工业互联网+一直是我国互联网比较孱弱的地方,也是容易遭受到攻击的地方,接下来,随着一篇文章,让我们看看为何工业互联网会有脆弱之名。
一家正常运营的炼油厂突然打破以往的平静——计算机屏幕开始强烈地闪烁,光标不受控制并四处游移,电线突然短路,滚滚浓烟中夹杂着大量的火花……炼油厂的设备大面积停止运转,工厂的工人们不知所措地到处观望,系统工程师们则焦头烂额、争分夺秒。
这样的紧急情况源自一群专业黑客的攻击,他们通过恶意代码攻击炼油厂的控制系统,从而干扰甚至控制炼油厂的生产运营。
这一幕发生在KEEN公司和卡巴斯基实验室联合发起的工业控制系统CTF决赛上,来自中国、日本和韩国的选手模拟攻击炼油厂进行安全实战。比赛现场以炼油厂的真实生产为背景,复制了变速离心泵、储罐(油箱)、热交换器和缓冲罐构成的铁管卸料器。
“以炼油厂的真实生产场景作为背景,比赛现场所发生的所有情况在实际关键基础设施和工业系统中也可能发生。”卡巴斯基实验室高级研究员VladimirDashchenko说道。
作为“智慧工厂”的大脑,工业控制系统可谓是企业乃至国家的“安全命门”。但全球频繁爆发针对它的大规模网络攻击,如“震网”病毒造成伊朗上千台离心机报废;乌克兰电网被攻击导致140余万家庭断电;“Petrwrap”勒索病毒影响多个国家的电力、轨道交通、石油等重点领域运行等案例引起了全球安全从业者的关注——工业控制系统一旦遭受攻击,可对现实世界造成直接的、实质性的危害,甚至威胁国家安全和经济社会稳定。
而伴随着物联网和大数据在工业应用中日益普及,这些攻击目标被逐渐放大,安全防护问题也呈几何级数被认知。
愈演愈烈
去年5月12日晚,一款名为WannaCry的蠕虫勒索软件袭击全球网络,这被认为是迄今为止最巨大的勒索交费活动,影响到近百个国家上千家企业及公共组织。
在5月13日凌晨开始,中国石油旗下北京、上海、重庆、成都等多个城市的加油站出现网络瘫痪的情况,导致油卡、支付宝、微信、银联卡等联网支付方式无法使用。为确保用户数据安全和防止病毒扩散,在受到勒索病毒攻击后,中石油紧急中断所有加油站上连网络端口,并会同有关网络安全专家连夜开展处置工作,全面排查风险,制定技术解决方案。
第一财经记者致电中国石油,相关方面表示称,经过技术解决,很快的时间中石油80%以上加油站恢复网络连接,用户加油卡账户资金未受影响。
西门子中国研究院信息安全部总监胡建钧向第一财经记者表示,WannaCry作为一个里程碑式的事件,打开了一个以经济利益为驱动,与地下黑色产业链对接的潘多拉魔盒,它将对工业企业带来更大的威胁。
事实上,在人类工业互联网发展以来,黑客利用各项漏洞的非法入侵从未停止过。
早在2000年,澳大利亚马卢奇污水处理厂就曾遭遇到黑客攻击,在前后三个多月的时间里,总计约100万升未经处理的污水直接经雨水渠排入了公园、河流等自然水系。此番行为直接导致了当地大量海洋生物死亡,污水臭气熏天,给所在区域带来严重生态灾难。
2003年1月,美国俄亥俄州Davis-Besse核电站和其他电力设备受到SQLSlamme蠕虫病毒攻击,在数小时内网络数据传输量剧增,导致该核电站计算机处理速度变缓、安全参数显示系统和过程控制计算机无法运作。
彼时的非法入侵事件就已为工控系统安全防护敲响了警钟,但真正拉开保卫工业信息安全序幕的则是臭名昭著的“震网病毒”事件。
2010年6月,震网病毒Stuxnet首次被发现,它是第一个专门定向攻击真实世界基础设施的“蠕虫”病毒。其利用当时微软尚未发现的几个漏洞,成功偷袭了伊朗Natanz核电站,造成大量离心机损毁;此后的2012年,美国加州的Chevron石油公司对外称,他们的计算机系统曾受到该震网病毒的袭击;随后,美国BakerHughes、ConocoPhillips和Marathon等石油公司也相继发表声明称,其计算机系统也感染了震网病毒。他们发布警告,一旦病毒侵害了真空阀,就会造成离岸钻探设备失火、人员伤亡和生产停顿等重大事故。
胡建钧向记者介绍,2010年的“震网病毒”事件拉开了保卫工业信息安全的序幕,该病毒是第一个专门定向攻击真实世界中基础(能源)设施的“蠕虫”病毒,比如核电站、水坝和电网等。截至2011年,全球超过45000个网络以及60%的个人电脑感染了这种病毒。
更为严重的是,病毒也会随着科技的进步而变异,变得更加“强大”。2011年微软安全专家检测到Stuxnet病毒的一个新型变种,Duqu木马病毒。这种比Stuxnet更聪明的病毒可以潜伏于工控系统,收集攻击目标的各种信息,以供未来网络袭击之用。2015年6月Duqu2.0爆发,甚至入侵到网络安全公司卡巴斯基的内网以及伊核谈判地点的会议酒店。其攻击实力不容小觑。
根据德国数字协会Bitkom(2015年4月的一项研究)的保守分析,由于数字工业间谍、蓄意破坏和数据盗窃,德国每年遭受的损失高达510亿欧元。
裸露的工业互联网
虽然对于黑客或者入侵者而言,通过传统USB等物理方式入侵工控系统显然更加有效,但是随着数字工业的发展,通过互联网途径的远程入侵则会更加高效与便捷。
2015年12月,黑客利用系统漏洞非法入侵了乌克兰的一家电力公司,远程控制了配电管理系统,导致7台110kV与23台35kV变电站中断了三个小时,22.5万用户停电;2016年4月,德国核电站负责燃料装卸系统的BlockBIT网络同样遭到攻击,安全人员在对这套系统的安全检测中发现了远程控制木马,虽然还没有执行非法操作,但核电站的操作员为防不测,临时关闭了发电厂。
事实上,随着现今的工业日益与信息化技术融合发展,物联网、大数据在工业中应用越来越普遍,无数的设备连网接入网络,以便于监测维护。而工业物联网快速发展背后显然隐藏着一个巨大的“裸露”风险。
在电力和供水系统、交通系统和工厂控制系统等利用IT系统运营的关键基础设施中,网络安全扮演着至关重要的角色。随着这些基础设施开放程度的不断提高,它们遭受攻击的可能性也越来越大。
第一财经记者调查发现,病毒入侵主要是通过企业和工业网络之间的接口,工业网络的互联网接入,以及通过移动电话网络将工业网络上的计算机连接到网络中。它们大多通过垃圾邮件伪装成商业通信的分布式,或者恶意附件或连接到恶意软件下载。而等到达工业设施终端,许多发电机、水泵和其他基建设施都有一个共同的致命弱点,只要攻击者远程开关关键电路的断路器,就会使得机器的旋转部件脱离同步状态,进而造成部分系统故障。
今年年初,专注于安全领域的研究中心Ponemon发表了一份美国石油天然气行业网络安全调查报告,超过2/3的受访者都表示在过去的一年里遭受过至少一次安全损害,导致关键信息丢失或生产中断。
360企业安全集团董事长齐向东表示,360和东北大学工控安全实验室曾进行过联合研究,通过扫描部分网络,发现全球77766台控制系统和控制主机暴露在互联网上,其中美国占大头达到3万多台,中国也有近2000台处于裸奔的状态,涵盖了所有目前流行的控制系统和工业控制协议,涉及的应用领域从离散控制到连续控制都有。可以想见,这些系统一旦出现漏洞被攻击、被远程操控,可能引发灾难性的后果。
网络安全公司卡巴斯基实验室最新报告称,制造业已经成为第二个最容易受到网络攻击的行业,工业控制系统(ICS)和制造业的计算机的入侵数量占所有攻击的三分之一。
报告显示,2017年上半年大约18000种不同的恶意软件修改工业自动化系统,大多数网络攻击发生在生产材料、设备和货物的制造公司。受影响较大的部门包括工程、教育和食品饮料。其中,能源公司的ICS计算机几乎占所有攻击的5%。