如何有效進(jìn)行SCADA系統的防護

　　目前，針對電路傳輸網(wǎng)絡(luò )的網(wǎng)絡(luò )威脅正在急劇升級，尤其是針對SCADA系統的攻擊行為，變得越來(lái)越普遍。想要抵御每一次“最先進(jìn)”的網(wǎng)絡(luò )攻擊，這幾乎是不可能實(shí)現的，所以“遏制”措施非常重要。

　　根據戴爾公司安全部門(mén)的一份最新報告，針對數據采集與監視控制（SCADA）系統的網(wǎng)絡(luò )攻擊活動(dòng)數量在去年增長(cháng)了近一倍，而且相比于2012年，針對 SCADA系統的網(wǎng)絡(luò )攻擊活動(dòng)數量增長(cháng)了近六百個(gè)百分點(diǎn)。盡管這些數據是非常驚人的，但另一個(gè)關(guān)鍵的研究成果則更加的令人不安，物理破壞性的攻擊行為也變得越來(lái)越普遍了。實(shí)際上，在去年所有的網(wǎng)絡(luò )安全事件中，有25%的網(wǎng)絡(luò )攻擊是針對SCADA系統的，這些特定類(lèi)型的攻擊能夠關(guān)閉工業(yè)系統中的機械設備，而且還有可能進(jìn)行破壞設備物理實(shí)體的操作。據研究人員推測，此類(lèi)攻擊在接下來(lái)的幾個(gè)月內，甚至在今后幾年的時(shí)間中，將會(huì )變的更加的嚴重。除此之外，美國將會(huì )成為世界上受此類(lèi)攻擊影響最嚴重的第三個(gè)國家。美國國土安全部的工業(yè)控制系統網(wǎng)絡(luò )應急響應小組（ICS-CERT）也有相似的發(fā)現，他們發(fā)現針對工業(yè)關(guān)鍵基礎設施的攻擊活動(dòng)正在不斷增長(cháng)，能源行業(yè)是所有攻擊目標中受此類(lèi)型攻擊影響最為嚴重的（占所有攻擊活動(dòng)的32%）。而且，拒絕服務(wù)（DoS）攻擊已經(jīng)變成了攻擊者的最?lèi)?ài)了。

　　為什么這種復雜的攻擊現在變得越發(fā)的頻繁了？

　　主要是以下兩個(gè)原因：

　　首先是黑客，黑客與外國政府相互勾結，并進(jìn)行有組織的網(wǎng)絡(luò )犯罪。

　　其次，電力公司是所有群體中最主要的攻擊目標，考慮到各種政治方面的因素，攻擊者能夠從攻擊中牟取暴利。

　　所以在接下來(lái)的幾年內，此類(lèi)攻擊將會(huì )變得愈加頻繁，產(chǎn)生的后果也將會(huì )變的越來(lái)越嚴重。

　　隱蔽攻擊（Stealthier attacks）：

　　電力公司的IT團隊也許對“網(wǎng)絡(luò )釣魚(yú)”郵件和“僵尸網(wǎng)絡(luò )“最為熟悉了，因為這兩者最容易感染他們的網(wǎng)絡(luò )系統。然而，這些攻擊將會(huì )升級，然后變得更具復雜性，目的性和隱蔽性。通常情況下，各大組織機構應當特別注意以下兩類(lèi)攻擊：“跨站腳本攻擊”和“drive-by攻擊”。這兩種類(lèi)型的攻擊均會(huì )使用合法的網(wǎng)站去入侵一家公司的內部網(wǎng)絡(luò )，但我們在這里并不會(huì )給大家提供過(guò)多的技術(shù)細節。但這是怎么實(shí)現的呢？因為一個(gè)存在于合法網(wǎng)站（這些網(wǎng)站可以是一個(gè)著(zhù)名的網(wǎng)站，一個(gè)新網(wǎng)站，也可以是某個(gè)技術(shù)論壇等。）中的漏洞可以允許攻擊者執行惡意代碼，還可以在網(wǎng)站中植入惡意軟件，這樣就可以感染任何訪(fǎng)問(wèn)這個(gè)網(wǎng)站的用戶(hù)了。“drive-by攻擊”所需的唯一條件就是需要一名公司員工去訪(fǎng)問(wèn)這個(gè)受感染的網(wǎng)站。在跨站腳本攻擊之中，當公司員工點(diǎn)擊了電子郵件中附帶的合法鏈接之后，便被成功感染了。

　　攻擊者也更傾向于攻擊一個(gè)公司員工家里的計算機系統。攻擊者可以盜取保存在家用個(gè)人電腦之中的用戶(hù)憑證，或者感染一個(gè)可移動(dòng)媒體存儲設備（例如USB閃存驅動(dòng)器），因為這名員工很有可能會(huì )將這些設備帶到他的工作場(chǎng)所。

　　破壞性惡意軟件（Destructive malware）：

　　惡意軟件也處于不斷地進(jìn)化之中，現在出現了更多破壞性十分強大的惡意軟件，這些惡意軟件是我們在之前從未見(jiàn)到過(guò)的。很多人也許會(huì )對“震網(wǎng)”這個(gè)名字比較熟悉，這是一個(gè)復雜的蠕蟲(chóng)病毒，它是世界上首個(gè)專(zhuān)門(mén)針對工業(yè)控制系統編寫(xiě)的破壞性病毒，目前已經(jīng)感染多個(gè)國家及地區的工業(yè)系統和個(gè)人用戶(hù)。當然，還有很多其他種類(lèi)的病毒，蠕蟲(chóng)以及木馬也能夠禁用物理設備的部分功能。其中最重要的兩個(gè)部分是：“wipers”，它可以將一臺計算機或設備上的所有數據全部擦除，從而使得目標設備完全無(wú)法使用；另一個(gè)是”加密型惡意軟件”，它不會(huì )刪除設備上的數據，而是采用幾乎無(wú)法破解的加密方法來(lái)將設備中的數據進(jìn)行加密。說(shuō)的通俗一點(diǎn)，加密型的惡意軟件其目的就是為了“勒索”用戶(hù)。

　　拒絕服務(wù)（Denial of service）：

　　除了惡意軟件可以破壞工廠(chǎng)的日常運作之外，還有大量的web攻擊也能做到同樣的事情。兩種最常見(jiàn)的就是：“緩沖區溢出”，當攻擊者對網(wǎng)絡(luò )進(jìn)行flood 攻擊時(shí)，便會(huì )造成網(wǎng)絡(luò )系統的癱瘓；還有一個(gè)是“分布式拒絕服務(wù)攻擊”，它會(huì )利用大量合理的服務(wù)請求來(lái)占用過(guò)多的服務(wù)資源，從而使合法用戶(hù)無(wú)法得到服務(wù)的響應，進(jìn)而造成系統癱瘓?，F在的事實(shí)就是，你的工廠(chǎng)很容易受到這些類(lèi)型的攻擊，根據國土安全部的報告，研究人員發(fā)現這些漏洞是工業(yè)設施中最常見(jiàn)的漏洞。

　　部署有效的防御措施（Developing an effectived efense）：

　　由于這些攻擊將會(huì )變的越來(lái)越復雜，那么對于公司的管理人員來(lái)說(shuō)，在他們進(jìn)行積極的網(wǎng)絡(luò )防御過(guò)程中，將工作的重心集中到攻擊事件發(fā)生后的損失處理控制措施上才是更加重要的。

　　如果你想要抵御每一次“最先進(jìn)”的網(wǎng)絡(luò )攻擊，這幾乎是不可能實(shí)現的，所以“遏制”措施也是同等重要的。

　　可用的防御措施包括對過(guò)時(shí)的或者未打補丁的系統進(jìn)行安全審計，對個(gè)人工作站，網(wǎng)絡(luò )服務(wù)器，以及web應用程序部署相應的反病毒軟件等等。比如說(shuō)，你的網(wǎng)絡(luò )中接入了運行WindowsXP或者WindowsServer2003操作系統的設備嗎？你的工業(yè)生產(chǎn)環(huán)境中還需要安裝現代防火墻，惡意軟件檢測工具，設置電子郵件白名單，并且設置能夠主動(dòng)監測可疑網(wǎng)絡(luò )活動(dòng)（例如數據泄漏）的防火墻。禁止所有的可移動(dòng)/便攜式媒體存儲設備進(jìn)入工作場(chǎng)所——這也就意味著(zhù)，所有的USB閃存驅動(dòng)器，智能手機，平板電腦等設備都不允許進(jìn)入工作場(chǎng)所。

　　發(fā)生安全事件之后的遏制措施也是至關(guān)重要的。你需要確保所有關(guān)鍵的工業(yè)系統都有空氣間隙系統。然后從其它領(lǐng)域的網(wǎng)絡(luò )系統中學(xué)習如何以最好的方式來(lái)對網(wǎng)絡(luò )進(jìn)行劃分。網(wǎng)絡(luò )分割是非常關(guān)鍵的，因為當網(wǎng)絡(luò )中的一臺計算機受到感染的時(shí)候，它就無(wú)法感染整個(gè)網(wǎng)絡(luò )系統了。你也可疑采用一種“訪(fǎng)問(wèn)控制”策略。單一的公司員工不應該擁有過(guò)多的訪(fǎng)問(wèn)公司數據，系統，以及關(guān)鍵業(yè)務(wù)的權限。與此同時(shí)，你也需要經(jīng)常查看你工業(yè)系統的程序日志記錄。這是非常重要的，因為任何的網(wǎng)絡(luò )事件都會(huì )被完整地記錄下來(lái)，以便于事件響應小組去確定攻擊的類(lèi)型以及攻擊所帶來(lái)的損失程度。