[[177608]]

【51CTO.com快譯】上個(gè)月針對(duì)Dyn發(fā)動(dòng)的大規(guī)模分布式拒絕服務(wù)(DDoS)攻擊帶來(lái)的主要還是不便，雖然備受媒體的關(guān)注，但是沒(méi)人因此丟命。除了經(jīng)濟(jì)方面外，甚至沒(méi)人因此受到損失。

　　但是這次攻擊勢(shì)必讓人猜想這等規(guī)模或更嚴(yán)重的DDoS對(duì)全國(guó)關(guān)鍵基礎(chǔ)設(shè)施的一部分會(huì)造成什么樣的破壞，例如攻擊電力基礎(chǔ)設(shè)施，一旦沒(méi)有電，眾多公司、家庭、急救服務(wù)、金融行業(yè)和互聯(lián)網(wǎng)都將寸步難行。

　　這一幕已經(jīng)在比較小的范圍內(nèi)得到了演示。這個(gè)月早些時(shí)候，一次DDoS攻擊導(dǎo)致芬蘭東部城市拉彭蘭塔兩處物業(yè)的供熱系統(tǒng)癱瘓。

　　故障只是暫時(shí)性的，但是正如地方媒體特別指出，由于溫度在零度以下，“供熱系統(tǒng)長(zhǎng)期癱瘓不僅會(huì)導(dǎo)致重大危害，還會(huì)促使居民需要搬到其他地方。”

　　另外，在最近一篇題為《物聯(lián)網(wǎng)走核武器道路：引發(fā)ZigBee連鎖反應(yīng)》的文章中，研究人員聲稱，他們還使用飛利浦Hue智能燈泡，演示了“一種新型威脅，即鄰近的物聯(lián)網(wǎng)設(shè)備會(huì)通過(guò)一種蠕蟲，感染對(duì)方，這種蠕蟲會(huì)以某種核鏈?zhǔn)椒磻?yīng)，在大片地區(qū)迅猛蔓延開(kāi)來(lái)。”

　　研究人員表示，使用燈泡的ZigBee無(wú)線連接，攻擊“一開(kāi)始給在城市任何地方的一只被感染的燈泡接通電源，然后在短短幾分鐘內(nèi)蔓延到各個(gè)地方，造成災(zāi)難，讓攻擊者能夠開(kāi)啟或關(guān)閉城市的所有燈光，給它們?cè)斐捎谰眯缘钠茐模蛘呃盟鼈儼l(fā)動(dòng)大規(guī)模的DDoS攻擊。”

　　如果這種攻擊還可以被用來(lái)長(zhǎng)時(shí)間摧垮供暖、供水、下水道、交通控制及其他基礎(chǔ)服務(wù)，造成混亂和實(shí)際破壞的風(fēng)險(xiǎn)就會(huì)迅速加大。

　　作家、知名安全博客寫手兼Resilient Systems公司的首席技術(shù)官布魯斯·施奈爾(Bruce Schneier)在最近的一篇文章中寫道：“這些系統(tǒng)里面的安全漏洞可能意味著有人喪生、財(cái)產(chǎn)遭到損壞。”

　　但是DDoS攻擊果真會(huì)導(dǎo)致運(yùn)營(yíng)或監(jiān)控全國(guó)關(guān)鍵基礎(chǔ)設(shè)施大部分系統(tǒng)的工業(yè)控制系統(tǒng)(ICS)長(zhǎng)期癱瘓嗎?

　　專家們對(duì)這個(gè)話題眾說(shuō)紛紜。有些人表示，全國(guó)工業(yè)控制系統(tǒng)與消費(fèi)級(jí)物聯(lián)網(wǎng)設(shè)備大不一樣，不容易受到DDoS的攻擊。另一些人表示，那些系統(tǒng)確實(shí)與物聯(lián)網(wǎng)的一部分有著足夠密切的聯(lián)系。

　　DDoS攻擊不是什么新鮮事――它們存在已經(jīng)有幾十年，并不被認(rèn)為有多厲害。它們的工作方式就是，往網(wǎng)站及其他聯(lián)網(wǎng)系統(tǒng)發(fā)送大量的垃圾流量，這些垃圾流量阻止合法流量正常通行，導(dǎo)致網(wǎng)站不堪重負(fù)，這種攻擊還會(huì)導(dǎo)致網(wǎng)站崩潰。

　　讓Dyn攻擊相對(duì)前所未有的地方是，它利用了數(shù)百萬(wàn)個(gè)“僵尸”物聯(lián)網(wǎng)設(shè)備，比如“智能”攝像頭和數(shù)字錄像機(jī)等，而不是利用電腦。就在近至一年前，這次攻擊的規(guī)模：1.2Tbps還聞所未聞。現(xiàn)在卻習(xí)以為常，預(yù)計(jì)會(huì)迅速提升。

　　與此同時(shí)，全國(guó)的關(guān)鍵基礎(chǔ)設(shè)施仍然極不安全。今年早些時(shí)候，美國(guó)聯(lián)邦調(diào)查局(FBI)和國(guó)土安全部(DHS)在全國(guó)推出了一項(xiàng)活動(dòng)，提醒美國(guó)公用事業(yè)公司和廣大民眾提防網(wǎng)絡(luò)攻擊導(dǎo)致的危險(xiǎn)，比如去年12月份導(dǎo)致烏克蘭電網(wǎng)部分癱瘓的那次網(wǎng)絡(luò)攻擊。

　　今年9月，在馬薩諸塞州坎布里奇的Security of Things論壇上，一群安全專家一致認(rèn)為，攻擊者(可能來(lái)自敵對(duì)國(guó)家)可能已經(jīng)潛入在全國(guó)的工業(yè)控制系統(tǒng)里面。

　　保羅·丹特(Paul Dant)是Independent Security Evaluators的首席戰(zhàn)略師兼負(fù)責(zé)人，他在討論會(huì)上表示，更多的攻擊在所難免。他說(shuō)：“以為系統(tǒng)不容易受到攻擊完全很荒謬。”

　　不過(guò)，業(yè)界一些人士表示，DDoS不是重大關(guān)鍵基礎(chǔ)設(shè)施面臨的直接威脅，因?yàn)楣I(yè)控制系統(tǒng)不是像消費(fèi)級(jí)設(shè)備那樣是物聯(lián)網(wǎng)的一部分。Dragos威脅運(yùn)營(yíng)中心的主任本·米勒(Ben Miller)表示，雖然“乍一看，工業(yè)控制系統(tǒng)看似類似物聯(lián)網(wǎng)設(shè)備”，但是“從技術(shù)堆棧、使用場(chǎng)合、演進(jìn)和功能等方面來(lái)看，由恒溫器饋入數(shù)據(jù)的工業(yè)控制系統(tǒng)與Nest消費(fèi)級(jí)恒溫器卻大不一樣。”

　　他說(shuō)：“工業(yè)控制系統(tǒng)流程通常并不依賴基于互聯(lián)網(wǎng)的服務(wù)。”

　　埃森哲總經(jīng)理兼Fusion首席執(zhí)行官馬特·德沃斯特(Matt Devost)觀點(diǎn)大體一致。他說(shuō)：“DDoS攻擊對(duì)付天生依賴互聯(lián)網(wǎng)通信的目標(biāo)最有效，而工業(yè)控制系統(tǒng)/監(jiān)控和數(shù)據(jù)采集(ICS/SCADA)環(huán)境在設(shè)計(jì)時(shí)根本就沒(méi)有這種依賴性。”

　　據(jù)Spirion主管產(chǎn)品戰(zhàn)略的副總裁蓋布·岡布斯(Gabe Gumbs)聲稱：“應(yīng)該將物聯(lián)網(wǎng)嚴(yán)格定義為與消費(fèi)者連接的設(shè)備。關(guān)鍵基礎(chǔ)設(shè)施的大部分聯(lián)網(wǎng)，但它不是消費(fèi)級(jí)技術(shù)。擁有SCADA系統(tǒng)等設(shè)施的企業(yè)組織致力于確保安全，這與消費(fèi)者形成了鮮明對(duì)照。”

　　而Dragos的首席執(zhí)行官羅伯特·M·李(Robert M. Lee)表示，雖然互聯(lián)網(wǎng)上仍有一些工業(yè)控制系統(tǒng)資產(chǎn)(“老實(shí)說(shuō)，為數(shù)不少”)，但是許多工業(yè)控制系統(tǒng)并未聯(lián)網(wǎng)。“這些設(shè)備而是組成一個(gè)數(shù)據(jù)和端點(diǎn)網(wǎng)絡(luò)。DDoS那樣的攻擊不會(huì)對(duì)工業(yè)控制系統(tǒng)界的關(guān)鍵基礎(chǔ)設(shè)施站點(diǎn)構(gòu)成重大破壞。”

　　SCADAfence的聯(lián)合創(chuàng)始人兼首席技術(shù)官尤尼·紹特(Yoni Shohet)表示，工業(yè)控制系統(tǒng)“絕對(duì)是物聯(lián)網(wǎng)的一部分，因?yàn)檎麄€(gè)行業(yè)由物理系統(tǒng)轉(zhuǎn)型為網(wǎng)絡(luò)物理系統(tǒng)。工業(yè)環(huán)境與外部網(wǎng)絡(luò)之間的連接在過(guò)去幾年有所加強(qiáng)。這種環(huán)境比以往更加暴露在外部攻擊面前。”

　　Full Spectrum的首席執(zhí)行官斯圖爾特·坎特(Stewart Kantor)說(shuō)：“由于我們看到關(guān)鍵基礎(chǔ)設(shè)施通過(guò)公共蜂窩數(shù)據(jù)網(wǎng)絡(luò)上基于IP的通信、連接到智能設(shè)備，開(kāi)始實(shí)施自動(dòng)化工作，它也就成了更廣泛的物聯(lián)網(wǎng)的一部分，物聯(lián)網(wǎng)同時(shí)整合了消費(fèi)級(jí)技術(shù)和關(guān)鍵任務(wù)技術(shù)。”

　　但是他并不完全反對(duì)表示工業(yè)控制系統(tǒng)不是物聯(lián)網(wǎng)一部分的那些人，因?yàn)橐恍┕檬聵I(yè)公司通過(guò)構(gòu)建“自己的單獨(dú)、專用的物聯(lián)網(wǎng)，使用基于專用網(wǎng)絡(luò)上的軟件定義無(wú)線電技術(shù)，這個(gè)網(wǎng)絡(luò)完全歸公用事業(yè)公司自己擁有和運(yùn)營(yíng)”，因此脫離了公共互聯(lián)網(wǎng)。

　　坎特補(bǔ)充道，有許多美國(guó)公用事業(yè)公司，以及行業(yè)研究協(xié)會(huì)和貿(mào)易協(xié)會(huì)(包括電力研究所和公用事業(yè)公司技術(shù)委員會(huì))，它們“支持對(duì)現(xiàn)有的無(wú)線通信標(biāo)準(zhǔn)進(jìn)行修正，以便兼顧關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)或所謂的場(chǎng)域網(wǎng)絡(luò)(FAN)的可靠性、覆蓋和安全等問(wèn)題。”

　　李也表示，他已發(fā)現(xiàn)安全受到了重視。“我見(jiàn)過(guò)一些關(guān)鍵基礎(chǔ)設(shè)施公司(比如能源行業(yè)的公司)作好了極其充分的準(zhǔn)備，應(yīng)該可以發(fā)現(xiàn)企圖侵入其公司的針對(duì)性威脅。”

　　他說(shuō)：“作為一個(gè)社區(qū)，我們需要確保，不是只有5%的人重視安全，而是在更廣泛的范圍對(duì)安全予以重視。不過(guò)已有成功的案例。”

　　米勒表示，現(xiàn)在投入了“巨大的努力”來(lái)改善工業(yè)控制系統(tǒng)的安全。“2014年，美國(guó)能源部為能源輸送系統(tǒng)發(fā)布了指導(dǎo)原則，美國(guó)ICS-CERT早在2009年就為工業(yè)控制系統(tǒng)的采購(gòu)發(fā)布了類似指導(dǎo)。”

　　不過(guò)他承認(rèn)，工業(yè)控制系統(tǒng)設(shè)備廠商面向全球市場(chǎng)銷售，全球市場(chǎng)的安全壓力不如美國(guó)來(lái)得大。之前曾廣泛報(bào)道過(guò)，大型發(fā)電機(jī)及其他工業(yè)控制系統(tǒng)設(shè)備的成本高達(dá)六位數(shù)，不容易在安全方面作翻新和改造，旨在可以使用至少25年。

　　他說(shuō)：“實(shí)際上，工業(yè)控制系統(tǒng)行業(yè)任重而道遠(yuǎn)。”

　　岡布斯同意這一觀點(diǎn)。他說(shuō)：“安全并不總是被認(rèn)為是優(yōu)先事項(xiàng)。安全人員缺乏跟上攻擊者步伐所需的技能。業(yè)界也無(wú)力招聘或留住人才。”

　　“要發(fā)現(xiàn)狡猾的攻擊并非易事，這需要投入大量的人員、技能和技術(shù)，才能采取適當(dāng)?shù)姆婪丁Ｓ捎跇I(yè)界現(xiàn)在剛開(kāi)始重視安全，所以需要一段時(shí)間，才能提供有效的機(jī)制來(lái)防御狡猾的網(wǎng)絡(luò)攻擊。”

　　當(dāng)然，DDoS并不被認(rèn)為是一種狡猾的攻擊。它可能仍會(huì)導(dǎo)致一些重大的破壞――德沃斯特特別指出，“如果數(shù)百萬(wàn)個(gè)家用物聯(lián)網(wǎng)恒溫器和商業(yè)大樓的智能電網(wǎng)設(shè)備受到了危及，所需的交流電電量超過(guò)電網(wǎng)的供應(yīng)量，那會(huì)有什么樣的影響?”

　　Spirion主管產(chǎn)品戰(zhàn)略的副總裁蓋布·岡布斯(Gabe Gumbs)表示，他認(rèn)為美國(guó)的關(guān)鍵基礎(chǔ)設(shè)施具有足夠的彈性，抵御得住這種攻擊，不會(huì)遇到災(zāi)難性后果。

　　他說(shuō)：“我們談?wù)摰倪@等規(guī)模的網(wǎng)絡(luò)攻擊也許好比自然災(zāi)難;我們已經(jīng)證明，我們?cè)诿媾R颶風(fēng)、洪水、地震及其他災(zāi)難時(shí)具有相當(dāng)強(qiáng)的抗壓能力。”

　　他表示，金融系統(tǒng)崩潰可能比較嚴(yán)重。“如果我們遇到了實(shí)際的災(zāi)難，這會(huì)削弱我們對(duì)于走到ATM面前取現(xiàn)金，甚至購(gòu)買儲(chǔ)備物品的信心。”

　　坎特表示，他認(rèn)為，大多數(shù)公用事業(yè)公司非常重視安全。不過(guò)他承認(rèn)，“考慮到電力事業(yè)行業(yè)的規(guī)模和范圍――在美國(guó)本土分布在300多萬(wàn)平方英里的3300多家電力公司中，許多地方存在安全漏洞，包括物理的和遠(yuǎn)程的。”

　　“滲入到關(guān)鍵通信基礎(chǔ)設(shè)施是造成嚴(yán)重破壞的最容易、最匿名的方式。我們現(xiàn)在面臨這種情形，黑客變得越來(lái)越聰明，黑客社區(qū)在共享DDoS方面的知識(shí)和進(jìn)展。”

　　所以，要減小DDoS針對(duì)公用事業(yè)公司或其他關(guān)鍵基礎(chǔ)設(shè)施的威脅，可能需要改進(jìn)物聯(lián)網(wǎng)安全。而一些專家表示，市場(chǎng)不會(huì)這么做--這需要政府的大力推動(dòng)。

　　施奈爾在最近的文章中表示，說(shuō)到物聯(lián)網(wǎng)安全，“市場(chǎng)很失敗”，因?yàn)樵O(shè)備的賣方和雙方其實(shí)都不關(guān)注安全。

　　他寫道：“這是一種看不見(jiàn)的污染;就像環(huán)境污染一樣，唯一的解決辦法就是實(shí)行管控，”比如采取最基本的安全標(biāo)準(zhǔn)，及/或如果產(chǎn)品被用于DDoS攻擊，更容易起訴廠商。

　　他寫道：“細(xì)節(jié)需要認(rèn)真加以厘清，但是這些方法都都會(huì)提高不安全的成本，讓公司有動(dòng)機(jī)花錢來(lái)確保設(shè)備安全。”

　　這一幕可能很快就會(huì)上演。美國(guó)民主黨眾議員小弗蘭克·帕隆尼(Frank Pallone Jr.)和詹·夏考斯基(Jan Schakowsky)向聯(lián)邦貿(mào)易委員會(huì)女主席伊迪絲·拉米雷斯(Edith Ramirez)寫了一封信，“竭力呼吁”這個(gè)部門“運(yùn)用可以運(yùn)用的一切手段，確保物聯(lián)網(wǎng)設(shè)備廠商實(shí)施強(qiáng)有力的安全措施，以便為消費(fèi)者提供最有效的保護(hù)，遠(yuǎn)離網(wǎng)絡(luò)攻擊。”

　　原文標(biāo)題：Is critical infrastructure the next DDoS target?

　　作者：Taylor Armerding

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com】