【专家博客】美国关键基础设施面临的网络攻击日益加剧

       伊朗是否真的像上周路透社报道的那样，检测到了针对其核设施的有计划的“大规模网络攻击”？他们是否采取了必要的措施来应对此次威胁？或者他们的姿态是否受到了纽约时报作者David E. Sanger的新书“Confront and Conceal: Obama’s Secret Wars and the Surprising Use of American Power ”中的启示的影响？此外，这对ICS和SCADA安全又会产生什么样的影响？

       在最近的博客（Stuxnet之战—战争帷幕拉开了）中，我们探讨了Sanger的新书。同时，我们注意到Sanger的评论指出美国和以色列是Stuxnet背后的主谋，使得 “使美国政府难以否认它就是Stuxnet攻击背后的主谋”。

伊朗总统艾哈迈迪内贾德参观纳坦兹铀浓缩设施的照片 - 来自美联社

       在之前的博客里，我们也指出：“这意味着拉开了战争的帷幕。网络大战已经从‘你不问我不说’的状态转换为国家间的公开侵略。”

       公开侵略是路透社在描述伊朗称其面临的大敌“美国、以色列以及英国已经计划了大规模的网络攻击”时采用的说法。

可怕的仿真项目突出了保护ICS和SCADA系统的困难重重

       从第一篇关于“Confront and Conceal”的博客开始，我就已经阅读了整本书，并对其中的许多的内容都感到震惊。在此，我概括了涉及到网络战争并且对工业网络安全非常重要的几个显著要点。

       该书描述了美国政府主导实施的两项网络攻击仿真项目。一个是在Idaho Falls¹的网络急救中心。在小镇边上建立了一家仿真化学公司，其设备连接到了霍尼韦尔、西门子及其它主要生产商的控制器上。此外，建立了两个团队，攻击“红队”和防御队。

       “这不是一场公平的战争，也不是一场持久战。在网络攻击战争中，所有的优势都在于攻击者—包括一次性打击多个薄弱点的能力，具有秘密的攻击来源等。试图保护仿真化学公司的‘防御’队很快就不堪重负；当你下楼时，一家小型自动化化学工厂貌似出现了混乱，一时间发生液体泄漏，搅拌机震动，黑烟涌出。由于攻击者已经控制了电力系统，操作者无法将其关闭。”

在另一个政府仿真项目中，黑客关闭了纽约市的灯光。

       2012年3月完成的另一个仿真项目²“生动地演示了如果专业黑客或敌方国家决定要关闭纽约市的灯光会后是什么样子。”当电力公司工作人员点击朋友发来的邮件中的链接时，攻击就开始了。这是一个“鱼叉式网络钓鱼³”攻击，它诱导授权用户允许网络入侵者进入负责纽约电网的计算机系统。由于仿真包含一股热浪，过了一段时间运营商才意识到这不是一场普通的停电。没人能弄清楚故障的起源，这是恢复电力的第一步。 

       第二项仿真项目的目的是迫使国会通过一项法案，为了确保关键基础设施公司的网络安全，要求关键基础设施公司“遵循国家标准和国家监管”。

为什么不适合对利比亚发起网络攻击

       当美国考虑它在支持利比亚暴动中扮演的角色时，也考虑了对卡扎菲防空系统的发起网络攻击。但是，由于没有足够多的有效的关于利比亚防空系统的网络情报，最终并未采取该方式。 

       记住一点，在Stuxnet的案例中，病毒在发起攻击前已经积极侦查并研究了好多年。将信标代码插入到纳坦兹，收集铀浓缩工厂的“架构”……来理解离心机怎样被连接到所谓的PLC上。

       今年早些时候发现的Flame病毒，它被国际电信联盟（负责信息和通信技术的联合国机构）称为“有史以来针对目标国家的最强大的间谍软件”。该机构向会员国发出正式警告称Flame“可能被用来攻击关键基础设施”。 

       卡巴斯基实验室的数据表明，Flame的感染区域席卷整个中东地区，其中189次攻击发生在伊朗，98次事件发生在约旦河西岸，32次在苏丹，30次在叙利亚，另外还有一些发生在黎巴嫩、沙特阿拉伯和埃及。其它一些报道指出，Flame的数据收集行为的具体目标是AutoCAD工程图。 

       似乎美国可以利用Flame来收集情报用于在未来发起针对工业系统的网络攻击。

可以得出哪些ICS和SCADA安全经验？

       美国的网络攻击行为告诉我们一些控制系统事宜的信息。现在“采用隐蔽式安全措施”的旧思维比门钉更坚固。 

       另一方面，很明显针对控制系统的网络攻击要耗费时间。美国能攻击纳坦兹是因为它有时间。它用它的“信标”悄悄地感染控制系统并进行侦查已经好多年了。相反，它不能针对利比亚发起网络攻击，因为它没有足够的时间。所以，不要想象对SCADA的攻击明天就会突然出现—这些需要几年的时间。而且耗费的时间越长，就越具有毁灭性。 

       如果你发现在IT层或自动化层发现任何异常行为，你应该对此做一个彻底的分析。请确保你在评估时考虑到了网络情报“信标”或者可能导致更大中断的轻微中断的可能性。

       如果检测到了网络侦查，您的团队和公司高管对此将如何应对？如果已经从信标升级到了攻击呢？也许自己进行一些仿真实验是个不错的想法。 

       最后，Sanger的书写到，奥巴马及其政府对他们的网络战争举措保持沉默，因为他们不想刺激发生一些针对美国的攻击事件。上周路透社的文章表明，沉默期已经结束，无论是来自国家的还是来自黑客或者罪犯分子的攻击都会增加。如果你身在美国，是时候要更新并尽可能加倍努力工作确保网络安全了。

        ¹Confront and Conceal, Kindle location 3335, Chapter 8         ²Confront and Conceal Kindle location 4190, Chapter 10         ³Confront and Conceal Kindle location 3115, Chapter 8