??

[[176374]]

如今，隨著物理控制和電子系統的高度集成，在嚴峻的安全威脅形勢下，工業控制系統(ICS)安全事關國家關鍵基礎設施安全和民生安全，必須大力加強安全管理。在此，我們就2016年三次主要ICS事件進行討論，綜合專家意見，總結經驗。

1 Operation GHOUL(食尸鬼)行動

2016年8月，卡巴斯基安全實驗室揭露了針對工控行業的“食尸鬼”網絡攻擊活動，攻擊通過偽裝阿聯酋國家銀行電郵，使用魚叉式釣魚郵件，對中東和其它國家的工控組織發起了定向網絡入侵。攻擊中使用鍵盤記錄程序HawkEye收集受害系統相關信息。

卡巴斯基目前發現了全球130多個受攻擊目標，大多為石化、海洋、軍事、航空航天和重型機械等行業，涉及西班牙、巴基斯坦、阿聯酋、印度、中國、埃及等國。攻擊使用的魚叉式郵件主要發送對象為目標機構的高級管理人員，如銷售和市場經理、財務和行政經理、采購主管、工程師等。

觀點：必須注重人員安全意識問題

??Lane Thames??, Tripwire漏洞安全研究組專家。他認為，從“食尸鬼”行動可以看出，在安全防范時，必須要注重人員安全意識問題。

2 BLACKENERGY(黑暗力量)攻擊導致的斷電事故

2015年12月23日，烏克蘭電力供應商Prykarpattyaoblenergo通報了持續三個小時的大面積停電事故，受影響地區涉及伊萬諾-弗蘭科夫斯克、卡盧什、多利納等多個烏克蘭城市。后經調查發現，停電事故為網絡攻擊導致。攻擊者使用附帶有惡意代碼的Excel郵件附件滲透了某電網工作站人員系統，向電網網絡植入了BlackEnergy惡意軟件，獲得對發電系統的遠程接入和控制能力。

??

[[176375]]

??

BlackEnergy木馬病毒，2007年被Arbor網絡公司首次發現，之后，該惡意軟件功能經歷了多種變化，從相對簡單的DDoS到擁有模塊化結構的Rootkit技術，再到后來的具有插件支持、遠程代碼執行、數據采集等功能，在其最新升級版本中，還支持代理服務器、UAC繞過技術等。BlackEnergy在早期主要被黑客用于發送垃圾郵件、網上銀行詐騙等。

觀點：必須制訂和遵守安全規則

Pavel Ore?ki，Tripwire網絡安全專家，他認為此次攻擊表明，惡意郵件和垃圾郵件對某些組織機構來說仍然是一種嚴重的安全威脅。

3 伊朗黑客攻擊美國大壩事件

2016年3月24日，美國司法部公開指責7名伊朗黑客入侵了紐約鮑曼水壩(Bowman Avenue Dam)的一個小型防洪控制系統。幸運的是，經執法部門后期調查確認，黑客還沒有完全獲得整個大壩計算機系統的控制權，僅只是進行了一些信息獲取和攻擊嘗試。這些伊朗黑客可能為伊朗伊斯蘭革命衛隊服務，他們還涉嫌攻擊了包括摩根大通、美國銀行、紐約證券交易所在內的46家金融機構。

??

[[176376]]

觀點：組織機構必須采取循序漸進的多重防護策略，同時要具備網絡運行快速恢復能力

Keirsten Brager,CISSP, CASP, Tripwire駐某大型電力設施工程師。她認為，該事件可能比較復雜，但組織機構內部可以采取有效的保護措施。事件報道中主要突出了三方面問題：第三方機構感染了惡意軟件、僵尸網絡發起了對網站的DDoS攻擊、遠程入侵漏洞。雖然沒有任何一種解決方案是完美的，但一些深度防御策略可以緩解類似威脅風險。

惡意軟件：防御，檢測，響應

DDoS攻擊：檢測、緩解

安全認證：多因素認證

這些攻擊事件表明，最好的安全防護策略之一是針對遠程訪問的多因素身份認證。針對惡意軟件、DDoS和遠程入侵等攻擊，組織機構內部可以建立彈性的安全防御策略。但即使是最全面的部署防御也不是最安全最完美的。因此，對組織機構來說，具備持續監測響應能力，快速從網絡攻擊事件中恢復和運行才是最主要的。

總結

為應對未知安全事故，工控組織機構可以通過加強雇員安全培訓、制訂安全規則、采取多種安全防護措施，最大程度地實現全方位安全防護目的。