工控行業進入網絡安全問題爆發期,有6點需要關注
- 2010年,震網(Stuxnet)病毒曾感染了全球超過45000個網絡,伊朗遭到威脅最為嚴重,60%的個人電腦感染了這種病毒。
- 2016年,三一重工近千臺工程機械設備遭非法解鎖破壞,數量多達近千臺,波及多個省份,直接經濟損失達3000余萬元,間接損失近十億元。
- 2018年,Wannacry的變種侵入了臺灣積體電路制造,導致其停產三天,預計經濟損失高達4億元人民幣。
工控行業進入網絡安全問題爆發期,“安全債”該還了。
在此背景下,我們總結了在工業控制系統信息安全方面的六個關鍵發現。
一、工業控制系統與傳統IT信息系統建設目標不同,這導致其在技術、管理與服務等很多方面有相當大的差異。
在大部分情況下,保密性是傳統信息安全領域最重要的部分。在工業控制系統領域則有較大的不同。工業控制系統強調的是工業自動化程度及對相關設備的智能控制、監測與管理能力。因此工業控制系統對完整性和可用性要求更高。
二、工控系統暴露的資產日漸增多。
在和外部聯網的情況下,工控系統容易被外部探測,并通過公開或私有通訊協議、WEB服務、Telnet、FTP等返回的信息中包含的特殊字段對資產進行識別,進而可以實現對資產的控制。
下面是我們通過資產識別技術對全球工控資產在網絡中的暴露情況進行探測。首先以最常見的Modbus和西門子S7協議為例,統計全球設備數據總量及分布。2018年統計分析。
- 發現使用Modbus協議的設備共有373612臺。
- 被探測到使用Modbus協議前三位的國家是美國,韓國和比利時。
- 國內被探測到使用Modbus協議前三位的省份是廣東,臺灣和北京。
- 發現使用S7協議的設備375835臺。
- 被探測到使用S7協議前三位的國家是美國,韓國和中國。
- 國內被探測到使用S7協議前三位的省份是廣東,上海和北京。
三、隨著近年來對工控安全的深入研究,越來越多的工控漏洞被研究人員發現。
根據供水及水處理行業,化工行業,石化行業,電力行業和冶金行業這五個典型的工業場景中的統計分析表明,工業控制系統在2017年和2018年所面臨的威脅呈現明顯上升的趨勢,下圖以石化行業為例:
圖 1 石化行業威脅態勢
四、針對工控系統的勒索病毒會越來越多。
目前的勒索病毒,例如Wannacry等,主要是針對工控系統中的IT系統進行威脅,例如針對上位機,ERP系統等進行勒索。從方式及帶來的影響看,針對OT系統的勒索病毒未來會出現在OT系統,例如針對PLC,DCS等系統的勒索病毒。
五、工控安全技術方向仍然需要新一輪的創新。
工控安全在考慮引入IT信息安全的技術手段或者是構建在工控安全自身特性的技術上時,都需要與工控系統自身的運行特點相互匹配,需要考慮好IT+OT統一的安全技術手段如何有效的融入到工控安全能力中。要考慮安全技術在工業業務增效中起到的作用。技術應用上要考慮輕量化、無擾動、業務數據的采集與安全數據采集之間的關聯,需要考慮各個行業領域應用的差異性,共性技術的提取與特異性技術的應用等。
六、在安全能力的構建上,綜合性的業務故障聯合診斷分析會成為未來工控安全的一個發展趨勢。
在構建過程中需要安全數據、業務數據的翻譯與解析,形成有效的“通話機制”。安全數據內容與業務數據內容之間的橋梁和通道需要逐步打通,逐步實現業務通道給安全提供有效數據,安全為業務保證提供有效支撐的一體化的業務保證能力。
伴隨著國家各個部委的政策指引,國家相關資金的支持以及各個控制系統運營企業對工控安全重視程度的提升,工控信息安全必然會迎來一個比較好的發展時期。從未來角度看,工業信息安全必將是一個綜合性的安全,安全的價值也需要體現在對業務的實質性促進作用上。
【本文是51CTO專欄作者“綠盟科技博客”的原創稿件,轉載請通過51CTO聯系原作者獲取授權】
