车制造行业、食品和饮料行业、政府机构、金融机构和医疗机构。其中，91.1%的主机包含可被远程利用的漏洞。更糟的是，这些工业控制系统主机中，有3.3%包含严重的可远程执行的漏洞。

为了帮助各种组织发现工业控制系统（ICS）中的潜在风险，卡巴斯基实验室专家对ICS威胁进行了全面调查。分析基于OSINT（开源情报）和公共来源信息（如ICS CERT），研究期限为2015年。



1. 在互联网上，共发现188,019台具有工业控制系统（ICS）组件的主机，这些主机来自全球170个国家。

2. 这些可远程访问的包含ICS组件的主机大多数位于美国（30.5% - 57,417台）和欧洲。在欧洲，德国位居首位（13.9% - 26,142台主机），其次为西班牙（5.9% - 11,264台）和法国（5.6% - 10,578台）。

3. 可远程访问的ICS主机中，有92%（172,082台）包含漏洞。其中，87%包含中等风险漏洞，7%包含高危漏洞。

4. 过去五年中，ICS组件中的漏洞数量增长了五倍：从2010年的19个漏洞增长到2015年的189个漏洞。包含漏洞最多的ICS组件为人机界面（HMI）、电子设备和SCADA系统。

5. 所有能够外部访问的ICS设备中，有91.6%（172,338台主机）使用了较弱的互联网连接协议，让攻击者有机可乘，能够实施“中间人”攻击。



卡巴斯基实验室安全专家建议：

1. 进行安全审计：最快的办法是邀请精通工业安全的专家查找和消除报告中描述的安全漏洞。

2. 获取外部情报：当今的IT安全非常依赖有关潜在攻击手段的知识。从信誉良好的供应商获取此类情报，能够帮助组织和企业预测自己的工业基础设施未来可能遇到的攻击。

3. 在企业或组织安全边界范围内和范围外都提供保护。错误不时会发生。但是，适当的安全策略必须将一部分资源用于攻击检测和响应，在攻击涉及关键的重要对象之前将其拦截。

4. 评估高级保护手段：即使有些包含漏洞的节点不能修补或移除，也可以使用针对SCADA系统的默认拒绝方案，定期检查控制器的完整性，对网络进行监控，增强企业的整体安全性，减少遭遇攻击的几率。

平时我们看新闻时，看到最多的是某某公司遭受黑客攻击，但如今的互联网环境已经发生了变化，加上各种机械设备都变得更加智能化能通过网络连接在一起，黑客组织也会经常挖掘和利用工业漏洞，并通过各种隐蔽的劫持手段来窃取数据。

所以加强自身网络安全意识，建设网络防护系统是所有企业都应该重视的安全问题。