工控網(wǎng)絡(luò)安全面臨嚴重安全威脅,危如累卵
國國土安全部ICS-CERT本周發(fā)布了關(guān)于工業(yè)控制系統(tǒng)(簡稱ICS)的三項安全公告,再次強調(diào)基礎(chǔ)設(shè)施與工業(yè)網(wǎng)絡(luò)當(dāng)前所面臨的嚴重安全威脅。
在最近一篇匯總ICS當(dāng)前威脅形勢的博文當(dāng)中,F(xiàn)ortinet公司的RuchnaNigam強調(diào)指出:“大多數(shù)工業(yè)控制系統(tǒng)來自不同供應(yīng)商且運行著專有操作系統(tǒng)、應(yīng)用程序以及協(xié)議(包括通用電氣、羅克韋爾、DNP3以及Modbus)。結(jié)果就是,基于主機且面向IT部門開發(fā)的安全方案幾乎根本不適用于ICS?!薄 ?/p>
這無疑使得ICS的安全性更為薄弱,而且需要完全由供應(yīng)商負責(zé)找到并解決安全漏洞。此次發(fā)布的三項公告所援引的全部已發(fā)現(xiàn)漏洞皆由供應(yīng)商獨立識別并報告——然而,我們卻很難驗證其修復(fù)手段是否真正解決了問題?!?/p>
最近曾發(fā)現(xiàn)羅克韋爾IAB安全漏洞的IvanSanchez對此感到相當(dāng)震驚。在日常工作當(dāng)中,他不斷搜索并發(fā)現(xiàn)新的ICS安全漏洞。就在去年,他發(fā)布報告指出,單是羅克韋爾公司一家的產(chǎn)品就存在超過150項風(fēng)險問題。一般來講,在報告相關(guān)問題之后,相關(guān)企業(yè)都會向他做出進一步咨詢?! ?/p>
“在95%的情況下,企業(yè)會請求我重新進行測試,然后再發(fā)布最終公告意見,”Sanchez在接受采訪時指出。“我認為企業(yè)應(yīng)當(dāng)詢問相關(guān)安全漏洞的具體細節(jié),而非對只對當(dāng)前發(fā)現(xiàn)的問題表示‘感謝’?!薄 ?/p>
公告ICSA-16-056-01描述了羅克韋爾自動化公司旗下集成化架構(gòu)構(gòu)建工具(簡稱IAB)應(yīng)用中的一項內(nèi)存訪問沖突錯誤。一旦被成功利用,其將允許攻擊者以等同于IAB工具的權(quán)限執(zhí)行惡意代碼。其只能由本地用戶加以利用,而且目前已經(jīng)得到修復(fù)。不過在安裝最新版本之前,仍然建議用戶避免利用IAB.exe打開任何非受信項目文件;另外,應(yīng)以‘用戶’角色運行全部軟件,而非以‘管理員’角色運行?! ?/p>
公告ICSA-16-061-03描述了一項基于cookie的安全漏洞,其允許遠程攻擊者通過EG2WebControl對EatonLightingSystems進行配置。Eaton方面已經(jīng)修復(fù)了這項漏洞,但仍需時間將其推廣至全部系統(tǒng)當(dāng)中?! ?/p>
公告ICSA-16-096-01描述了Pro-face旗下GP-ProEXHMI軟件中的四項安全漏洞:其一導(dǎo)致信息泄露,兩項屬于緩沖區(qū)溢出,另一項則為硬編碼憑證問題。目前四項漏洞皆已得到修復(fù)?! ?/p>
一系列強有力的證據(jù)表明,目前ICS安全問題要遠比Fortinet博文中的陳述更加可怕。
事實上,IvanSanchez在采訪中表示,“ICS業(yè)界必須改進自身代碼質(zhì)量并引入安全與審計控制機制。我已經(jīng)對三成已經(jīng)發(fā)現(xiàn)的問題進行了公布,而該行業(yè)還沒有充足的時間將其全部修復(fù)——因此我得說,這絕對是個大麻煩?!薄 ?/p>
盡管問題的客觀性已經(jīng)成為共識,但就目前而言其很大程度上仍只是種潛在問題。
《化工設(shè)施安全新聞》作者PatrickCoyle解釋稱,“一方面,幾乎每一套控制系統(tǒng)當(dāng)中都存在著大量安全漏洞,我們需要對其認真評估并阻止一切將其作為目標(biāo)的入侵活動。而在另一方面,這些ICS控制系統(tǒng)實在太過復(fù)雜,組織起有效的進攻方案需要極為豐富的ICS相關(guān)專業(yè)知識?!薄 ?/p>
他預(yù)計未來攻擊活動將持續(xù)增加,但這種增加主要體現(xiàn)在質(zhì)量而非數(shù)量層面。“我認為我們將看到更多指向ICS的低效攻擊行為。正如Verizon報告的水力系統(tǒng)入侵事件一樣,攻擊者僅僅是隨意修改了設(shè)定值,但其很快被發(fā)現(xiàn),而安全系統(tǒng)或警報操作員則輕松解決了問題?!笔聦嵣希切┬钪\已久的惡意活動才最為可怕?! ?/p>
不過他提醒稱,“我最擔(dān)心的問題在于,一部分惡意人士可能會利用勒索軟件鎖定關(guān)鍵性基礎(chǔ)設(shè)施。這并不需要什么高深的專業(yè)知識,只要能夠侵入該系統(tǒng)即可?!?/p>
提交
直播定檔!見證西門子與中科摩通聯(lián)手打造汽車電子智能制造新范式
光亞論壇·2024 智能產(chǎn)業(yè)聚合高峰論壇舉辦!
新訊受邀參加華為Redcap產(chǎn)業(yè)峰會,并榮獲RedCap生態(tài)合作獎!
2024年斯凱孚創(chuàng)新峰會暨新產(chǎn)品發(fā)布會召開,以創(chuàng)新產(chǎn)品矩陣重構(gòu)旋轉(zhuǎn)
禹衡光學(xué)亮相北京機床展,以創(chuàng)新助力行業(yè)發(fā)展新篇章