暴露在互联网上的水务和能源基础设施面临威胁

近日国外的安全研究人员发布了一份关于水务和能源基础设施网络安全问题研究报告，研究人员表示黑客可能利用人机交互界面（HMI）对能源和水务基础设施非法入侵，造成严重后果。

研究人员使用互联网空间搜索引擎等多种来源寻找暴露在互联网中的工业控制系统设施，特别是人机交互界面。他们展示了攻击者如何使用公共资源寻找能源和水务公司的物理位置及IP地址等信息。虽然有关信息不是绝对准确，但已经提供了可能信息，攻击者可以使用其他手段对所获得的信息进行验证。

部分ICS设备网络特征

利用其他公开信息，可以进一步搜集ICS设施的信息，他们发现了位于欧洲，美国和世界其他地区的石油和天然气，电力系统，水务和燃气组织使用的数十种设备。研究人员发现，在许多情况下，HMI可以通过未经身份验证的VNC服务器访问，允许潜在的攻击者使用VNC查看器应用程序与其界面进行交互。

暴露在公开网络上的工控设备的数量相对较少，而大多数暴露的系统都由中小型公司运营。同时研究人员发出警告，这些小公司也可能会对大公司的安全状况产生重大影响，因为它们通常是供应链的一部分。

利用搜索引擎搜集信息

公开资料

许多识别到的HMI包括关键功能，警报、更改参数以及启动或停止过程。如果恶意黑客可以访问这些系统，它们很容易导致失败或造成重大损害。

例如，一个暴露的HMI被水处理厂使用。通过暴露在外的系统对设施实施攻击可能导致饮用水短缺或由水传播疾病引发的公共卫生危机。

另一个暴露的HMI属于一家石油和天然气公司。有权操作这种设备的黑客可以关闭石油和天然气井，可能导致国家或地区资源短缺。

同样也可以针对研究人员发现的使用HMI控制和监测的太阳能发电场、发电厂和水电设施发起破坏性攻击。

暴露的HMI

除了劫持HMI并通过其进行各种活动外，专家警告说，黑客可能会发起分布式拒绝服务（DDoS）攻击，这些攻击会导致关键流程中断并导致严重的物质损失，利用HMI系统中的漏洞他们自己，并在目标组织的网络中滥用它们进行横向移动。

研究人员表示：“虽然我们发现的暴露的能源和水务系统的数量相对较少，但仍然令人担忧，这些系统首先就不应该暴露在公开网络中。好消息是，我们没有找到知名大公司或国家级运营的基础设施暴露资产。发现的暴露资产大多由小公司拥有运营。

然而，研究人员为了避免对正在运行的系统造成负面影响而有很多限制，潜在的攻击者则不受这些限制，所以这并不意味着大公司完全安全。并且小公司通常为大公司供应链的一部分，因此针对小公司的网络攻击可间接影响大公司。”