黑客攻擊什么目標(biāo)可以牟取最大利益？

比如，比如，重慶市渝中區(qū)公安分局破獲一起涉嫌利用某電商平臺系統(tǒng)漏洞非法牟利的案件。某商業(yè)管理公司報警稱，他們的電商平臺數(shù)據(jù)在今年 5 月出現(xiàn)異常，估計被黑客利用網(wǎng)站代碼漏洞，惡意透支，通過第三方交易平臺購買話費(fèi)、油卡、實物等進(jìn)行消費(fèi)，共造成 140 余萬元的資金損失。

140 萬，很多??！

不對，看看另一起新聞。據(jù) Upbit 12月初發(fā)布的公告，這個平臺被盜 34 萬個 ETH ，損失將近 5000 萬美元。

但是，這些都比不上慘兮兮的臺積電。

2018 年，臺積電遭遇勒索病毒攻擊，導(dǎo)致多地生產(chǎn)線停擺，2 天內(nèi)損失金額高達(dá) 11 億人民幣。不過，這算得上臺積電的損失，不是黑客能賺到手里的錢。

之所以這樣對比，雷鋒網(wǎng)編輯想強(qiáng)調(diào)的是，黑客攻擊工控設(shè)施，造成的結(jié)果是很嚴(yán)重的。

脆弱的OT

“很嚴(yán)重”有時不只指金錢上的損失。

最早讓人大吃一驚的震網(wǎng)病毒襲擊了伊朗的核設(shè)施，導(dǎo)致離心機(jī)損壞，伊朗的核計劃推遲了兩年。后來是紐約大壩泄洪閘被攻擊，還有大家都知道的烏克蘭電網(wǎng)系統(tǒng)被攻擊導(dǎo)致兩次大斷電。

這兩年很有意思，除了被勒索病毒大大搞了一把的臺積電，還有同樣被勒索病毒絆了一跤的一個國際鋁業(yè)巨頭以及一家中國汽車制造商。

這家汽車制造商還挺大，具體是誰我就不多說了。但是，這么大的廠商都能被勒索病毒搞得措手不及，由此可見，工控廠商在守衛(wèi)安全這件事情上挺難做的。

沒辦法，只要工控設(shè)施與互聯(lián)網(wǎng)連接，安全尺度的把握靠認(rèn)知、靠技術(shù)、靠投入。不過，大家對工控安全的認(rèn)知還真不在一個水平線上，總體而言，市場還在被教育的階段，不然為什么這么多大廠商踩了坑？

我們先看看，坑在哪里。

工業(yè)里面有一群大寶貝：工業(yè)生產(chǎn)環(huán)境中檢測和控制的物理設(shè)備，以及工藝流程中涉及的各種硬件和軟件，它們有個綜合名字叫 OT（Operational Technology），核心組件包括數(shù)據(jù)采集與監(jiān)控系統(tǒng) (SCADA)、集散控制系統(tǒng) (DCS)、可編程邏輯控制器 (PLC) 等。

這個 OT 由于涉及生產(chǎn)大計，以前廠商的策略是，要把它好好被保護(hù)在一個“專門的區(qū)域”里，它不能和 IT 連接，杜絕有人從互聯(lián)網(wǎng)攻入的可能性，還要在專門的硬件上運(yùn)行專有的控制協(xié)議，用的操作系統(tǒng)也得是專有的嵌入式的，謹(jǐn)慎起見，連接線纜也是特制的。

這種情況下，要想攻擊它的 OT，可能只能靠協(xié)議、硬件本身的漏洞，肉身攜帶有病毒的 U 盤進(jìn)入，或者挖個電纜了吧。

不過，現(xiàn)在隨著傳統(tǒng)企業(yè)（包括工控企業(yè)）擁抱互聯(lián)網(wǎng)，OT 面臨的情況完全不一樣了，它和 IT 相連，采用通用的 internet 協(xié)議，運(yùn)行在由 IT 發(fā)端的通用硬件上，操作系統(tǒng)也是主流的 IT 系統(tǒng)，并通過標(biāo)準(zhǔn)的 以太網(wǎng)或無線 WiFi 協(xié)議連接。

一個以前被保護(hù)得特別好的在安全上“涉世未深”的初級玩家被放到了互聯(lián)網(wǎng)的叢林中，豺狼虎豹有很多手段進(jìn)來。

比如，網(wǎng)絡(luò)由封閉到開放，OT/IT 網(wǎng)絡(luò)共用同一網(wǎng)絡(luò)設(shè)備互聯(lián)，攻擊者可以攻擊和滲透 IT 系統(tǒng)，初級玩家的 IT 系統(tǒng)很可能設(shè)計得復(fù)雜但脆弱，有代碼漏洞，配置錯誤，身份認(rèn)證弱得沒眼看。

比如，雖然廠商搞了內(nèi)網(wǎng)隔離，但是隔離沒做好，缺少網(wǎng)絡(luò)安全設(shè)備有效地針對 OT/IT 網(wǎng)進(jìn)行安全區(qū)域劃分和進(jìn)行安全運(yùn)行狀態(tài)的統(tǒng)一監(jiān)控，導(dǎo)致攻擊者通過一些手段在內(nèi)網(wǎng)橫行，感染更多的主機(jī)。

比如，缺乏對內(nèi)而外的非法訪問行為的檢測，黑客直接進(jìn)來搞破壞。

比如，缺乏對整個網(wǎng)絡(luò)的檢測和阻擋，沒有全局意識，搞不清楚黑客的真實意圖，很難定位安全威脅，就算“抓到”了攻擊者，取證過程低效。

構(gòu)造“免疫系統(tǒng)”

建立“免疫系統(tǒng)”的第一步，當(dāng)然是搞清楚自家工廠里哪些需要重點保護(hù)。

其實，建立行業(yè)標(biāo)準(zhǔn)的組織早就給了我們一個基本框架：ISA-99/IEC62443制造和控制系統(tǒng)安全委員會給出了一個“工業(yè)控制Purdue分層模型”。

這種分區(qū)的模式受到了廣泛認(rèn)可，但是在實際應(yīng)用過程中，沒有哪家的工廠能用這么“簡單和基礎(chǔ)”的模型框架定義。

就像建房子，大家都知道房子的框架怎么搭，具體建造起來，還是五花八門的。

最近，雷鋒網(wǎng)新認(rèn)識了一個“建筑師”Fortinet ，他提出了一種基于工業(yè)控制Purdue分層模型的架構(gòu)——Fortinet Security Fabric 的工控風(fēng)險管理框架。

這種框架在基礎(chǔ)框架上有什么不同？

這家安全公司是在 2000 年成立的，2004 年， Fortinet 與 IDC 共同提出 UTM（統(tǒng)一威脅管理）一戰(zhàn)成名，2016 年，基于威脅檢測及技術(shù)整合能力， Fortinet  提出 “Security Fabric”，其中包括 WAF、郵件網(wǎng)關(guān)、沙箱、威脅情報、終端安全、云安全、無線安全、IoT、SD-WAN 等多種安全解決方案，及其協(xié)同與聯(lián)動的安全整體架構(gòu)。

這時我們要上一張圖了，與上述基礎(chǔ)框架的劃分不同的是，它的主要目標(biāo)是，圍繞儀表總線網(wǎng)絡(luò)、流程控制局域網(wǎng)、區(qū)域總控網(wǎng)絡(luò)、生產(chǎn)區(qū)域、企業(yè)環(huán)境等不同層面構(gòu)建安全控制能力與分段安全保護(hù)。

紅區(qū)是重要的生產(chǎn)系統(tǒng)，需要通過獨立的物理硬件進(jìn)行部署，實現(xiàn)完全的訪問控制（防火墻、入侵檢測、沙盒、防病毒），提高最高級別的保護(hù)。黃區(qū)是自有研發(fā)安全區(qū)及外包研發(fā)安全區(qū)的相應(yīng)次高安全區(qū)域，可根據(jù)情況采用獨立或共享的網(wǎng)絡(luò)及安全基礎(chǔ)架構(gòu)設(shè)施，需要通過虛擬桌面的方式訪問。

綠區(qū)主要為安全級別比較低的業(yè)務(wù)系統(tǒng)進(jìn)行部署，物理資源和安全措施可以采用共享架構(gòu)。藍(lán)區(qū)為用戶接入?yún)^(qū)域，部署面向外網(wǎng)的前置服務(wù)器，安全等級比較低。

不久前，F(xiàn)ortinet Security Fabric 安全架構(gòu)和 Nozomi Networks 解決方案進(jìn)行了集成，提供了基于 SCADA 安全的主動防御能力。

目前來看，在 Fortinet Security Fabric 安全架構(gòu)中，它主要打造的能力有四項：

針對已知威脅的可見性和分段保護(hù)：通過 FortiGate 防火墻、FortiGuard威脅情報服務(wù)等組件，從監(jiān)控網(wǎng)絡(luò)到流程控制網(wǎng)絡(luò)進(jìn)行，對于常見的 ICS/SCADA 協(xié)議、基于工業(yè) IPS 特征進(jìn)行識別和監(jiān)控，通過集中安全管理報告實現(xiàn)自動化安全防護(hù)。

異常檢測和響應(yīng)：FortiSIEM 安全信息與事件管理解決方案可以在統(tǒng)一可擴(kuò)展的解決方案中提供可見性、關(guān)聯(lián)性、自動響應(yīng)和補(bǔ)救措施建議，F(xiàn)ortiGate 防火墻則提供從監(jiān)控網(wǎng)絡(luò)到控制網(wǎng)絡(luò)的主動防護(hù)，在與 Nozomi Networks 安全解決方案的協(xié)同， 對網(wǎng)絡(luò)的被動監(jiān)控能力融合起來之后，支持用戶對于異常行為進(jìn)行及時響應(yīng)。

 

OT Security Fabric 自動化聯(lián)動：通過與 Nozomi 終端等第三方解決方案商的的聯(lián)動與集成，增強(qiáng)在檢測、發(fā)現(xiàn)、響應(yīng)異常行為，并作出自動阻截攻擊的能力。

 

攻擊欺騙：FortiDeceptor 作為一個輕量級的專門針對 OT 網(wǎng)絡(luò)的蜜罐， 快速創(chuàng)建一個偽造的“迷宮網(wǎng)絡(luò)”，誘使攻擊者進(jìn)行攻擊，進(jìn)而檢測到攻擊者的活動詳細(xì)信息，以在攻擊真正造成損害之前進(jìn)行遏制。

顧慮與試驗

不過，對于 Fortinet 而言，讓市場完全接受這套 Fortinet Security Fabric 安全架構(gòu)還是有難度的，甚至可以說，不僅是對 Fortinet Security Fabric 安全架構(gòu)，對于任何一種工業(yè)安全架構(gòu)，用戶還抱著審慎的態(tài)度。

很多用戶對 Fortinet 技術(shù)總監(jiān)張略表示的擔(dān)憂是：“你能保證設(shè)備串進(jìn)去后不造成其他風(fēng)險嗎，比如設(shè)備壞了，我們的生產(chǎn)線不能工作了怎么辦？”。

目前，為了解決這個顧慮，F(xiàn)ortinet 通過并聯(lián)方式，進(jìn)行安全可視化，營造出一個實驗環(huán)境讓對方看到這種風(fēng)險是否是真的風(fēng)險，這種風(fēng)險真的被黑客利用會產(chǎn)生什么后果，讓用戶自己衡量，是否應(yīng)該串聯(lián)，這種風(fēng)險與不串聯(lián)遭受攻擊造成的損失相比，哪種更嚴(yán)重。

“現(xiàn)在還處在客戶認(rèn)知覺醒期，對于不同方案大家都有評估，我們跟其他友商交流過，我們都認(rèn)為市場面臨短則一兩年，長則兩三年的培育期?！睆埪哉f。

坦白來說，OT 安全可能正處于 10 年前的 IT 發(fā)展期，工控廠商也在驗證不同 OT 安全方案的效果，牽一發(fā)而動全身，工控廠商的憂慮無可厚非。不過，顯而易見的是，在 IT 蓬勃發(fā)展期就鍛煉出的攻擊野獸顯然不會等待 OT 安全的成長。

在他們的肆意進(jìn)攻中，對 OT 安全方案提供商與用戶而言，守衛(wèi)安全都是極難的挑戰(zhàn)。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。