火眼2016工业控制系统漏洞趋势报告:漏掉警告、暴露的工业环境
作者: 日期:2016年08月08日 阅:3,443

工业控制系统对于电网、电站、供水站、油气生产、食物饮料制造、运输系统等的作用像是科技版的骡子。经常不为人所知的是,我们的社会依赖这些系统来保证自身运转顺畅。

然而,火眼发布的一份新的研究报告指出,如果机构运行存在漏洞的工业控制系统,将有可能让自己暴露在外界攻击者或恶意内部人员的风险之下。

640-39

火眼iSight Intelligence 2016 ICS Vulnerability Trend Report的标题是“过载:来自工业控制系统15年漏洞的关键教训”。该研究收纳了从2000年1月到2016年4月的1552个工业控制系统漏洞和外界出现的漏洞利用。以下是对于关键内容和指导意见的总结。

几乎每个工业控制系统厂商都受到漏洞影响

有123家厂商受到了工业控制系统漏洞暴露的影响。这些存在漏洞的系统有可能正被你所在的机构工业控制系统环境所使用。报告认为工业控制系统拥有者和操作者有可能因厂商提示、评估和部署而焦头烂额。

报告警告称:“漏洞的洪水有可能让工业控制系统资产的拥有者焦头烂额,让他们难以跟上漏洞提示、评估相关风险和部署漏洞防御措施的进度。”

工业控制系统漏洞正在增多

下方的报告表格展示了90%的受检查工业控制系统漏洞都出现在2011到2015年之间。火眼认为震网病毒Stuxnet在2010年中旬得到了公开披露,而这有可能触发了对发掘工业控制系统漏洞和漏洞利用的更强兴趣。

640-40

此外,在2015到2015年之间存在着49%的增长,但报告解释称,考虑到2015年的大量漏洞都集中在OSISoft和Yokogawa两家公司之间,之前多年平均5%的增长率更有可能成为未来的趋势。

640-41

媒体认为,火眼对于未来工业控制系统漏洞5%的增长预期略为保守。特定行业、监管、为工业控制系统环境设计的新型尖端技术、提升了的安全评估将会帮助找到更多漏洞和当前未知的入侵活动。如果这些条件真的发生了,未来几年里工业控制系统漏洞的数量增长率将大于5%。

公开披露时没有补丁可打

在火眼研究的1552个漏洞中,516个(占33%)在被公开披露时还没有补丁可打。这意味着三分之一的漏洞属于零日漏洞,而火眼预计该趋势将持续。考虑到打补丁的速度缓慢和没有厂商补丁的情况,威胁源拥有足够的机会来入侵工业控制系统环境。

工业控制系统攻击者的圣杯:访问Level2不受限制

火眼iSight Intelligence使用简化的Purdue模型来对工业控制系统漏洞进行分类。该模型将系统、设备和功能分到特定的区域内(Level)。研究结果是,自2013年开始,大多数工业控制系统漏洞会影响Level2。

640-42

火眼认为它对于针对性的研究和攻击而言是非常受欢迎的一个Level,因为该层上运行着的其它信息技术如主流操作系统和数据库对于研究人员而言已经十分熟悉。此外,这些都是相对便宜的组件,很容易获取。

对于工业控制系统安全专家而言,该报告中最重要的一点在于“在攻击者能够自由访问Level2之后,进一步的入侵和寻找漏洞的重要性就减弱了,因为HMI和工程工作站都托管在Level2上。”

火眼拿乌克兰电站攻击的一个细节举了例子,表明能够控制HMI的攻击者就能够自由控制开关和作动器,而不需要利用其它漏洞。

640-43

此外,未授权的协议也会允许任意连接到的电脑与控制流程交互,比如当Modbus/TCP在使用时,网络上的任意设备都能够被允许改变控制器执行的流程逻辑中的设定点。

总结和指导

该报告对于工业控制工程师、设计师、电站管理人员均有帮助。此外,如果IT安全团队希望协助工业控制系统运转,但需要更好地理解挑战、漏洞和威胁的话,该报告也将有指导意义。

火眼iSight Intelligence对那些希望开始寻找工业控制系统漏洞的人们给出了一个短名单:

  • 了解你的资产:通过精确理解控制系统资产、位置、功能来让安全团队做好准备。确保你对资产存量的估计精确;
  • 工业控制系统威胁情报:通过一系列来源获取结构化的漏洞和补丁订阅;
  • 根据资产跟踪漏洞:根据你的资产存量,将漏洞披露和补丁发布对应起来;
  • 跟踪存在漏洞、未打补丁的产品:在工业环境中了解你当前使用的老式、经典设备。存在一些能够为无法打补丁的工业控制系统提供防御的技术;
  • 漏洞补救的优先级排序:通过考虑工业控制系统架构的位置、入侵的难易程度、对被控制工业过程的影响程度来对漏洞补救进行排序。

 

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章