物聯(lián)網(wǎng)的多元發(fā)展為各界帶來明顯的商機(jī),各行各業(yè)相繼推出連網(wǎng)商品��,除了智能家電�����、智能攝像機(jī)等消費(fèi)型商品外���,連工控��、醫(yī)療��、通訊���、交通等非消費(fèi)型行業(yè)的設(shè)備也紛紛加入物聯(lián)網(wǎng)行列。而在這蓬勃發(fā)展的商機(jī)下���,最開心的莫過于黑色產(chǎn)業(yè)鏈了����,原本難以攻占的場域,全部都因?yàn)檠b置連網(wǎng)而創(chuàng)造出新的攻擊藍(lán)圖�����,新加入連網(wǎng)世界的設(shè)備瞬間都成為黑客爭相訪問的對象�����。
DoS攻擊對基礎(chǔ)建設(shè)的影響
2019年美國sPower電力供應(yīng)商所遭受的網(wǎng)絡(luò)信息安全攻擊��,便是典型的DoS攻擊事件���。sPower是美國最大的私人太陽能電力供應(yīng)商��,2019年3月黑客利用電力系統(tǒng)中的已知漏洞進(jìn)行長達(dá)12個(gè)小時(shí)的攻擊����,反復(fù)中斷操作人員與12個(gè)發(fā)電站的通訊��,使得十多個(gè)風(fēng)電場與太陽能農(nóng)場的供電出現(xiàn)短暫無法使用的狀況�。
鑒于基礎(chǔ)設(shè)施受到攻擊的事件頻傳,美國政府也高度重視這類的網(wǎng)絡(luò)信息安全事件����,因此美國政府責(zé)任署(Government Accountability Office, GAO)受美國國會(huì)要求委托,于2019年8月發(fā)布的研究關(guān)鍵基礎(chǔ)設(shè)施保護(hù)文件中����,提出對實(shí)施聯(lián)邦電力網(wǎng)絡(luò)安全策略的建議。其中評估了能源部(DOE)定義評估電力網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的策略執(zhí)行力度��,同時(shí)也評估了聯(lián)邦能源管理委員會(huì)(FERC)批準(zhǔn)的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)在解決電力網(wǎng)絡(luò)安全風(fēng)險(xiǎn)上可以解決風(fēng)險(xiǎn)的程度�����。美國政府責(zé)任署同時(shí)也定義了威脅電力網(wǎng)絡(luò)的國家�、犯罪集團(tuán)、恐怖分子以及不同攻擊策略的許多細(xì)節(jié)��,其中DoS攻擊則被列為可能是恐怖分子攻擊的手法之一�。
物聯(lián)網(wǎng)帶來的便利性讓連網(wǎng)設(shè)備范圍由消費(fèi)性商品擴(kuò)大至國家基礎(chǔ)設(shè)施,美國許多地區(qū)的三表(水表��、電表�、瓦斯表)已經(jīng)換成具備連網(wǎng)功能的Smart Meter。國內(nèi)也在建置智慧電網(wǎng)�,通過智慧電網(wǎng)可實(shí)現(xiàn)快速取得用戶使用能源信息、精準(zhǔn)估算能源用量并可根據(jù)用量定制收費(fèi)等多重好處�,讓傳統(tǒng)電表逐漸汰換為具連網(wǎng)功能的數(shù)字電表�。然而便利的連網(wǎng)設(shè)備��,卻成為黑客對能源公司基礎(chǔ)設(shè)施發(fā)動(dòng)攻擊的利器�����,在其頻繁攻擊的手法中�����,甚至存在以癱瘓?jiān)O(shè)備為目的的DoS攻擊���。消費(fèi)性產(chǎn)品安全的不足所引起的攻擊事件�����,第一時(shí)間的沖擊可能是消費(fèi)者暫時(shí)無法使用該產(chǎn)品����,但若是對發(fā)電或供水設(shè)備進(jìn)行攻擊�����,能源公司受攻擊���,輕則無法取得客戶的使用資料��,重則可能導(dǎo)致大規(guī)模停電�����、斷水�����,或爆發(fā)成為撼動(dòng)國家安全的高級別災(zāi)難����。
DoS攻擊對工控設(shè)備造成的危害
根據(jù)調(diào)查���,70%工控系統(tǒng)(ICS)已知漏洞可被黑客遠(yuǎn)程操控�,而其中通過遠(yuǎn)程執(zhí)行代碼(RCE)的漏洞侵入工控系統(tǒng)的比率占了49%�,侵入之后進(jìn)行DoS攻擊的比率也高達(dá)39%。另外一份由卡巴斯基于2018年的統(tǒng)計(jì)調(diào)查也指出����,大部分工控系統(tǒng)上的漏洞屬于重大風(fēng)險(xiǎn)等級且可能會(huì)造成拒絕服務(wù)(DoS)攻擊,且其攻擊成功率也高達(dá)50%�。
2018年德國奧格斯堡大學(xué)與柏林自由大學(xué)發(fā)表的論文"You Snooze, You Lose: Measuring PLC Cycle Times Under Attacks"指出�,對可編程邏輯控制器(Programmable Logic Controller, PLC)發(fā)送洪水攻擊(Flooding Attack)���,能造成工控設(shè)備的物理控制過程中斷或失效��,達(dá)到拒絕服務(wù)(Denial-of-Service, DoS)攻擊的效果���。ICS-CERT于2019年12月12日針對此類可能造成可編程邏輯控制器周期時(shí)間影響(PLC Cycle Time Influences)的攻擊手法發(fā)布了一份報(bào)告,因其具有"可遠(yuǎn)程攻擊"��、"低技術(shù)要求"等特性��,因而將此問題編列為CVE-2019-10953漏洞�,并給予CVSSv3評7.5分,列為高風(fēng)險(xiǎn)漏洞(CVSS向量為AV:N / AC:L / PR:N / UI:N / S:U / C:N / I:N / A:H)�,受影響的設(shè)備包含了ABB, Phoenix Contact, Schneider Electric, Siemens, WAGO。
在制造業(yè)上��,近年國內(nèi)也在大力推動(dòng)智能制造���,鼓勵(lì)工業(yè)設(shè)備連網(wǎng)以提供完整的生產(chǎn)履歷并提升產(chǎn)品合格率��,過去因?yàn)楣S設(shè)備無連網(wǎng)需求����,對于網(wǎng)絡(luò)信息安全防護(hù)的概念十分薄弱。如果廠區(qū)的安全防護(hù)機(jī)制未能跟上現(xiàn)代的防護(hù)觀念���,極可能受DoS攻擊后便造成產(chǎn)線停擺���,對于制造業(yè)及相關(guān)的供應(yīng)鏈將造成極大損害,因此提升工控設(shè)備安全質(zhì)量來降低DoS攻擊的風(fēng)險(xiǎn)已是刻不容緩的事�����。
對物聯(lián)網(wǎng)安全的規(guī)范要求
物聯(lián)網(wǎng)設(shè)備安全問題漸漸攀升����,讓愈來愈多國家要求設(shè)備制造商提升設(shè)備本身的安全性�,例如美國在2016年11月發(fā)表《保護(hù)IoT策略準(zhǔn)則(Strategic Principles for Securing the Internet of Things)》;在工控領(lǐng)域也有工業(yè)自動(dòng)化控制系統(tǒng)(IACS)的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)來要求工控安全��。2019年2月27日國際電工委員會(huì)(IECEE)釋出工業(yè)自動(dòng)化控制系統(tǒng)的安全性第4-2部分(IEC 62443-4-2 : 2019)����,將資源可用性列為基礎(chǔ)要求的第七項(xiàng)(Fundamental Requirement No.7 : Resource Availability),其中元件要求第7.1項(xiàng)拒絕服務(wù)攻擊的防護(hù)(Component Requirement 7.1 : Denial of Service Protection)����,便針對工控設(shè)備遭到拒絕服務(wù)攻擊事件而影響效能時(shí)����,規(guī)定組件仍應(yīng)維持良好基本功能運(yùn)作�����。因此設(shè)備制造商將需在開發(fā)流程中驗(yàn)證并致力提升自身產(chǎn)品抵抗拒絕服務(wù)攻擊的能力����。
設(shè)備制造商面對DoS攻擊的因應(yīng)之道
連網(wǎng)的便利性與信息安全如何兼具,這一直都是企業(yè)高度關(guān)注的議題�����,對跨越連網(wǎng)設(shè)備的制造商而言���,如何為物聯(lián)網(wǎng)商品提升安全性更是一項(xiàng)新的挑戰(zhàn)����。然而面對物聯(lián)網(wǎng)信息安全也不是沒有方法可循�����,首先可以通過建立符合規(guī)范的產(chǎn)品開發(fā)流程,在每個(gè)階段導(dǎo)入安全設(shè)計(jì)重點(diǎn)���,落實(shí)Secure by Design的概念�����;在測試階段可以通過自動(dòng)化工具進(jìn)行測試以減少產(chǎn)品上市前的網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)�。
旗下的「HERCULES SecDevice漏洞檢測自動(dòng)化工具」�,具備檢測連網(wǎng)產(chǎn)品環(huán)境配置與安全性評估等自動(dòng)化功能,內(nèi)置120多個(gè)測試項(xiàng)目�����,可協(xié)助用戶在產(chǎn)品開發(fā)過程中發(fā)掘已知和未知漏洞���,其中模擬DoS攻擊的測試項(xiàng)目,可讓設(shè)備在測試過程模擬從數(shù)據(jù)鏈路層(Data Link Layer)至傳輸層(Transport Layer)協(xié)議的DoS攻擊���,達(dá)到拒絕服務(wù)攻擊的效果����,適合讓設(shè)備制造商進(jìn)行DoS攻擊演練與聯(lián)網(wǎng)設(shè)備安全強(qiáng)度測試����;「HERCULES SecFlow產(chǎn)品網(wǎng)絡(luò)信息安全管理系統(tǒng)」可讓研發(fā)團(tuán)隊(duì)在軟件設(shè)計(jì)與開發(fā)階段���,檢查所使用的第三方開放源代碼套件是否存在爭議性授權(quán)問題及重大網(wǎng)絡(luò)信息安全漏洞,開發(fā)過程層層把關(guān)�,進(jìn)一步提升產(chǎn)品安全性,并使產(chǎn)品符合法規(guī)要求�����,以降低網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)�����。
