美國電力設施被DoS攻擊的思考
前段時間影響了美國猶他州、懷俄明州和加利福尼亞州電網控制系統的拒絕服務(DoS)攻擊很有意思,原因有三。
首先,黑客沒有直接攻擊電網電力生產和輸送的控制系統,而是中斷了公共事業運營商監視這些系統當前狀態的能力。公共事業產業稱此類事件為 “視野丟失”。如果攻擊者想要切斷部分電網,他們首先要做的就是這一步,因為這可以讓公共事業運營商看不到他們接下來要做的破壞性操作,比如關閉繼電器切斷電流。工業控制系統(ICS)網絡攻擊早期案例之一的震網事件中攻擊者就采取了類似的操作,他們讓核離心機操作員誤以為一切正常,而實際上離心機已經在超高速運轉,最終導致損壞。
其次,攻擊者通過黑掉聯網設備來造成可見性喪失。此前也有攻擊網絡設備的案例,比如2018年據傳是俄羅斯黑客搞的VPNFilter事件。這些攻擊中,黑客同樣利用了網絡設備中未被修復的漏洞,以便監聽網絡流量,盜取憑證,在流量中注入惡意代碼以破壞終端。因為通常直接暴露在互聯網上,且既沒有內置反惡意軟件功能也難以安裝補丁,這些設備相對容易被黑。
第三,電力行業是美國目前唯一一個擁有最小網絡安全標準規范(NERC CIP)的關鍵基礎設施垂直行業。其他垂直行業,比如油氣、化工、制藥、制造與交通運輸業,現下都還沒有任何網絡規范。所以,該事件很可能引致監管機構的更多審查。監管機構最近才對一家大型美國公共事業機構開出了創紀錄的1千萬美元罰款,處罰理由是忽視網絡安全導致發生多起事故,該機構沒有一個正式的、協調一致的網絡規范實施方法,比如在員工離職時注銷其掌握的管理員密碼。
美國人是怎么維護電網安全的?
NERC CIP 監管規定是重要的第一步,但并未更新到納入現代安全控制措施,比如持續監視以檢測公共事業網絡上的可疑或未授權行為。而且這些規定都有賴于公共事業公司自己上報事件,那瞞報情況的出現幾乎是必然的,畢竟上報事件很可能會招致罰款和股東訴訟。
有些人錯誤地認為國防部或者聯邦調查局(FBI)負責保護電網不受民族國家攻擊。但實際上,美國85%的關鍵基礎設施都是私營產業掌握著。在這些關鍵基礎設施遭到攻擊前,美國國防部和國土安全部(DHS)或FBI是既沒有資源也沒有法律依據來防護民用設施。
整個電網被網絡攻擊搞癱的概率有多大?
黑客幾乎是不可能搞定整個美國電網的,因為電網本來就特別設計成了不會發生單點故障的結構。不過,倒是可以想象一下意志堅定的民族國家攻擊者對特定人口稠密區下手以造成重大供電中斷與混亂的場景,就像俄羅斯黑客在2015年和2016年圣誕對烏克蘭做的那樣。比如說,在隆冬時節給華盛頓特區或華爾街斷個電,那肯定就能給美國人民帶來嚴重的經濟和心理打擊了,甚至還會鬧出人命。
這種情況并非只存在于理論上。2018年3月,美國FBI/DHS總結道,至少自2016年3月開始,俄羅斯政府黑客就攻擊了多個政府實體和美國關鍵基礎設施產業,包括能源、核、商業設施,水處理、航空及關鍵制造行業。
【本文是51CTO專欄作者“李少鵬”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
