李逸翔 馬浩軒 王昱 楊旆 王丹

摘要：隨著工業(yè)信息化及數(shù)字化水平的不斷提升，工業(yè)控制系統(tǒng)的安全問題也愈發(fā)凸顯。本文首先研究工業(yè)控制系統(tǒng)的層次結構及存在的安全風險，然后分析高級持續(xù)性威脅攻擊對工業(yè)控制系統(tǒng)的危害和其攻擊特點，最后提出在工業(yè)控制系統(tǒng)中針對高級持續(xù)性威脅攻擊的安全防護建議。

關鍵詞：工業(yè)控制系統(tǒng);高級持續(xù)性攻擊;縱深防御;動態(tài)防御

0引言

隨著工業(yè)信息化及數(shù)字化水平的不斷提升，工業(yè)控制系統(tǒng)從孤立的系統(tǒng)逐步發(fā)展成基于開放的架構和技術標準進行互聯(lián)的系統(tǒng)，多方設備、網(wǎng)絡的連接增加了威脅入侵的入口，面臨的安全問題也愈發(fā)凸顯。工業(yè)控制系統(tǒng)中通常包含具有高價值的關鍵設備或組件，網(wǎng)絡攻擊者可能會以它們?yōu)槟繕耍茐臉I(yè)務流程，導致系統(tǒng)運營中斷，造成不可估量的經(jīng)濟損失或是安全問題。高級持續(xù)性威脅攻擊對于工業(yè)控制系統(tǒng)來說是一類具有極高危險性的攻擊手段[1]，本文將針對工業(yè)控制系統(tǒng)的安全風險及面臨的高級持續(xù)性威脅攻擊的特點展開研究分析，并提出相應的安全防護建議。

1 工業(yè)控制系統(tǒng)的安全風險

工業(yè)控制系統(tǒng)與傳統(tǒng)信息系統(tǒng)在結構及功能上均有所不同，其面臨的安全風險也存在獨特性。由于在工業(yè)生產(chǎn)運行過程中，工業(yè)控制系統(tǒng)的可用性是首要條件，從而導致大多數(shù)工業(yè)控制系統(tǒng)在設計上缺乏安全性的考慮。根據(jù)國際電工委員會IEC 62264-1標準[2]，工業(yè)控制系統(tǒng)在整體的生產(chǎn)運營上大致可分為五個層次，如圖1所示，不同層次的設備存在不同程度、不同路徑的攻擊入口。

企業(yè)管理層由企業(yè)網(wǎng)絡設備構成，包括用戶終端、應用服務器等，涉及工業(yè)控制系統(tǒng)的供應鏈管理、企業(yè)決策等辦公事項，由于多數(shù)企業(yè)內(nèi)部網(wǎng)絡需要與互聯(lián)網(wǎng)相連接，這不可避免的增加了遭受網(wǎng)絡攻擊的風險，不安全的網(wǎng)絡連接、遠程接入方式加劇了病毒、木馬入侵的可能性。

生產(chǎn)管理層通常包含生產(chǎn)制造執(zhí)行系統(tǒng)、歷史數(shù)據(jù)庫等與生產(chǎn)控制及管理相關的系統(tǒng)及設備，從該區(qū)域開始屬于實際意義的工業(yè)控制。若工業(yè)控制網(wǎng)絡與企業(yè)網(wǎng)絡相連接，不安全的網(wǎng)絡配置如弱密碼、弱防火墻可能導致企業(yè)網(wǎng)絡的風險引入工業(yè)控制網(wǎng)絡之中。另外，即使工業(yè)控制網(wǎng)絡未與企業(yè)網(wǎng)絡互聯(lián)，整個工業(yè)控制系統(tǒng)是封閉的、物理隔離的，也并不意味著沒有信息安全的風險，通過WiFi、USB等方式仍然可以提供攻擊的入口點，一個含有WIFI模塊的USB設備可產(chǎn)生一條直接訪問公共網(wǎng)絡的路徑。

過程監(jiān)控層，一般包含HMI、SCADA、EWS等，由操作人員下達命令完成對控制單元的驅(qū)動工作，并通過采集及分析過程數(shù)據(jù)實時監(jiān)控生產(chǎn)運行過程中的操作，及時發(fā)現(xiàn)并響應安全事件的發(fā)生。現(xiàn)場控制層包括各類控制單元，如PLC、IPC、DCS控制單元等，連接控制現(xiàn)場生產(chǎn)設備的執(zhí)行?，F(xiàn)場設備層包含各類生產(chǎn)單元，如I/O設備、執(zhí)行器，傳感器等，不安全的通信協(xié)議及數(shù)據(jù)傳輸將成為攻擊生產(chǎn)單元的突破口，若自身或上層設備受到病毒、惡意代碼等的入侵，將可能造成嚴重的運行事故或損害。

根據(jù)工業(yè)網(wǎng)絡安全公司Claroty 最新發(fā)布的《工業(yè)控制系統(tǒng)風險和漏洞報告》[3]數(shù)據(jù)顯示，2021年上半年發(fā)現(xiàn)了637個工業(yè)控制系統(tǒng)漏洞，影響了76家供應商銷售的產(chǎn)品，包含了許多廣泛應用的供應商如西門子、施耐德電力、羅克韋爾等，其中生產(chǎn)管理層的漏洞占比最大為23.55%，其次是現(xiàn)場控制層15.23%和過程監(jiān)控層14.76%。

總體來看，工業(yè)控制系統(tǒng)中存在的安全風險主要來源于如下五個方面：①體系架構方面，各類網(wǎng)絡、活動組件之間互聯(lián)建設缺乏可靠的認證及防護，缺乏系統(tǒng)性的信息資產(chǎn)統(tǒng)計及風險評估;②網(wǎng)絡通信方面，缺少網(wǎng)絡分段，訪問控制及權限管理不夠到位，部分組件中可能存在不安全的遠程訪問;③系統(tǒng)設備方面，使用的軟件、硬件過時，存在較多漏洞;④策略配置方面，工業(yè)控制系統(tǒng)各類組件的安全策略配置不足，缺少補丁、防病毒更新策略，缺少特定的配置變更管理;⑤運維管理方面，操作人員缺少安全意識及培訓，整個系統(tǒng)缺乏迭代的安全性分析。

2工業(yè)控制系統(tǒng)中的高級持續(xù)性威脅攻擊

近些年來，經(jīng)過研究人員對工業(yè)控制系統(tǒng)安全風險問題的深入研究，針對工業(yè)控制系統(tǒng)的高級持續(xù)性威脅攻擊也不斷浮出水面[4]，其中比較典型的如Stuxnet、Havex、BlackEnergy等攻擊。Stuxnet是一種極具破壞性的工控病毒，它通過USB設備和局域網(wǎng)傳播，在網(wǎng)絡隔離條件下利用工控系統(tǒng)、總線協(xié)議與控制設備中存在的安全漏洞，其中包含多個零日漏洞，造成伊朗第一座核電站“布什爾核電站”大面積的蠕蟲感染。Havex是一種利用通信協(xié)議漏洞的攻擊，攻擊者首先攻擊工業(yè)控制系統(tǒng)組件供應商的官方網(wǎng)站，在供用戶下載的軟件升級包中植入木馬，該木馬進入工業(yè)控制系統(tǒng)后，從通信協(xié)議服務器中竊取大量的情報數(shù)據(jù)。BlackEnergy是一種惡意軟件攻擊，攻擊者通過發(fā)送惡意郵件感染員工的工作機，通過廣泛偵察獲得了對Windows域控制器的訪問權，并取得了工作人員的憑證，其中一些是電網(wǎng)工作人員用于遠程登錄SCADA網(wǎng)絡的VPN，從而得以對工業(yè)控制系統(tǒng)發(fā)起攻擊，最終導致烏克蘭電網(wǎng)的大規(guī)模停電。

高級持續(xù)性威脅攻擊是結合多種攻擊手段的組合體，它的復雜性從三個方面可以體現(xiàn)：①技術手段復雜，高級持續(xù)性威脅攻擊通常利用更多的零日漏洞進行攻擊，通過持續(xù)對目標的通信行為進行監(jiān)控，攻擊的深度也不斷蔓延擴大;②多領域交叉協(xié)作，高級持續(xù)性威脅攻擊不僅僅局限于計算機信息技術領域，還涉及了許多其他領域，如心理學、社會工程學、游戲理論等，是一種融合了多類學科的、復雜的系統(tǒng)性攻擊;③可參考的案例較少，高級持續(xù)性威脅攻擊是多變的，使用的零日漏洞無從參考，一般的高級持續(xù)性威脅攻擊工具在使用一次后便會重新開發(fā)新的攻擊工具進行下一次攻擊，在整個過程中發(fā)起的攻擊次數(shù)較少，其攻擊樣本很難收集。

高級持續(xù)性威脅攻擊通常具有較長的潛伏期，一般過程如圖2所示。

（1）情報收集

明確攻擊目標，通過社交網(wǎng)絡收集目標信息，根據(jù)卡巴斯基2021年的上半年對于工業(yè)組織遭受高級持續(xù)性威脅攻擊的公開信息[5]分析可以發(fā)現(xiàn)，社會工程學的方式仍然是最流行的初始滲透方法。為了實現(xiàn)對目標的滲透及分析，攻擊者通常大量應用社會工程學的手段進行廣泛的信息收集，如目標人群社會關系、愛好、上網(wǎng)習慣等。

（2）初始入侵

攻擊者根據(jù)收集的信息，精心設計釣魚網(wǎng)站、惡意郵件等吸引目標人群訪問并下載帶有攻擊載體的程序或文件，從而實現(xiàn)對攻擊目標的滲透和利用;或者通過感染目標用戶的USB設備間接的進入目標所在的系統(tǒng)環(huán)境。

（3）建立據(jù)點

進入目標系統(tǒng)環(huán)境后，利用后門程序等方式建立隱蔽的通訊路徑實現(xiàn)信息的控制與收集。

（4）內(nèi)部偵察

分析系統(tǒng)環(huán)境，研究并利用系統(tǒng)中已知或未知的漏洞，定制專用的攻擊工具，從而實現(xiàn)惡意代碼的執(zhí)行或權限提升。

（5）橫向移動

通過共享資源、任務調(diào)度等方式將攻擊載體橫向移動至系統(tǒng)其它設備之中。

（6）保持存在

通過分析系統(tǒng)資源獲取用戶進入系統(tǒng)的憑證，偽裝成可信任的用戶實現(xiàn)長期的通信及偵察。

（7）完成攻擊

將收集的關鍵數(shù)據(jù)回傳或利用攻擊載體破壞系統(tǒng)功能。它的攻擊載體不僅僅是一個病毒，而是結合多種病毒特征的集合。工業(yè)控制系統(tǒng)高級持續(xù)性威脅攻擊的目的性很強，目標通常為國家的關鍵基礎設施，旨在制造混亂以達到某種政治目的，甚至是網(wǎng)絡戰(zhàn)爭。

3 高級持續(xù)性威脅攻擊的防御

隨著攻擊技術的不斷發(fā)展，工業(yè)控制系統(tǒng)中的安全事件層出不窮，對全球各類型的工業(yè)企業(yè)造成了不同程度的損害。近年來，中央網(wǎng)信辦、工信部、公安部等機構陸續(xù)發(fā)布了多項提升工業(yè)控制系統(tǒng)安全防護技術能力的標準與規(guī)范，在等保2.0中也將工業(yè)控制系統(tǒng)安全納入了強制保護范圍。針對高級持續(xù)性威脅攻擊，工業(yè)控制系統(tǒng)的安全防護應當具有“縱深防御”和“動態(tài)防御”兩方面的要求。

（1）縱深防御

工業(yè)控制系統(tǒng)是一個具有層次化的結構，不同層次之間設備硬件、軟件平臺、應用系統(tǒng)、數(shù)據(jù)傳輸協(xié)議等方面均存在差異性，每個層級所面臨的風險也有所不同?！翱v深防御”的目的是為了解決系統(tǒng)中不同層面的安全問題以及防止攻擊的擴散及蔓延。在進行安全防護時，應當做好完整的建設規(guī)劃，梳理系統(tǒng)不同層級中的關鍵設施設備及信息資產(chǎn)，并從體系架構、網(wǎng)絡通信、系統(tǒng)設備、策略配置、運維管理等方面構建有針對性的防護能力。

（2）動態(tài)防御

一般而言，系統(tǒng)的安全防御分為威脅感知、威脅分析及威脅處置三個階段。在傳統(tǒng)的攻擊與防護對抗之中，通常是先發(fā)現(xiàn)攻擊，然后根據(jù)攻擊的特點靜態(tài)部署相應的安全產(chǎn)品進行防護。但由于高級持續(xù)性威脅攻擊的特點，在安全事件發(fā)生后再進行處置時可能已經(jīng)造成了嚴重的后果。因此為了更準確的判斷工業(yè)控制系統(tǒng)的安全形勢，需要采取動態(tài)的安全監(jiān)控方式進行威脅的感知與分析，通過對多個層面多方來源的數(shù)據(jù)，如業(yè)務數(shù)據(jù)、通信流量、傳感信號等進行分析，建立相應的特征庫及威脅感知模型，實時監(jiān)控系統(tǒng)的中威脅情況，并及時開展相應處置。

4總結

在工業(yè)控制系統(tǒng)信息化技術提升和數(shù)字化轉(zhuǎn)型的過程中，怎樣應對高級持續(xù)性威脅攻擊是在工業(yè)生產(chǎn)運行安全防護工程中一個不能忽略的重要問題。在后續(xù)的研究工作中，應當加強對于高級持續(xù)性威脅攻擊特征的研究與分析，并針對工業(yè)控制系統(tǒng)中設備差異化、應用復雜化、平臺多樣化的特點，從縱深防御和動態(tài)防御的角度，建設合理的安全防護體系。

參考文獻

[1] Zhou X， Xu Z， Wang L. et al， 2018. APT attack analysis in SCADA systems [C] Nanjing， MATEC Web of Conferences，2018， 173.

[2]2021 Claroty biannual ICS risk & vulnerability report： 1h 2021 [EB/OL] Claroty， https：//claroty.com/annual-report/， 2021.

[3]International Electrotechnical Commission. IEC 62264-1： 2013-05[J]. Enterprise-Control System Integration–Part I， 2013， 1.

[4]鄭少波，徐偉，石彬.工業(yè)控制系統(tǒng)安全現(xiàn)狀[J].網(wǎng)絡安全技術與應用，2020（05）：111-113.

[5] APT attacks on industrial organizations in H1 2021 [EB/OL] Kaspersky Lab ICS CERT， https：//ics-cert.kaspersky.com/reports/2021/10/26/apt-attacks-on-industrial-organizations-in-h1-2021， 2021.

作者簡介：李逸翔，1995.11，男，江西上饒人，碩士研究生，研究方向：網(wǎng)絡空間安全

1392501705349