2014工控系统安全态势报告 - 图文

之间的通信，然后把这些信息反馈到C&C服务器上（Havex的攻击原理如下图所示）。同时FireEye公司的研究人员最近也声称发现了一个Havex的新变种

[Havex3]

，同样认为发现的Havex变种具备OPC服务器的扫描功能，并可以搜集有关联网工控

设备的信息，以发回到C&C服务器供攻击者分析使用。这表明，虽然Havex及其变种最可能是被用作收集工控系统情报的工具，但攻击者应该不仅仅是对这些目标公司的系统信息感兴趣，而必然会对获取那些目标公司所属的ICS或SCADA系统的控制权更感兴趣。

图 1.9 Havex的攻击原理

最近多家安全公司的研究发现它多被用于从事工业间谍活动，其主要攻击对象是欧洲的许多使用和开发工业应用程序和机械设备的公司。

黑客组织是当前工控系统所面临的最大安全威胁

在2014年1月，网络安全公司CrowdStrike 曾披露了一项被称为“Energetic Bear”的网络间谍活动，在这项活动中黑客们可能试图渗透欧洲、美国和亚洲能源公司的计算机网络。据CrowStrke称，那些网络攻击中所用的恶意软件就是Havex RAT和SYSMain RAT，该公司怀疑Havex RAT有可能以某种方式被俄罗斯黑客连接，或者由俄罗斯政府资助实施。赛门铁克及F-secure等多家安全公司在近期发布的研究报告

[Dragonfly]

①

或官方博客的博文中

[havex2]

也发表了类似的信息，声称近期一个称为

Energetic Bear的俄罗斯黑客组织使用一种复杂的网络武器Havex，已经使1000多家欧洲和北美能源公司受损；并认为Havex与震网病毒（Stuxnet）相似，能使黑客们访问到能源部门的控制系统。

根据赛门铁克的研究报告

[Dragonfly]

称，黑客组织Energetic Bear也被称为“蜻蜓Dragonfly”，这是一个至少自2011年起

便开始活跃的东欧黑客团体。蜻蜓组织最初的攻击目标是美国和加拿大的国防和航空企业，但从2013年开始，蜻蜓组织的主要目标转向许多国家的石油管道运营商、发电企业和其他能源工控设备提供商，即以那些使用工控系统来管理电、水、油、气和数据系统的机构为新的攻击目标。赛门铁克专门针对“蜻蜓组织”的近期活动进行了跟踪分析与研究

[Dragonfly]

（如图1.12

所示），研究认为：自2013年初开始，“蜻蜓组织”为达到通过远程控制木马（RAT）访问工控系统的目的，一直在使用不同的技术手段对美国和其他一些欧洲国家的能源供应商实施攻击并利用特殊编制的恶意代码感染其工业软件，这些手段包括在电子邮件、网站和第三方程序中捆绑恶意软件以及“水坑攻击”技术。并在18个月的时间里影响了几乎84个国家，但是大多数受害者机构都位于美国、西班牙、法国、意大利、德国、土耳其和波兰等国家（如图1.13所示）。显然，“蜻蜓组织”所使用恶意代码的破坏能力可能会造成多个欧洲国家的能源供应中断，具有极大的社会危害性。

赛门铁克、F-secure、CrowdStrike等多家安全公司在研究后，有一个基本的判定，认为“蜻蜓黑客组织的主要目标是实施间谍活动，而且它似乎是有资源、有规模、有组织的；甚至怀疑在它最近的攻击活动背后有政府的参与”。

自从2010年震网病毒、Flame、Duqu之后，2014年“蜻蜓组织”相关的可能大规模影响欧洲能源企业SCADA系统的安全事件（伴随着最新型的专门针对工控系统的恶意代码Havex及其近百的变种的发现）对工业界的影响巨大，这表明随着攻击者对工控系统研究的深入，针对工控系统攻击的恶意代码也将会层出不穷，而且还可能在攻击活动的背后具有国家支持的潜在因素。因而，面对攻击技术与手段日益先进、复杂、成熟的针对工控系统进行攻击的黑客组织，工控系统所面临的安全威胁也将日益严峻。

①

CrowdStrike公司是一家专注于APT防护的新兴网络安全公司，它倡导“Active Defense”（主动防御）的安全理念，强调聚焦于提高对手的攻击成本，使防御者在战略层面上处于优势地位。其实体产品“Falcon”系统是一个基于大数据的“云服务”，可从部署了sensors的网络内实时收集情报以及安全事件，并坚持他们的防御理念“是在合法范围内挫败攻击者”。

图 1.10 赛门铁克公司关于“蜻蜓组织”近期活动的时序分析

[Dragonfly]

图 1.11 受蜻蜓组织近期攻击活动影响较大的国家（Top Ten）

[Dragonfly]

|工控安全领域的总体发展态势分析

本章则依据工控安全产业生态模型相关的政府主管部门、产业联盟、科研院所及国内外友商的研究及产品服务发展动态情况，主要讨论国内工控安全领域的总体发展态势，并结合绿盟科技的优势提出在工控领域的发展建议，以及在业内的初步合作建议。

国外发展动态概述

自从2010年震网事件之后，世界各国对工控系统的安全问题的关注被提升到一个新的高度。世界各国都在政策、标准、技术、方案等方面展开了积极应对点。

作为信息产业发展的领导者，美国很早就十分重视工控系统的安全。2003年将其视为国家安全优先事项；2008年则将其列入国家需重点保护的关键基础设施范畴。2009年颁布《保护工业控制系统战略》，涵盖能源、电力、交通等14个行业工控系统的安全。同年，在CERT组织下面成立工业控制系统网络应急相应小组（ICS-CERT），专注于工业控制系统相关的安全事故监控、分析执行漏洞和恶意代码、为事故响应和取证分析提供现场支持；通过信息产品、安全通告以及漏洞及威胁信息的共享提供工业控制系统安全事件监控及行业安全态势分析，并以季度报告的方式公开发布

[ICSCERT1] [ICSCERT2]

[LYHC2012]

。最近工业控制系统安全更成为备受工业和信息安全领域研究机构关注的研究热

。而且美国国

土安全部（The U.S. Department of Homeland Securty，DHS）启动的控制系统安全计划（Control System Security Program，CSSP）则依托工业控制系统模拟仿真平台，综合采用现场检查测评与实验室测评相结合的测评方法

[DHS2011]

，来实施针对工业控制系

统产品的脆弱性分析与验证工作。而美国国家标准与技术研究院、能源局则分别发布了《工业控制系统安全指南》（SP800-82。2013年推出最新修订版本）

[NIST]

、《改进SCADA网络安全的21项措施》等相关的工控系统的安全建设标准指南或最佳实践

文档。同时其国内的传统信息安全厂商赛门铁克、MCAFEE、思科以及传统工控厂商罗克韦尔、通用电气以及一些新兴的专业工控安全厂商在工控系统的安全防护及产品服务提供方面也都展开了深入研究、实践及产业化工作，并总体上处于领先的地位。

在欧洲则以德国西门子、法国施耐德电气为代表的工业控制系统提供商为主，为用户提供相应的安全产品、服务及相应的解决方案。例如，德国西门子研究院设有工控安全实验室（@CT China），可提供安全咨询服务、培训、漏洞及补丁的发布www.siemens.com/industrialsecurity 。产品方面则有工控防火墙及相应的工控安全解决方案。而在国内西门子的工作则主要侧重西门子工控系统的漏洞修补，应从属于其工控系统业务 。同样施耐德电气公司在国内也多是配合客户的安全整改工作，修补其产品漏洞并结合其工控安全防火墙为用户提供必要的工控安全解决方案。但是在工控系统领域的许多行业，来自欧洲的西门子、施耐德电气多具有绝对的技术与市场优势，而工控系统的信息化、智能化以及所带来安全问题的解决离不开工控厂商的支持，自然西门子等企业的市场和技术优势也将奠定未来很长一段时间内其在工控安全领域的领先地位。

在专业的工控安全厂商方面，加拿大Tofino（多芬诺）http://www.tofinosecurity.com.cn/ 公司曾以其业内著名的工控系统防火墙成为业内领先的工控系统安全的专业厂商，其产品在石化等多个行业应用广泛。科诺康公司（Codenomicon）则以其用于漏洞发现的fuzzing 测试工具而在工控系统安全领域拥有重要的地位。此外，还有一些开源组织提供相应的工控安全工具，例如Nessue，它分为专业版（收费）和免费评估测试版，其专业版可利用相应的工控系统安全插件，对SCADA系统或PLC的控制设备的脆弱性进行检测评估。

在工控安全的国际标准研究方面，除了美国NIST的NIST800-82之外，IEC62443标准也是工控安全研究者最为关注的工控安全标准，需要与NIST800-82的内容相对照，并结合企业自身的业务特点进行综合考虑的基础上，制定工控企业实用的工控安全防护方案。