物聯(lián)網(wǎng)的多元發(fā)展為各界帶來(lái)明顯的商機(jī)�,各行各業(yè)相繼推出連網(wǎng)商品���,除了智能家電、智能攝像機(jī)等消費(fèi)型商品外��,連工控�����、醫(yī)療���、通訊�����、交通等非消費(fèi)型行業(yè)的設(shè)備也紛紛加入物聯(lián)網(wǎng)行列����。而在這蓬勃發(fā)展的商機(jī)下,最開(kāi)心的莫過(guò)于黑色產(chǎn)業(yè)鏈了�����,原本難以攻占的場(chǎng)域����,全部都因?yàn)檠b置連網(wǎng)而創(chuàng)造出新的攻擊藍(lán)圖,新加入連網(wǎng)世界的設(shè)備瞬間都成為黑客爭(zhēng)相訪問(wèn)的對(duì)象�����。
DoS攻擊對(duì)基礎(chǔ)建設(shè)的影響
2019年美國(guó)sPower電力供應(yīng)商所遭受的網(wǎng)絡(luò)信息安全攻擊��,便是典型的DoS攻擊事件����。sPower是美國(guó)最大的私人太陽(yáng)能電力供應(yīng)商,2019年3月黑客利用電力系統(tǒng)中的已知漏洞進(jìn)行長(zhǎng)達(dá)12個(gè)小時(shí)的攻擊�����,反復(fù)中斷操作人員與12個(gè)發(fā)電站的通訊����,使得十多個(gè)風(fēng)電場(chǎng)與太陽(yáng)能農(nóng)場(chǎng)的供電出現(xiàn)短暫無(wú)法使用的狀況��。
鑒于基礎(chǔ)設(shè)施受到攻擊的事件頻傳���,美國(guó)政府也高度重視這類(lèi)的網(wǎng)絡(luò)信息安全事件,因此美國(guó)政府責(zé)任署(Government Accountability Office, GAO)受美國(guó)國(guó)會(huì)要求委托�����,于2019年8月發(fā)布的研究關(guān)鍵基礎(chǔ)設(shè)施保護(hù)文件中��,提出對(duì)實(shí)施聯(lián)邦電力網(wǎng)絡(luò)安全策略的建議�。其中評(píng)估了能源部(DOE)定義評(píng)估電力網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的策略執(zhí)行力度,同時(shí)也評(píng)估了聯(lián)邦能源管理委員會(huì)(FERC)批準(zhǔn)的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)在解決電力網(wǎng)絡(luò)安全風(fēng)險(xiǎn)上可以解決風(fēng)險(xiǎn)的程度���。美國(guó)政府責(zé)任署同時(shí)也定義了威脅電力網(wǎng)絡(luò)的國(guó)家、犯罪集團(tuán)����、恐怖分子以及不同攻擊策略的許多細(xì)節(jié),其中DoS攻擊則被列為可能是恐怖分子攻擊的手法之一���。
物聯(lián)網(wǎng)帶來(lái)的便利性讓連網(wǎng)設(shè)備范圍由消費(fèi)性商品擴(kuò)大至國(guó)家基礎(chǔ)設(shè)施����,美國(guó)許多地區(qū)的三表(水表、電表����、瓦斯表)已經(jīng)換成具備連網(wǎng)功能的Smart Meter。國(guó)內(nèi)也在建置智慧電網(wǎng)���,通過(guò)智慧電網(wǎng)可實(shí)現(xiàn)快速取得用戶使用能源信息��、精準(zhǔn)估算能源用量并可根據(jù)用量定制收費(fèi)等多重好處���,讓傳統(tǒng)電表逐漸汰換為具連網(wǎng)功能的數(shù)字電表。然而便利的連網(wǎng)設(shè)備�,卻成為黑客對(duì)能源公司基礎(chǔ)設(shè)施發(fā)動(dòng)攻擊的利器,在其頻繁攻擊的手法中��,甚至存在以癱瘓?jiān)O(shè)備為目的的DoS攻擊����。消費(fèi)性產(chǎn)品安全的不足所引起的攻擊事件,第一時(shí)間的沖擊可能是消費(fèi)者暫時(shí)無(wú)法使用該產(chǎn)品���,但若是對(duì)發(fā)電或供水設(shè)備進(jìn)行攻擊�,能源公司受攻擊����,輕則無(wú)法取得客戶的使用資料��,重則可能導(dǎo)致大規(guī)模停電�、斷水�,或爆發(fā)成為撼動(dòng)國(guó)家安全的高級(jí)別災(zāi)難。
DoS攻擊對(duì)工控設(shè)備造成的危害
根據(jù)調(diào)查���,70%工控系統(tǒng)(ICS)已知漏洞可被黑客遠(yuǎn)程操控�����,而其中通過(guò)遠(yuǎn)程執(zhí)行代碼(RCE)的漏洞侵入工控系統(tǒng)的比率占了49%�����,侵入之后進(jìn)行DoS攻擊的比率也高達(dá)39%�。另外一份由卡巴斯基于2018年的統(tǒng)計(jì)調(diào)查也指出����,大部分工控系統(tǒng)上的漏洞屬于重大風(fēng)險(xiǎn)等級(jí)且可能會(huì)造成拒絕服務(wù)(DoS)攻擊����,且其攻擊成功率也高達(dá)50%����。
2018年德國(guó)奧格斯堡大學(xué)與柏林自由大學(xué)發(fā)表的論文"You Snooze, You Lose: Measuring PLC Cycle Times Under Attacks"指出�����,對(duì)可編程邏輯控制器(Programmable Logic Controller, PLC)發(fā)送洪水攻擊(Flooding Attack)���,能造成工控設(shè)備的物理控制過(guò)程中斷或失效�����,達(dá)到拒絕服務(wù)(Denial-of-Service, DoS)攻擊的效果��。ICS-CERT于2019年12月12日針對(duì)此類(lèi)可能造成可編程邏輯控制器周期時(shí)間影響(PLC Cycle Time Influences)的攻擊手法發(fā)布了一份報(bào)告�,因其具有"可遠(yuǎn)程攻擊"�����、"低技術(shù)要求"等特性���,因而將此問(wèn)題編列為CVE-2019-10953漏洞�,并給予CVSSv3評(píng)7.5分�����,列為高風(fēng)險(xiǎn)漏洞(CVSS向量為AV:N / AC:L / PR:N / UI:N / S:U / C:N / I:N / A:H),受影響的設(shè)備包含了ABB, Phoenix Contact, Schneider Electric, Siemens, WAGO�。
在制造業(yè)上,近年國(guó)內(nèi)也在大力推動(dòng)智能制造�����,鼓勵(lì)工業(yè)設(shè)備連網(wǎng)以提供完整的生產(chǎn)履歷并提升產(chǎn)品合格率��,過(guò)去因?yàn)楣S設(shè)備無(wú)連網(wǎng)需求����,對(duì)于網(wǎng)絡(luò)信息安全防護(hù)的概念十分薄弱。如果廠區(qū)的安全防護(hù)機(jī)制未能跟上現(xiàn)代的防護(hù)觀念�����,極可能受DoS攻擊后便造成產(chǎn)線停擺����,對(duì)于制造業(yè)及相關(guān)的供應(yīng)鏈將造成極大損害���,因此提升工控設(shè)備安全質(zhì)量來(lái)降低DoS攻擊的風(fēng)險(xiǎn)已是刻不容緩的事�����。
對(duì)物聯(lián)網(wǎng)安全的規(guī)范要求
物聯(lián)網(wǎng)設(shè)備安全問(wèn)題漸漸攀升����,讓愈來(lái)愈多國(guó)家要求設(shè)備制造商提升設(shè)備本身的安全性,例如美國(guó)在2016年11月發(fā)表《保護(hù)IoT策略準(zhǔn)則(Strategic Principles for Securing the Internet of Things)》���;在工控領(lǐng)域也有工業(yè)自動(dòng)化控制系統(tǒng)(IACS)的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)來(lái)要求工控安全��。2019年2月27日國(guó)際電工委員會(huì)(IECEE)釋出工業(yè)自動(dòng)化控制系統(tǒng)的安全性第4-2部分(IEC 62443-4-2 : 2019)���,將資源可用性列為基礎(chǔ)要求的第七項(xiàng)(Fundamental Requirement No.7 : Resource Availability),其中元件要求第7.1項(xiàng)拒絕服務(wù)攻擊的防護(hù)(Component Requirement 7.1 : Denial of Service Protection)���,便針對(duì)工控設(shè)備遭到拒絕服務(wù)攻擊事件而影響效能時(shí)�,規(guī)定組件仍應(yīng)維持良好基本功能運(yùn)作��。因此設(shè)備制造商將需在開(kāi)發(fā)流程中驗(yàn)證并致力提升自身產(chǎn)品抵抗拒絕服務(wù)攻擊的能力����。
設(shè)備制造商面對(duì)DoS攻擊的因應(yīng)之道
連網(wǎng)的便利性與信息安全如何兼具,這一直都是企業(yè)高度關(guān)注的議題,對(duì)跨越連網(wǎng)設(shè)備的制造商而言����,如何為物聯(lián)網(wǎng)商品提升安全性更是一項(xiàng)新的挑戰(zhàn)。然而面對(duì)物聯(lián)網(wǎng)信息安全也不是沒(méi)有方法可循���,首先可以通過(guò)建立符合規(guī)范的產(chǎn)品開(kāi)發(fā)流程����,在每個(gè)階段導(dǎo)入安全設(shè)計(jì)重點(diǎn)���,落實(shí)Secure by Design的概念�;在測(cè)試階段可以通過(guò)自動(dòng)化工具進(jìn)行測(cè)試以減少產(chǎn)品上市前的網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)�����。
旗下的「HERCULES SecDevice漏洞檢測(cè)自動(dòng)化工具」�����,具備檢測(cè)連網(wǎng)產(chǎn)品環(huán)境配置與安全性評(píng)估等自動(dòng)化功能�����,內(nèi)置120多個(gè)測(cè)試項(xiàng)目,可協(xié)助用戶在產(chǎn)品開(kāi)發(fā)過(guò)程中發(fā)掘已知和未知漏洞���,其中模擬DoS攻擊的測(cè)試項(xiàng)目,可讓設(shè)備在測(cè)試過(guò)程模擬從數(shù)據(jù)鏈路層(Data Link Layer)至傳輸層(Transport Layer)協(xié)議的DoS攻擊����,達(dá)到拒絕服務(wù)攻擊的效果,適合讓設(shè)備制造商進(jìn)行DoS攻擊演練與聯(lián)網(wǎng)設(shè)備安全強(qiáng)度測(cè)試�����;「HERCULES SecFlow產(chǎn)品網(wǎng)絡(luò)信息安全管理系統(tǒng)」可讓研發(fā)團(tuán)隊(duì)在軟件設(shè)計(jì)與開(kāi)發(fā)階段���,檢查所使用的第三方開(kāi)放源代碼套件是否存在爭(zhēng)議性授權(quán)問(wèn)題及重大網(wǎng)絡(luò)信息安全漏洞�,開(kāi)發(fā)過(guò)程層層把關(guān)�����,進(jìn)一步提升產(chǎn)品安全性�,并使產(chǎn)品符合法規(guī)要求,以降低網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)����。
