超級工廠Stuxnet病毒出現(xiàn)近兩年了,伊朗的核計劃遭到了重創(chuàng),多位安全專家對病毒樣本的長時間分析后稱其復(fù)雜和高超的技藝絕非一般病毒作者所能勝任,更有媒體指是以色列和美國政府所為。新消息稱重創(chuàng)伊朗核計劃借助了一位伊朗雙面間諜。
安全業(yè)界通常認(rèn)為這是一種高級可持續(xù)性攻擊APT,在強大的攻擊之下,幾乎不可防范,的確,照常理來講,工業(yè)控制系統(tǒng)長時間被認(rèn)為不會受到電腦病毒的影響,最多PC感染病毒重裝電腦和工控軟件即可,何況西門子這種大牌廠商的工控軟件給人可信的印象,人們不會有電腦病毒感染核設(shè)施工控系統(tǒng)的防備之心。而Stuxnet程序利用了未公布的Windows安全漏洞,更新軟件,查殺病毒等都沒用,這是比零天漏洞還兇的手段。
可是大家忽略了兩點細(xì)節(jié),第一、物理安全措施本來已經(jīng)將能受到感染的工控PC和易受到未知病毒感染的外網(wǎng)隔離開來,如何能輕易受到攻擊呢?實際上,最近美國情報機構(gòu)稱,這關(guān)鍵的一步利益于受到感染的便攜式存儲,雙面間諜將關(guān)鍵的Stuxnet病毒通過外網(wǎng)計算機感染到U盤之類的便攜式移動閃盤上,移動閃盤被插入工控電腦,利用微軟未發(fā)布漏洞的病毒Stuxnet不需要點擊便可悄悄潛入工控電腦。第二、Stuxnet病毒程序在工控電腦尋找西門子的工控軟件,并且自動利用微軟SQL數(shù)據(jù)庫的默認(rèn)訪問密碼修改數(shù)據(jù)庫,數(shù)據(jù)庫被修改了,工控指令當(dāng)然就打亂了。
上述第一點細(xì)節(jié)使我們想起政府機關(guān)的內(nèi)外網(wǎng)物理安全隔離措施,這措施要有獲得預(yù)期效果并不容易,用戶的支持最關(guān)鍵,用戶不僅可以輕易拔插電腦設(shè)備的網(wǎng)線瞬間切換至不同安全級別的網(wǎng)絡(luò),更能使用USB之類的移動便攜式存儲設(shè)備在不同網(wǎng)絡(luò)系統(tǒng)之間傳輸文件和病毒,要獲得用戶的理解和支持,更多安全技術(shù)防范措施需考慮,而安全意識培訓(xùn)是關(guān)鍵,多數(shù)最終用戶并非安全方面的專業(yè)人士,他們不經(jīng)意的行動可能會在瞬間將辛苦搭建的安全防范體系擊潰。
第二點細(xì)節(jié)的關(guān)鍵在默認(rèn)密碼,系統(tǒng)默認(rèn)密碼未被更改可能有多種原因,但無論如何都是借口,都會帶來嚴(yán)重的安全隱患,IT安全人員應(yīng)該設(shè)置密碼安全策略,強制最終用戶更改默認(rèn)的密碼,不管是初始的、重置后的、還有要定期更改,此外,靠技術(shù)措施還不夠像SQL數(shù)據(jù)庫這種系統(tǒng)之間訪問的密碼最終用戶并不會接觸到,但是要讓他們有這種更必默認(rèn)密碼的安全意識,只能靠安全意識培訓(xùn)來幫忙。
還有一點要注意的是伊朗雙面間諜,美國情報人員稱如果沒有內(nèi)線人員,病毒的傳播速度可能會大大延遲。說到間諜,在和平時期可能并不為人們所重視,實際上情況并不容忽視,激烈的市場競爭促使了大量商業(yè)間諜,不少員工可能在不知不覺中幫助間諜執(zhí)行著任務(wù),比如幫助“調(diào)查機構(gòu)”進行有償?shù)男畔⒄{(diào)查,出售統(tǒng)計數(shù)據(jù),向社會工程學(xué)攻擊者透露重要甚至機密的信息等等,資訊科技日益發(fā)達,隨便拍照錄像即可瞬間將機密文件拱手相送,而要利用技術(shù)措施進行有效防范則成本高昂不講,更是難以實施,最佳的方法仍然是對員工進行保密安全意識教育,告知社會工程式擊者常用的手段,以及如何識別和應(yīng)對這些攻擊。
說到底,類似超級工廠Stuxnet的高級可持續(xù)性攻擊要達成,需要多種不安全因素的綜合作用,我們建立多層安全防御體系也正是為了給這類攻擊增加難度,不過如果人員的信息安全意識跟不上,多重的安全防護體系便是空談。
物聯(lián)網(wǎng)、智慧城市的時代即將來臨,工控系統(tǒng)不僅關(guān)系著生產(chǎn)制造,更和社會的基礎(chǔ)設(shè)施密切相關(guān),所以安全日益受到廣泛重視,工信部也發(fā)文“關(guān)于加強工業(yè)控制系統(tǒng)信息安全管理的通知”,要求各級政府和國有大型企業(yè)切實加強工業(yè)控制系統(tǒng)安全管理,在建立各類安全技術(shù)控制措施以及管理制度和流程的同時,莫忘加強員工的信息安全意識教育。