李逸翔 馬浩軒 王昱 楊旆 王丹

摘要：隨著工業(yè)信息化及數(shù)字化水平的不斷提升，工業(yè)控制系統(tǒng)的安全問題也愈發(fā)凸顯。本文首先研究工業(yè)控制系統(tǒng)的層次結(jié)構(gòu)及存在的安全風(fēng)險，然后分析高級持續(xù)性威脅攻擊對工業(yè)控制系統(tǒng)的危害和其攻擊特點，最后提出在工業(yè)控制系統(tǒng)中針對高級持續(xù)性威脅攻擊的安全防護(hù)建議。

關(guān)鍵詞：工業(yè)控制系統(tǒng);高級持續(xù)性攻擊;縱深防御;動態(tài)防御

0引言

隨著工業(yè)信息化及數(shù)字化水平的不斷提升，工業(yè)控制系統(tǒng)從孤立的系統(tǒng)逐步發(fā)展成基于開放的架構(gòu)和技術(shù)標(biāo)準(zhǔn)進(jìn)行互聯(lián)的系統(tǒng)，多方設(shè)備、網(wǎng)絡(luò)的連接增加了威脅入侵的入口，面臨的安全問題也愈發(fā)凸顯。工業(yè)控制系統(tǒng)中通常包含具有高價值的關(guān)鍵設(shè)備或組件，網(wǎng)絡(luò)攻擊者可能會以它們?yōu)槟繕?biāo)，破壞業(yè)務(wù)流程，導(dǎo)致系統(tǒng)運營中斷，造成不可估量的經(jīng)濟損失或是安全問題。高級持續(xù)性威脅攻擊對于工業(yè)控制系統(tǒng)來說是一類具有極高危險性的攻擊手段[1]，本文將針對工業(yè)控制系統(tǒng)的安全風(fēng)險及面臨的高級持續(xù)性威脅攻擊的特點展開研究分析，并提出相應(yīng)的安全防護(hù)建議。

1 工業(yè)控制系統(tǒng)的安全風(fēng)險

工業(yè)控制系統(tǒng)與傳統(tǒng)信息系統(tǒng)在結(jié)構(gòu)及功能上均有所不同，其面臨的安全風(fēng)險也存在獨特性。由于在工業(yè)生產(chǎn)運行過程中，工業(yè)控制系統(tǒng)的可用性是首要條件，從而導(dǎo)致大多數(shù)工業(yè)控制系統(tǒng)在設(shè)計上缺乏安全性的考慮。根據(jù)國際電工委員會IEC 62264-1標(biāo)準(zhǔn)[2]，工業(yè)控制系統(tǒng)在整體的生產(chǎn)運營上大致可分為五個層次，如圖1所示，不同層次的設(shè)備存在不同程度、不同路徑的攻擊入口。

企業(yè)管理層由企業(yè)網(wǎng)絡(luò)設(shè)備構(gòu)成，包括用戶終端、應(yīng)用服務(wù)器等，涉及工業(yè)控制系統(tǒng)的供應(yīng)鏈管理、企業(yè)決策等辦公事項，由于多數(shù)企業(yè)內(nèi)部網(wǎng)絡(luò)需要與互聯(lián)網(wǎng)相連接，這不可避免的增加了遭受網(wǎng)絡(luò)攻擊的風(fēng)險，不安全的網(wǎng)絡(luò)連接、遠(yuǎn)程接入方式加劇了病毒、木馬入侵的可能性。

生產(chǎn)管理層通常包含生產(chǎn)制造執(zhí)行系統(tǒng)、歷史數(shù)據(jù)庫等與生產(chǎn)控制及管理相關(guān)的系統(tǒng)及設(shè)備，從該區(qū)域開始屬于實際意義的工業(yè)控制。若工業(yè)控制網(wǎng)絡(luò)與企業(yè)網(wǎng)絡(luò)相連接，不安全的網(wǎng)絡(luò)配置如弱密碼、弱防火墻可能導(dǎo)致企業(yè)網(wǎng)絡(luò)的風(fēng)險引入工業(yè)控制網(wǎng)絡(luò)之中。另外，即使工業(yè)控制網(wǎng)絡(luò)未與企業(yè)網(wǎng)絡(luò)互聯(lián)，整個工業(yè)控制系統(tǒng)是封閉的、物理隔離的，也并不意味著沒有信息安全的風(fēng)險，通過WiFi、USB等方式仍然可以提供攻擊的入口點，一個含有WIFI模塊的USB設(shè)備可產(chǎn)生一條直接訪問公共網(wǎng)絡(luò)的路徑。

過程監(jiān)控層，一般包含HMI、SCADA、EWS等，由操作人員下達(dá)命令完成對控制單元的驅(qū)動工作，并通過采集及分析過程數(shù)據(jù)實時監(jiān)控生產(chǎn)運行過程中的操作，及時發(fā)現(xiàn)并響應(yīng)安全事件的發(fā)生。現(xiàn)場控制層包括各類控制單元，如PLC、IPC、DCS控制單元等，連接控制現(xiàn)場生產(chǎn)設(shè)備的執(zhí)行。現(xiàn)場設(shè)備層包含各類生產(chǎn)單元，如I/O設(shè)備、執(zhí)行器，傳感器等，不安全的通信協(xié)議及數(shù)據(jù)傳輸將成為攻擊生產(chǎn)單元的突破口，若自身或上層設(shè)備受到病毒、惡意代碼等的入侵，將可能造成嚴(yán)重的運行事故或損害。

根據(jù)工業(yè)網(wǎng)絡(luò)安全公司Claroty 最新發(fā)布的《工業(yè)控制系統(tǒng)風(fēng)險和漏洞報告》[3]數(shù)據(jù)顯示，2021年上半年發(fā)現(xiàn)了637個工業(yè)控制系統(tǒng)漏洞，影響了76家供應(yīng)商銷售的產(chǎn)品，包含了許多廣泛應(yīng)用的供應(yīng)商如西門子、施耐德電力、羅克韋爾等，其中生產(chǎn)管理層的漏洞占比最大為23.55%，其次是現(xiàn)場控制層15.23%和過程監(jiān)控層14.76%。

總體來看，工業(yè)控制系統(tǒng)中存在的安全風(fēng)險主要來源于如下五個方面：①體系架構(gòu)方面，各類網(wǎng)絡(luò)、活動組件之間互聯(lián)建設(shè)缺乏可靠的認(rèn)證及防護(hù)，缺乏系統(tǒng)性的信息資產(chǎn)統(tǒng)計及風(fēng)險評估;②網(wǎng)絡(luò)通信方面，缺少網(wǎng)絡(luò)分段，訪問控制及權(quán)限管理不夠到位，部分組件中可能存在不安全的遠(yuǎn)程訪問;③系統(tǒng)設(shè)備方面，使用的軟件、硬件過時，存在較多漏洞;④策略配置方面，工業(yè)控制系統(tǒng)各類組件的安全策略配置不足，缺少補丁、防病毒更新策略，缺少特定的配置變更管理;⑤運維管理方面，操作人員缺少安全意識及培訓(xùn)，整個系統(tǒng)缺乏迭代的安全性分析。

2工業(yè)控制系統(tǒng)中的高級持續(xù)性威脅攻擊

近些年來，經(jīng)過研究人員對工業(yè)控制系統(tǒng)安全風(fēng)險問題的深入研究，針對工業(yè)控制系統(tǒng)的高級持續(xù)性威脅攻擊也不斷浮出水面[4]，其中比較典型的如Stuxnet、Havex、BlackEnergy等攻擊。Stuxnet是一種極具破壞性的工控病毒，它通過USB設(shè)備和局域網(wǎng)傳播，在網(wǎng)絡(luò)隔離條件下利用工控系統(tǒng)、總線協(xié)議與控制設(shè)備中存在的安全漏洞，其中包含多個零日漏洞，造成伊朗第一座核電站“布什爾核電站”大面積的蠕蟲感染。Havex是一種利用通信協(xié)議漏洞的攻擊，攻擊者首先攻擊工業(yè)控制系統(tǒng)組件供應(yīng)商的官方網(wǎng)站，在供用戶下載的軟件升級包中植入木馬，該木馬進(jìn)入工業(yè)控制系統(tǒng)后，從通信協(xié)議服務(wù)器中竊取大量的情報數(shù)據(jù)。BlackEnergy是一種惡意軟件攻擊，攻擊者通過發(fā)送惡意郵件感染員工的工作機，通過廣泛偵察獲得了對Windows域控制器的訪問權(quán)，并取得了工作人員的憑證，其中一些是電網(wǎng)工作人員用于遠(yuǎn)程登錄SCADA網(wǎng)絡(luò)的VPN，從而得以對工業(yè)控制系統(tǒng)發(fā)起攻擊，最終導(dǎo)致烏克蘭電網(wǎng)的大規(guī)模停電。

高級持續(xù)性威脅攻擊是結(jié)合多種攻擊手段的組合體，它的復(fù)雜性從三個方面可以體現(xiàn)：①技術(shù)手段復(fù)雜，高級持續(xù)性威脅攻擊通常利用更多的零日漏洞進(jìn)行攻擊，通過持續(xù)對目標(biāo)的通信行為進(jìn)行監(jiān)控，攻擊的深度也不斷蔓延擴大;②多領(lǐng)域交叉協(xié)作，高級持續(xù)性威脅攻擊不僅僅局限于計算機信息技術(shù)領(lǐng)域，還涉及了許多其他領(lǐng)域，如心理學(xué)、社會工程學(xué)、游戲理論等，是一種融合了多類學(xué)科的、復(fù)雜的系統(tǒng)性攻擊;③可參考的案例較少，高級持續(xù)性威脅攻擊是多變的，使用的零日漏洞無從參考，一般的高級持續(xù)性威脅攻擊工具在使用一次后便會重新開發(fā)新的攻擊工具進(jìn)行下一次攻擊，在整個過程中發(fā)起的攻擊次數(shù)較少，其攻擊樣本很難收集。

高級持續(xù)性威脅攻擊通常具有較長的潛伏期，一般過程如圖2所示。

（1）情報收集

明確攻擊目標(biāo)，通過社交網(wǎng)絡(luò)收集目標(biāo)信息，根據(jù)卡巴斯基2021年的上半年對于工業(yè)組織遭受高級持續(xù)性威脅攻擊的公開信息[5]分析可以發(fā)現(xiàn)，社會工程學(xué)的方式仍然是最流行的初始滲透方法。為了實現(xiàn)對目標(biāo)的滲透及分析，攻擊者通常大量應(yīng)用社會工程學(xué)的手段進(jìn)行廣泛的信息收集，如目標(biāo)人群社會關(guān)系、愛好、上網(wǎng)習(xí)慣等。

（2）初始入侵

攻擊者根據(jù)收集的信息，精心設(shè)計釣魚網(wǎng)站、惡意郵件等吸引目標(biāo)人群訪問并下載帶有攻擊載體的程序或文件，從而實現(xiàn)對攻擊目標(biāo)的滲透和利用;或者通過感染目標(biāo)用戶的USB設(shè)備間接的進(jìn)入目標(biāo)所在的系統(tǒng)環(huán)境。

（3）建立據(jù)點

進(jìn)入目標(biāo)系統(tǒng)環(huán)境后，利用后門程序等方式建立隱蔽的通訊路徑實現(xiàn)信息的控制與收集。

（4）內(nèi)部偵察

分析系統(tǒng)環(huán)境，研究并利用系統(tǒng)中已知或未知的漏洞，定制專用的攻擊工具，從而實現(xiàn)惡意代碼的執(zhí)行或權(quán)限提升。

（5）橫向移動

通過共享資源、任務(wù)調(diào)度等方式將攻擊載體橫向移動至系統(tǒng)其它設(shè)備之中。

（6）保持存在

通過分析系統(tǒng)資源獲取用戶進(jìn)入系統(tǒng)的憑證，偽裝成可信任的用戶實現(xiàn)長期的通信及偵察。

（7）完成攻擊

將收集的關(guān)鍵數(shù)據(jù)回傳或利用攻擊載體破壞系統(tǒng)功能。它的攻擊載體不僅僅是一個病毒，而是結(jié)合多種病毒特征的集合。工業(yè)控制系統(tǒng)高級持續(xù)性威脅攻擊的目的性很強，目標(biāo)通常為國家的關(guān)鍵基礎(chǔ)設(shè)施，旨在制造混亂以達(dá)到某種政治目的，甚至是網(wǎng)絡(luò)戰(zhàn)爭。

3 高級持續(xù)性威脅攻擊的防御

隨著攻擊技術(shù)的不斷發(fā)展，工業(yè)控制系統(tǒng)中的安全事件層出不窮，對全球各類型的工業(yè)企業(yè)造成了不同程度的損害。近年來，中央網(wǎng)信辦、工信部、公安部等機構(gòu)陸續(xù)發(fā)布了多項提升工業(yè)控制系統(tǒng)安全防護(hù)技術(shù)能力的標(biāo)準(zhǔn)與規(guī)范，在等保2.0中也將工業(yè)控制系統(tǒng)安全納入了強制保護(hù)范圍。針對高級持續(xù)性威脅攻擊，工業(yè)控制系統(tǒng)的安全防護(hù)應(yīng)當(dāng)具有“縱深防御”和“動態(tài)防御”兩方面的要求。

（1）縱深防御

工業(yè)控制系統(tǒng)是一個具有層次化的結(jié)構(gòu)，不同層次之間設(shè)備硬件、軟件平臺、應(yīng)用系統(tǒng)、數(shù)據(jù)傳輸協(xié)議等方面均存在差異性，每個層級所面臨的風(fēng)險也有所不同。“縱深防御”的目的是為了解決系統(tǒng)中不同層面的安全問題以及防止攻擊的擴散及蔓延。在進(jìn)行安全防護(hù)時，應(yīng)當(dāng)做好完整的建設(shè)規(guī)劃，梳理系統(tǒng)不同層級中的關(guān)鍵設(shè)施設(shè)備及信息資產(chǎn)，并從體系架構(gòu)、網(wǎng)絡(luò)通信、系統(tǒng)設(shè)備、策略配置、運維管理等方面構(gòu)建有針對性的防護(hù)能力。

（2）動態(tài)防御

一般而言，系統(tǒng)的安全防御分為威脅感知、威脅分析及威脅處置三個階段。在傳統(tǒng)的攻擊與防護(hù)對抗之中，通常是先發(fā)現(xiàn)攻擊，然后根據(jù)攻擊的特點靜態(tài)部署相應(yīng)的安全產(chǎn)品進(jìn)行防護(hù)。但由于高級持續(xù)性威脅攻擊的特點，在安全事件發(fā)生后再進(jìn)行處置時可能已經(jīng)造成了嚴(yán)重的后果。因此為了更準(zhǔn)確的判斷工業(yè)控制系統(tǒng)的安全形勢，需要采取動態(tài)的安全監(jiān)控方式進(jìn)行威脅的感知與分析，通過對多個層面多方來源的數(shù)據(jù)，如業(yè)務(wù)數(shù)據(jù)、通信流量、傳感信號等進(jìn)行分析，建立相應(yīng)的特征庫及威脅感知模型，實時監(jiān)控系統(tǒng)的中威脅情況，并及時開展相應(yīng)處置。

4總結(jié)

在工業(yè)控制系統(tǒng)信息化技術(shù)提升和數(shù)字化轉(zhuǎn)型的過程中，怎樣應(yīng)對高級持續(xù)性威脅攻擊是在工業(yè)生產(chǎn)運行安全防護(hù)工程中一個不能忽略的重要問題。在后續(xù)的研究工作中，應(yīng)當(dāng)加強對于高級持續(xù)性威脅攻擊特征的研究與分析，并針對工業(yè)控制系統(tǒng)中設(shè)備差異化、應(yīng)用復(fù)雜化、平臺多樣化的特點，從縱深防御和動態(tài)防御的角度，建設(shè)合理的安全防護(hù)體系。

參考文獻(xiàn)

[1] Zhou X， Xu Z， Wang L. et al， 2018. APT attack analysis in SCADA systems [C] Nanjing， MATEC Web of Conferences，2018， 173.

[2]2021 Claroty biannual ICS risk & vulnerability report： 1h 2021 [EB/OL] Claroty， https：//claroty.com/annual-report/， 2021.

[3]International Electrotechnical Commission. IEC 62264-1： 2013-05[J]. Enterprise-Control System Integration–Part I， 2013， 1.

[4]鄭少波，徐偉，石彬.工業(yè)控制系統(tǒng)安全現(xiàn)狀[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2020（05）：111-113.

[5] APT attacks on industrial organizations in H1 2021 [EB/OL] Kaspersky Lab ICS CERT， https：//ics-cert.kaspersky.com/reports/2021/10/26/apt-attacks-on-industrial-organizations-in-h1-2021， 2021.

作者簡介：李逸翔，1995.11，男，江西上饒人，碩士研究生，研究方向：網(wǎng)絡(luò)空間安全

1392501705349