“永恒之蓝”勒索蠕虫全球攻击事件渐渐平息,此次蠕虫攻击主要波及互联网、企业内网和机构专网,尚没有工业控制系统遭遇攻击的事件发生,但这并非意味着工业控制系统可以高枕无忧,在类似“永恒之蓝”这样的安全威胁面前,工业控制系统也同样面临着巨大的安全风险。
工业控制系统大量使用了标准IT产品
工业控制系统(以下简称工控系统)基于IT技术,控制反应装置、生产设备、交通运输机车车辆等工业设备的运行,被称为工业系统的“神经中枢”,广泛应用于电力、核电、石油化工、轨道交通、智能制造等领域。因IT行业的快速发展,工控系统大量使用了标准化的IT产品,例如标准交换机、PC机,Windows操作系统,软件中间件等,在提高工控系统性能、降低采购成本的同时,也引入了信息安全风险。Windows操作系统被用于核电、火电、石油炼化等高危险性流程行业工控系统中的操作员监控、实时数据库、历史数据库等关键设备和组件,也被用于轨道交通信号系统的调度、联锁监控等关键操作。
工业场景图
工控系统相对企业内网更“脆弱”
工控系统与IT系统在信息安全目标方面有所不同。从某种意义上说,工控系统在面对信息安全威胁时更“脆弱”。
很多工控系统,特别是火电、核电、石油炼化等流程自动化行业的工控系统需要7*24小时不间断运行,工控系统非正常停机将造成重大的经济损失甚至会造成爆炸、环境污染等严重的社会危害。某种信息安全攻击,即使不对工控系统数据进行篡改或窃取,只是迫使工控系统不运行或不正常运行就会造成严重危害。
与此同时,工控系统相对IT系统产品更新换代周期长,一套工控系统普遍要使用十年以上,且大部分工控系统没有进行充分的信息安全防护。目前工业现场还大量使用Windows XP,Windows Server 2003等操作系统。即使使用Win7等系统也普遍同教育网一样没有关闭445等端口,甚至有些工业软件需要使用445端口进行文件传输,不能关闭。这就造成工控系统比企业内网更容易受到病毒攻击。
永恒之蓝(WannaCry)病毒对工控系统的威胁
此次永恒之蓝(WannaCry)病毒将Windows用户文件加密,有可能造成安装在操作系统上的工业软件、实时数据库等不能正常工作,造成整个工控系统不能正常运行。
目前大部分流程自动化和轨道交通行业的工业控制网络并没有同互联网相连,永恒之蓝(WannaCry)病毒没有第一时间大规模侵入工业控制网络。如果病毒发生变种,如:潜伏期、U盘传播等,病毒通过违规外联、U盘摆渡等方式传入的风险仍将存在,存在严重的安全隐患。
360工业互联网安全实验室对典型工控系统进行了永恒之蓝(WannaCry)病毒发作推演和复现,发现此病毒严重影响工控系统正常运行。
360工业互联网安全实验室在仿真系统上试验图
针对IT系统的紧急处理措施不适用于工控系统
目前政府相关主管部门和许多机构、企业发布了IT系统应对永恒之蓝(WannaCry)病毒的应对指南。这些紧急处理措施有许多并不适用于工控系统。例如:
- 立刻进行操作系统升级,打补丁。
对于需要7*24小时不间断运行的工控系统,不能随意进行操作系统升级。因为操作系统升级有可能需要重启系统,也有可能在安装过程中对工控系统正常运行产生影响,甚至有可能升级的操作系统版本与工业软件存在兼容性问题。工控系统的操作系统升级一般在停机检修时完成,而且在升级前必须经过工控系统厂商严格的兼容性测试。
- 立刻关闭445等端口。
如上文提到,有些工业软件会用到445端口,不能关闭。所以工业客户如果想关闭445等端口,必须提前经过工控系统厂商确认。
- 安装杀毒软件进行病毒查杀。
对于安装杀毒软件,常规IT系统杀毒软件不能用于工控系统。已经发生多起因杀毒软件误杀造成的工控系统停机事件。
工业控制系统可采用的应对措施
- 摸清现状,尽量做到实时监测。
立即采用工具或部署旁路检测设备,监控工控系统网络病毒感染情况。目前很多工控系统都属于信息安全“裸奔”状态,工业企业对工控系统和工业网络中的威胁情况一无所知。紧急部署旁路检测设备,监控工控系统网络病毒感染情况是当务之急。这些旁路检测设备大部分都使用交换机镜像流量,可以在工控系统运行时部署。
- 部署结合大数据威胁情报的新一代工业态势感知和安全管控平台。
结合云端威胁情报大数据能力实时监测工控系统信息安全状况,发现威胁,甚至可以进行攻击溯源。
360工业态势感知和安全管控平台
- 可能的情况下,尽快升级最新补丁。
联络设备供应商,服务集成商,在确认补丁不会影响业务运营前提下,尽快升级相关补丁。
- 加强管理,避免病毒传入。
目前很多工控系统还没有联网,非法计算机接入和U盘可能是病毒最重要的传播媒介。所以工业企业须严格管理,避免非法计算机接入和非法U盘的使用,这是近期工业企业工控信息安全的重要任务。虽然简单,也是非常有效的手段。
- 立刻备份,制定应急预案。
建议工业企业检查自己的数据备份、版本管理情况,严格管理。也需要建立企业的病毒处理预案,建议提前准备好经过安全防护处理的操作员站、服务器等设备。如果病毒发作,第一时间断网,把经过防护处理的计算机投入使用。有条件的话在工业网络中架设kill switch域名服务。
- 在停机检修期间进行系统升级,部署工控系统专用防护设备和软件。
企业在风险和成本分析可行的情况下,部署工控系统专用防护设备和软件,例如:主机白名单软件和工控专用防火墙,从而提升纵深防护能力。
此次永恒之蓝(WannaCry)病毒的发作给行业敲醒了警钟,我们切实感受到了勒索病毒的危害。在RSA 2017大会上,工业勒索是信息安全专家重点关注的内容。如何应对工业勒索的威胁,甚至考虑到如何系统化处理好工业安全问题,还需要国家高度重视,并进行顶层设计、系统实施、加强监管,需要工业企业、工控系统厂商、安全厂商共同努力。工业安全需要走的路很长。
作者:360企业安全集团 王弢/杨东晓
