安全報(bào)告剖析:采礦行業(yè)面臨的網(wǎng)絡(luò)間諜攻擊威脅
在全球市場經(jīng)濟(jì)競爭激烈的今天,依賴自然資源的經(jīng)濟(jì)發(fā)展和地緣政治波動(dòng),促使各項(xiàng)工業(yè)行業(yè)成為網(wǎng)絡(luò)間諜活動(dòng)的目標(biāo),由于采礦行業(yè)處于全球供應(yīng)鏈中的關(guān)鍵戰(zhàn)略地位,當(dāng)前,該行業(yè)正面臨越來越多的網(wǎng)絡(luò)威脅。
?? ??
本文通過研究現(xiàn)代采礦業(yè)的運(yùn)營模式,調(diào)查與采礦行業(yè)相關(guān)的網(wǎng)絡(luò)間諜攻擊活動(dòng),了解采礦行業(yè)面臨的信息安全威脅,并提出綜合防御建議。
1 工控行業(yè)面臨的網(wǎng)絡(luò)攻擊
1.1 針對(duì)不同工業(yè)領(lǐng)域的網(wǎng)絡(luò)攻擊
像每天數(shù)據(jù)泄露事件的新聞一樣,針對(duì)不同工業(yè)行業(yè)的網(wǎng)絡(luò)攻擊事件變得越來越普遍。APT攻擊如BlackEnergy,已經(jīng)由原本單純的工業(yè)間諜活動(dòng)發(fā)展為使工業(yè)資產(chǎn)造成破壞的物理攻擊。而據(jù)分析,BlackEnergy和Sandworm APT攻擊很可能是造成烏克蘭兩個(gè)電站在2015年12月發(fā)生斷電的原因。BlackEnergy和惡意軟件Killdisk還被發(fā)現(xiàn)曾試圖對(duì)烏克蘭一家礦業(yè)公司和大型鐵路運(yùn)營商發(fā)起網(wǎng)絡(luò)攻擊。下圖為BlackEnergy 攻擊從能源領(lǐng)域向其它行業(yè)的威脅演變。
?? 
圖1 BlackEnergy 攻擊的威脅演變
BlackEnergy 案例表明APT攻擊不僅能滲透到組織內(nèi)部還能像武器一樣造成資產(chǎn)損失。
由于風(fēng)險(xiǎn)存在于各工控行業(yè)的整體供應(yīng)鏈過程,包括:原材料采集、制造和生產(chǎn)、物流、庫存、配送等,網(wǎng)絡(luò)攻擊對(duì)供應(yīng)鏈的任何環(huán)節(jié)都會(huì)造成資產(chǎn)和經(jīng)濟(jì)損失。如今,武器化的APT攻擊是不容忽視的。
回首發(fā)生過的網(wǎng)絡(luò)間諜攻擊活動(dòng),無一不是在黑客、國家支持攻擊者、商業(yè)競爭對(duì)手和犯罪組織之間的利益交錯(cuò)行為。這些網(wǎng)絡(luò)攻擊活動(dòng)目標(biāo)涉及各種行業(yè),包括數(shù)據(jù)情報(bào)竊取(Red October)、能源設(shè)施硬盤刪除(Shamoon)、核設(shè)施破壞(Stuxnet)到最近的發(fā)電設(shè)施破壞(BlackEnergy)。
1.2 為什么工業(yè)行業(yè)容易受到網(wǎng)絡(luò)攻擊?
高度集中化的操作模式是不同工業(yè)行業(yè)中的薄弱隱患之一。操作技術(shù)(OT)通過硬件或軟件檢測或直接監(jiān)測/控制物理設(shè)備、過程和事件變化。在全球經(jīng)濟(jì)競爭激烈的今天,OT或IT行業(yè)的生產(chǎn)控制、關(guān)鍵資產(chǎn)管理、物流等過程的高度整合和智能化,是組織機(jī)構(gòu)需要的最佳供應(yīng)鏈管理模式。
OT和IT兩部分技術(shù)部件的整合,成為了網(wǎng)絡(luò)犯罪分子的主要目標(biāo)。在很多組織機(jī)構(gòu)中,安全防護(hù)不夠的OT基礎(chǔ)設(shè)施是最易受網(wǎng)絡(luò)攻擊的部分,而且它們的IT解決方案根本不能適應(yīng)控制系統(tǒng),如SCADA。除此之外,一些新興技術(shù),如云計(jì)算、大數(shù)據(jù)分析、物聯(lián)網(wǎng)使今天的組織機(jī)構(gòu)面臨更多更復(fù)雜的安全挑戰(zhàn)。簡單地說,工控行業(yè)集中化給網(wǎng)絡(luò)生態(tài)系統(tǒng)引入了全新和未知的漏洞。
2 采礦行業(yè)
2.1 現(xiàn)代采礦作業(yè)
采礦作業(yè)包括兩個(gè)主要活動(dòng):礦石開采、礦物加工(從礦石中提升和回收金屬和礦物)
2.2 開發(fā)礦山
識(shí)別和開發(fā)礦山是一個(gè)漫長而昂貴的過程,涉及勘探、發(fā)現(xiàn)、可行性研究和建設(shè)。下面概念圖顯示了礦山從開發(fā)到報(bào)廢所有階段的價(jià)值鏈過程:
?? 
2.3 礦業(yè)自動(dòng)化
今天,礦山安全、健康立法、技術(shù)進(jìn)步和培訓(xùn)減少了采礦死亡和受傷的風(fēng)險(xiǎn)。自動(dòng)化是提高礦井安全性的關(guān)鍵因素,它取代了危險(xiǎn)、重復(fù)和勞動(dòng)密集型任務(wù)。而對(duì)采礦自動(dòng)設(shè)備和工藝發(fā)起的網(wǎng)絡(luò)攻擊將會(huì)對(duì)礦業(yè)安全造成威脅。
礦山自動(dòng)化設(shè)備如全球定位系統(tǒng)(GPS)、遙感、無線通信、和高速電信通訊等。例如:
?? 
?? ??
?? 
?? 
2.4 礦業(yè)經(jīng)濟(jì)因素
礦業(yè)經(jīng)濟(jì)是影響國家經(jīng)濟(jì)的一個(gè)關(guān)鍵因素,當(dāng)然,隨之而來的也可能有網(wǎng)絡(luò)攻擊。下圖顯示了部分國家對(duì)國民經(jīng)濟(jì)占有重要地位的主要出口項(xiàng)目,其中礦業(yè)行業(yè)為出口支柱行業(yè)。
?? 
3 針對(duì)采礦行業(yè)的網(wǎng)絡(luò)攻擊威脅
3.1 為什么采礦行業(yè)會(huì)成為網(wǎng)絡(luò)攻擊的目標(biāo)?
原因1 獲取有競爭優(yōu)勢的最新技術(shù)知識(shí)和情報(bào)
針對(duì)采礦行業(yè)的網(wǎng)絡(luò)間諜活動(dòng)主要是為了確保利益集團(tuán)獲得最新的技術(shù)知識(shí)和情報(bào),使他們能夠保持競爭優(yōu)勢,并在全球大宗商品交易市場中蓬勃發(fā)展。
(1) 對(duì)金屬和礦產(chǎn)的定價(jià)數(shù)據(jù)是網(wǎng)絡(luò)間諜活動(dòng)針對(duì)礦業(yè)行業(yè)的竊取目標(biāo)之一。如果對(duì)手擁有礦業(yè)內(nèi)幕定價(jià)數(shù)據(jù)信息就可以在高價(jià)競爭中操縱市場交易,或與買方協(xié)商更好的收購價(jià)格,或是改變收購條款等等 。另外,礦業(yè)客戶信息數(shù)據(jù)也是網(wǎng)絡(luò)攻擊的一個(gè)重要目標(biāo),競爭對(duì)手可以利用被盜的客戶信息來操縱未來的礦業(yè)交易。
(2) 知識(shí)產(chǎn)權(quán)(IP)如生產(chǎn)方法、選礦方法、化工方式、定制軟件等,也是網(wǎng)絡(luò)犯罪分子有利可圖的目標(biāo)。知識(shí)產(chǎn)權(quán)盜竊可以大大降低研究開發(fā)成本,一個(gè)新的地雷。國家級(jí)網(wǎng)絡(luò)間諜活動(dòng)通常針對(duì)知識(shí)產(chǎn)權(quán)的竊取,之后,他們可以將這些技術(shù)知識(shí)轉(zhuǎn)移應(yīng)用到其國家采礦行業(yè)中。
(3) 當(dāng)前,礦業(yè)行業(yè)的國家級(jí)別網(wǎng)絡(luò)間諜活動(dòng)越來越對(duì)治理方法、決策、企業(yè)高管政策制定過程等感興趣,這是因?yàn)榱己玫臎Q策和治理方法是任何采礦作業(yè)成功的關(guān)鍵,這些有用的決策和方法可以很好地應(yīng)用到他國的采礦行業(yè)中。
(4) 地質(zhì)學(xué)家在勘探階段分析確認(rèn)新礦床產(chǎn)生的大數(shù)據(jù)集是非常昂貴的,這是礦業(yè)公司持續(xù)增長和成功的關(guān)鍵,當(dāng)然,這也是網(wǎng)絡(luò)間諜活動(dòng)的目標(biāo)之一。
(5) 在合并或收購業(yè)務(wù)中,礦石儲(chǔ)量和生產(chǎn)數(shù)據(jù)是網(wǎng)絡(luò)間諜活動(dòng)的主要目標(biāo),這些內(nèi)幕信息是降低收購價(jià)值和成功競標(biāo)的關(guān)鍵。采礦業(yè)正朝著普遍、超大型、高噸位和超機(jī)械化的方向發(fā)展。這使得小規(guī)模的采礦業(yè)務(wù)在經(jīng)濟(jì)上不可行導(dǎo)致倒閉、兼并和收購。礦山價(jià)值的根本來源是其潛在的礦產(chǎn)儲(chǔ)量。
(6)煤礦監(jiān)控系統(tǒng)用于生產(chǎn)監(jiān)控、設(shè)備狀態(tài)監(jiān)測、安全和環(huán)境監(jiān)測。有統(tǒng)一的報(bào)告應(yīng)用程序來整理、處理和顯示來自不同煤礦監(jiān)控系統(tǒng)的信息。從每個(gè)監(jiān)控系統(tǒng)接收到的數(shù)據(jù)被反饋到一個(gè)中央數(shù)據(jù)庫作進(jìn)一步處理和顯示,這些報(bào)告數(shù)據(jù)庫是網(wǎng)絡(luò)罪犯有價(jià)值的間諜活動(dòng)的目標(biāo),因?yàn)樗麄兲峁┝瞬傻V作業(yè)的實(shí)時(shí)狀態(tài)更新。
原因2 網(wǎng)絡(luò)攻擊可以削弱一個(gè)國家的經(jīng)濟(jì)發(fā)展
網(wǎng)絡(luò)攻擊活動(dòng)可用于實(shí)施精心策劃的戰(zhàn)略或報(bào)復(fù)打擊別國關(guān)鍵經(jīng)濟(jì)體:
(1) 高成本和長周期的采礦作業(yè)會(huì)導(dǎo)致技術(shù)革新率較低,標(biāo)準(zhǔn)和設(shè)備升級(jí)被視為不必要的生產(chǎn)活動(dòng),這也意味著采礦作業(yè)使用的設(shè)備和通信協(xié)議容易受到網(wǎng)絡(luò)攻擊。
(2)由網(wǎng)絡(luò)攻擊或其它原因造成采礦作業(yè)鏈主要設(shè)施(電力、水、柴油機(jī)和空氣壓縮機(jī))的中斷或破壞,將會(huì)使采礦作業(yè)癱瘓。電力、水、柴油機(jī)和空氣壓縮是采礦作業(yè)鏈中的四種重要設(shè)備。
(3)自動(dòng)化是取代危險(xiǎn)、重復(fù)和密集型任務(wù)并提高礦井安全性的關(guān)鍵因素。針對(duì)自動(dòng)化采礦設(shè)備和過程的網(wǎng)絡(luò)攻擊將會(huì)對(duì)安全作業(yè)形成威脅。
(4)由網(wǎng)絡(luò)攻擊引起的任何對(duì)采礦自動(dòng)化設(shè)備的干擾和影響,可能導(dǎo)致采礦作業(yè)癱瘓,并造成設(shè)備毀壞和經(jīng)濟(jì)損失。
(5)礦物加工過程是由ICS系統(tǒng)進(jìn)行自動(dòng)和半自動(dòng)化控制,實(shí)現(xiàn)礦產(chǎn)量最大化的操作步驟,所以礦物加工設(shè)備由于ICS的安全風(fēng)險(xiǎn)也容易受到網(wǎng)絡(luò)攻擊。
(6) 采礦綜合控制中心ROC作為現(xiàn)代采礦作業(yè)的神經(jīng)中樞,ROC單點(diǎn)故障可以導(dǎo)致整個(gè)采礦作業(yè)癱瘓,所以,針對(duì)ROC的破壞/毀壞也是網(wǎng)絡(luò)犯罪分子的目標(biāo)。
(7)第三方供應(yīng)商和承包商缺少正規(guī)的安全防護(hù)策略,但卻在日常采礦作業(yè)中發(fā)揮著重要作用,所以這也是導(dǎo)致網(wǎng)絡(luò)攻擊的潛在途徑。
原因3 傳統(tǒng)的數(shù)據(jù)竊取,如個(gè)人身份信息、財(cái)務(wù)數(shù)據(jù)和密碼憑據(jù)等
礦業(yè)公司也正遭受數(shù)據(jù)泄露威脅,涉及到所有類型的大小企業(yè)。大部分?jǐn)?shù)據(jù)泄露事件的目的是竊取個(gè)人身份信息(PII)、財(cái)務(wù)數(shù)據(jù)和密碼憑據(jù)等。
(1)個(gè)人身份信息(PII)可用于提交身份欺詐、虛假納稅申報(bào)、申請(qǐng)貸款或信用卡、注冊(cè)虛假賬戶、出售給營銷公司,或發(fā)起垃圾郵件和網(wǎng)絡(luò)釣魚攻擊。
(2) 財(cái)務(wù)數(shù)據(jù)可以用來制作偽造的信用卡、支付賬單,進(jìn)行網(wǎng)上欺詐交易,從受害者銀行賬戶轉(zhuǎn)移資產(chǎn)。
(3) 密碼憑據(jù)可用于竊取個(gè)人信息、開展間諜活動(dòng),或發(fā)起垃圾郵件和網(wǎng)絡(luò)釣魚攻擊。
(4)在報(bào)復(fù)性攻擊或黑客主義行為中,盜取數(shù)據(jù)也被用來脅迫受害者勒索贖金。
原因4 礦山造成的環(huán)境污染
一些環(huán)保活動(dòng)人士聲稱礦業(yè)公司對(duì)環(huán)境、野生動(dòng)物棲息地和其它方面造成破壞和影響,出于這樣的擔(dān)憂,他們可能會(huì)采取針對(duì)礦業(yè)公司的報(bào)復(fù)行為。
3.2 針對(duì)采礦行業(yè)的網(wǎng)絡(luò)威脅類型?
(1)國家級(jí)別的網(wǎng)絡(luò)間諜活動(dòng)
網(wǎng)絡(luò)間諜活動(dòng)越來越成為國家間獲取情報(bào)的主要手段。發(fā)達(dá)國家的網(wǎng)絡(luò)設(shè)備以其復(fù)雜、隱身和不易察覺的方式在機(jī)構(gòu)組織內(nèi)部收集傳輸數(shù)據(jù);發(fā)展中國家正在使用網(wǎng)絡(luò)間諜活動(dòng)作為一種快速和經(jīng)濟(jì)的方式,來增加情報(bào)收集能力。
(2)有組織網(wǎng)絡(luò)犯罪組織
網(wǎng)絡(luò)犯罪組織的入侵可分為兩類:第一類是由犯罪團(tuán)伙竊取出售敏感信息和加密文件并要求贖金,或取得電腦控制權(quán)限變成僵尸網(wǎng)絡(luò)等;第二類是政府雇傭網(wǎng)絡(luò)犯罪團(tuán)伙進(jìn)行間諜活動(dòng),或?qū)嵤╅_展政治破壞和毀壞類的網(wǎng)絡(luò)攻擊,在被發(fā)現(xiàn)之后,可以保持否認(rèn)立場。出于利益原因,這兩類犯罪方式也可能出現(xiàn)交叉。
(3)競爭對(duì)手
競爭對(duì)手互相從事間諜活動(dòng),可以追溯到商品貿(mào)易的起源時(shí)期。競爭對(duì)手有興趣的信息包括知識(shí)產(chǎn)權(quán)、生產(chǎn)方法、生產(chǎn)能力、定價(jià)信息、客戶信息等。在極端情況下,為獲得更強(qiáng)大的市場立足點(diǎn),競爭對(duì)手可能會(huì)發(fā)起破壞或毀壞性的網(wǎng)絡(luò)攻擊。
(4)黑客主義活動(dòng)者
黑客主義活動(dòng)者攻擊網(wǎng)絡(luò)資產(chǎn),以達(dá)到相關(guān)的政治妥協(xié),通常他們會(huì)選擇高知名度或受關(guān)注的目標(biāo),但往往他們的攻擊目標(biāo)和攻擊原因極不匹配,采礦、石油和天然氣公司經(jīng)常淪為他們抗議環(huán)境影響、棲息地破壞、企業(yè)貪婪和其它關(guān)切問題的目標(biāo)。
3.3 礦業(yè)公司是如何遭到入侵的?
(1)網(wǎng)絡(luò)釣魚和社工技術(shù)攻擊
選擇特定目標(biāo),通過郵件釣魚配合社工技術(shù)是最有效的針對(duì)性攻擊。ICS安全咨詢商Digital Bond進(jìn)行了一項(xiàng)實(shí)驗(yàn):向不同公司的主要ICS系統(tǒng)人員發(fā)出了有嵌入式鏈接的魚叉式網(wǎng)絡(luò)釣魚郵件,然后,通過開源情報(bào)系統(tǒng)識(shí)別上鉤目標(biāo),其中有25%的接收者通過點(diǎn)擊釣魚郵件鏈接而成為受害者,這些受害者中包括:ICS系統(tǒng)主管、自動(dòng)化技師、設(shè)備診斷工、儀表技術(shù)員等。
(2) 漏洞利用
每個(gè)月軟件供應(yīng)商都會(huì)對(duì)新的軟件漏洞進(jìn)行披露和修補(bǔ),只有極少數(shù)的漏洞會(huì)成為“武器化”工具,一旦這些漏洞被“武器化”,它們將被多年用于網(wǎng)絡(luò)攻擊中,如CVE -2008-4841、CVE -2010-3333 CVE-2012-0158和CVE-2010-2568等,系統(tǒng)補(bǔ)丁不適配或操作系統(tǒng)不支持都可能導(dǎo)致被這些漏洞利用工具成功入侵。
(3)水坑攻擊
攻擊者通過感染目標(biāo)用戶經(jīng)常訪問的網(wǎng)站,實(shí)現(xiàn)對(duì)特定目標(biāo)和網(wǎng)絡(luò)的入侵控制。
(4)惡意廣告攻擊
惡意廣告攻擊是通過網(wǎng)絡(luò)廣告在線傳播惡意軟件,惡意廣告攻擊包括向合法在線廣告注入或裝載惡意軟件實(shí)現(xiàn)傳播攻擊。
(5)針對(duì)第三方供應(yīng)商和承包商的攻擊
攻擊者通過成功入侵承包商和第三方供應(yīng)商,并利用他們作為后門進(jìn)入有針對(duì)性的企業(yè)網(wǎng)絡(luò)。美國零售商塔吉特(Target)曾在2013年11月淪為史上信用卡數(shù)據(jù)泄露事件的受害者,經(jīng)過后期調(diào)查發(fā)現(xiàn),網(wǎng)絡(luò)犯罪分子通過入侵了Target的第三方供應(yīng)商HVAC而成功地進(jìn)入Target網(wǎng)絡(luò)實(shí)施了數(shù)據(jù)竊取。第三方供應(yīng)商和承包商是產(chǎn)業(yè)供應(yīng)鏈中的關(guān)鍵節(jié)點(diǎn),其信息安全問題也應(yīng)備受關(guān)注。
(6) 中間人(MitM)攻擊
中間人攻擊涉及在兩個(gè)中繼通信系統(tǒng)/終端/實(shí)體之間的數(shù)據(jù)攔截、改變和傳輸。攻擊者通過攔截兩個(gè)受害者之間的所有相關(guān)消息,或者改變消息或注入新消息。這在很多情況下是非常容易實(shí)現(xiàn)的,例如在一個(gè)未加密的無線接入點(diǎn)接收范圍內(nèi),攻擊者可以將自己作為中間人。MITM攻擊目的是規(guī)避或相互認(rèn)證直接與終端進(jìn)行連接。
(7)感染設(shè)備攻擊
設(shè)備制造商的新設(shè)備里預(yù)裝了惡意軟件,雖然這聽起來不太可能,但最近的例子如聯(lián)想公司的出貨筆記本電腦預(yù)裝了惡意軟件。我們也和不同礦業(yè)公司的IT安全專家對(duì)設(shè)備預(yù)裝惡意軟件情況,如Stuxnet事件等進(jìn)行了多次討論,他們表示非常擔(dān)心。
(8)內(nèi)部工作人員威脅
內(nèi)部工作人員是最難的攻擊向量,因?yàn)樗枰ㄟ^組織信任以實(shí)施權(quán)限濫用。一些不滿、失望或急需用錢的員工可能采取這類措施對(duì)企業(yè)進(jìn)行攻擊。
3.4 針對(duì)采礦行業(yè)的著名網(wǎng)絡(luò)攻擊案例
針對(duì)采礦行業(yè)的網(wǎng)絡(luò)攻擊,比針對(duì)其他行業(yè)如醫(yī)院、銀行的網(wǎng)絡(luò)攻擊所獲得的關(guān)注度較高,下表為2010年到現(xiàn)在,針對(duì)采礦行業(yè)的網(wǎng)絡(luò)攻擊案例,這些攻擊確實(shí)發(fā)生過,并帶來重大影響。
?? 
?? 
?? 
3.5 對(duì)工業(yè)行業(yè)造成威脅的惡意軟件
通過安全研究,我們收集了能源、制造業(yè)、石油和天然氣三個(gè)工業(yè)行業(yè)2015年的日常網(wǎng)絡(luò)攻擊數(shù)據(jù),總結(jié)了其中有惡意軟件分類,收集的數(shù)據(jù)可能無法準(zhǔn)確地代表所有威脅,但仍表現(xiàn)了一種總體趨勢:
?? 
其中,ADW_OPENCANDY 是三個(gè)工業(yè)行業(yè)中被檢測到的最大威脅;MAL_OTORUN、MAL_HIFRM、 CRCK_KEYGEN是在三個(gè)工業(yè)行業(yè)中的主要感染源;惡意廣告軟件感染分布于三個(gè)工業(yè)行業(yè)。
3.6 ICS:采礦行業(yè)的安全薄弱點(diǎn)
采礦ICS系統(tǒng)
SCADA系統(tǒng)、分布式控制系統(tǒng)(DCS)、可編程邏輯控制器(PLC)、遠(yuǎn)程終端單元(RTU),簡易爆炸裝置(IED),執(zhí)行器和傳感器被廣泛用于自動(dòng)化的采礦和選礦設(shè)備中。采礦自動(dòng)化的例子是:
(1)卡車上進(jìn)行挖礦和碎礦設(shè)備的自主牽引系統(tǒng)。
(2) 控制礦區(qū)自主車輛的指揮控制系統(tǒng)(C2)
(3) 礦區(qū)內(nèi)避免碰撞系統(tǒng)和區(qū)域限定系統(tǒng)
(4) 危險(xiǎn)環(huán)境中執(zhí)行挖掘任務(wù)的遠(yuǎn)程控制系統(tǒng)(遠(yuǎn)程操作推土機(jī)和挖掘機(jī))
(5)控制不同采礦流程的過程知識(shí)系統(tǒng)(PKS)
(6)礦業(yè)公司對(duì)環(huán)境、巖土工程和振動(dòng)的監(jiān)測系統(tǒng),對(duì)斜面運(yùn)動(dòng)、挖掘、隧道和相鄰的結(jié)構(gòu)的傳感系統(tǒng)。
(7)安裝在輸送帶上的激光誘導(dǎo)和實(shí)時(shí)分析系統(tǒng)(LIBS)。
(8) 水平、定位、體積、壓力和流量測量使用的(有線或無線)聲納,電磁,雷達(dá)和振動(dòng)傳感器
(9)用于地下開采的自動(dòng)化系統(tǒng),如巖爆災(zāi)害遠(yuǎn)程評(píng)估系統(tǒng)、電液控制系統(tǒng)等
(10)自動(dòng)鉆井設(shè)備中振動(dòng)、慣性、地震和傾斜等技術(shù)傳感器
(11)輸送帶監(jiān)控系統(tǒng)。
暴露在互聯(lián)網(wǎng)上的ICS設(shè)備
我們通過SHODAN,對(duì)暴露在互聯(lián)網(wǎng)上的HMI控制系統(tǒng)和ICS系統(tǒng)進(jìn)行了搜索,這些暴露在互聯(lián)網(wǎng)上的設(shè)備系統(tǒng)很容易受到攻擊入侵。
?? 
上圖顯示為暴露HMI系統(tǒng):二氧化碳(CO2)傳感器、水泵、銑床、堆肥池,水處理廠和一條輸送帶。
我們還利用GeoIP配合SHODAN的搜索數(shù)據(jù)在GOOGLEearth標(biāo)注了HMI和ICS系統(tǒng)的地理位置,下圖中黃色方塊代表礦山區(qū)域,紅色引腳代表暴露的ICS設(shè)備,綠色方框代表主要的人口中心,如城市或大城鎮(zhèn)。
?? 
?? 
?? 
?? 
從谷歌地球上我們得出了以下的結(jié)論:
絕大多數(shù)的礦山位于偏遠(yuǎn)的地方,很少有暴露的ICS設(shè)備在他們的附近
大多數(shù)暴露的ICS設(shè)備位于大城鎮(zhèn)和城市的人口中心
現(xiàn)代礦山是高度自動(dòng)化的,他們的ICS設(shè)備控制中心通常位于遠(yuǎn)離采礦地點(diǎn)數(shù)百或數(shù)千公里以外的人口中心。通過控制中心的HMI系統(tǒng)遠(yuǎn)程控制礦區(qū)ICS設(shè)備,如果這些礦區(qū)ICS設(shè)備暴露在互聯(lián)網(wǎng)上,就會(huì)危及采礦安全
美國的截圖是有點(diǎn)難以辨認(rèn),因?yàn)樵S多人口中心分散在美國各地。仔細(xì)檢查,我們發(fā)現(xiàn),美國的數(shù)據(jù)也遵循預(yù)期的趨勢:大多數(shù)的礦山位于偏遠(yuǎn)地區(qū),很少有ICS設(shè)備暴露在礦山附近
存在一個(gè)很高的概率性,一些非ICS設(shè)備暴露在礦區(qū)附近,這些設(shè)備可能礦區(qū)的服務(wù)器、臺(tái)式機(jī)、移動(dòng)設(shè)備等,它們會(huì)成為數(shù)據(jù)竊取的目標(biāo),或是入侵企業(yè)內(nèi)網(wǎng)的切入點(diǎn)
4 安全防護(hù)建議
根據(jù)我們的研究結(jié)果結(jié)合采礦行業(yè)的網(wǎng)絡(luò)攻擊威脅,我們提出了采礦行業(yè)公司最低安全配置的強(qiáng)制性安全策略:
(1)網(wǎng)絡(luò)分段。將網(wǎng)絡(luò)劃分為不同的安全區(qū)域,并實(shí)現(xiàn)關(guān)鍵部分的保護(hù)隔離。Purdue模型是劃分ICS網(wǎng)絡(luò)的最好指南;
(2)補(bǔ)丁管理。及時(shí)掌握、評(píng)估和識(shí)別漏洞信息,及時(shí)修復(fù)系統(tǒng)或應(yīng)用軟件補(bǔ)丁,達(dá)到堵塞漏洞,消除隱患;
(3)訪問控制。這是廣義的問題,涵蓋了所有方面的可控制訪問網(wǎng)絡(luò)、關(guān)鍵資產(chǎn)、設(shè)備或服務(wù),根據(jù)準(zhǔn)確定義分類 who/what權(quán)限 ;
(4)入侵檢測。所有的系統(tǒng)都需要一些監(jiān)控系統(tǒng)活動(dòng)的方法,并在網(wǎng)絡(luò)中識(shí)別潛在的惡意事件。沒有入侵檢測系統(tǒng),一個(gè)輕微的安全問題可能會(huì)成為關(guān)鍵安全事件;
(5)事件規(guī)劃和響應(yīng)。一個(gè)全面的網(wǎng)絡(luò)事件響應(yīng)計(jì)劃應(yīng)包括一些積極主動(dòng)和響應(yīng)緩解的措施。積極的響應(yīng)措施可以幫助企業(yè)應(yīng)對(duì)、檢測和管理安全事件的發(fā)生。
