近年來，隨著工業(yè)控制系統(tǒng)網(wǎng)絡(luò)和物聯(lián)網(wǎng)環(huán)境變得更加開放與多變，工業(yè)控制系統(tǒng)則相對變得更加脆弱，工業(yè)控制系統(tǒng)的各種網(wǎng)絡(luò)攻擊事件日益增多，暴露出工業(yè)控制系統(tǒng)在安全防護(hù)方面的嚴(yán)重不足。工業(yè)控制系統(tǒng)的安全性面臨巨大的挑戰(zhàn)。僅僅2018年，就爆發(fā)了多次工控安全事件。我們僅以其中比較有代表性的八次典型工控安全事件為例，以此正視工業(yè)控制系統(tǒng)所面臨的安全威脅。

　　1、羅克韋爾工控設(shè)備曝多項嚴(yán)重漏洞

　　2018年3月，思科Talos安全研究團(tuán)隊發(fā)文指出羅克韋爾自動化公司的 Allen-Bradley MicroLogix 1400系列PLC中存在多項嚴(yán)重安全漏洞，這些漏洞可用來發(fā)起拒絕服務(wù)攻擊、篡改設(shè)備的配置和梯形邏輯、寫入或刪除內(nèi)存模塊上的數(shù)據(jù)等。該系列可編程邏輯控制器被各關(guān)鍵基礎(chǔ)設(shè)施部門廣泛運(yùn)用于工業(yè)控制系統(tǒng)的執(zhí)行過程控制，一旦被利用將會導(dǎo)致嚴(yán)重的損害。思科Talos團(tuán)隊建議使用受影響設(shè)備的組織機(jī)構(gòu)將固件升級到最新版本，并盡量避免將控制系統(tǒng)設(shè)備以及相關(guān)系統(tǒng)直接暴露在互聯(lián)網(wǎng)中。

　　2、俄黑客對美國核電站和供水設(shè)施攻擊事件

　　2018年3月，美國計算機(jī)應(yīng)急準(zhǔn)備小組發(fā)布了一則安全通告TA18-074A，詳細(xì)描述了俄羅斯黑客針對美國某發(fā)電廠的網(wǎng)絡(luò)攻擊事件。通告稱俄黑客組織通過（1）收集目標(biāo)相關(guān)的互聯(lián)網(wǎng)信息和使用的開源系統(tǒng)的源代碼；（2）盜用合法賬號發(fā)送魚叉式釣魚電子郵件；（3）在受信任網(wǎng)站插入Java或PHP代碼進(jìn)行水坑攻擊；（4）利用釣魚郵件和水坑攻擊收集用戶登錄憑證信息；（5）構(gòu)建基于操作系統(tǒng)和工業(yè)控制系統(tǒng)的攻擊代碼發(fā)起攻擊。本次攻擊的主要目的是以收集情報為主，攻擊者植入了收集信息的程序，該程序捕獲屏幕截圖，記錄有關(guān)計算機(jī)的詳細(xì)信息，并在該計算機(jī)上保存有關(guān)用戶帳戶的信息。此安全事件告誡我們：加強(qiáng)員工安全意識教育和管理是十分必要的，如密碼定期更換且不復(fù)用，安裝防病毒軟件并確保及時更新等。

　　3、俄羅斯黑客入侵美國電網(wǎng)

　　2018年7月，一位美國國土安全部官員稱：“我們跟蹤到一個行蹤隱秘的俄羅斯黑客，該人有可能為政府資助組織工作。他先是侵入了主要供應(yīng)商的網(wǎng)絡(luò)，并利用前者與電力公司建立的信任關(guān)系輕松侵入到電力公司的安全網(wǎng)絡(luò)系統(tǒng)?！?/p>

　　11月30日，火眼的分析員Alex Orleans指出“目前仍然有瞄準(zhǔn)美國電網(wǎng)的俄羅斯網(wǎng)絡(luò)間諜活動，電網(wǎng)仍然會遭受到不斷的攻擊”，火眼（FireEye）已經(jīng)識別出一組俄羅斯網(wǎng)絡(luò)集團(tuán)通過TEMP Isotope, Dragonfly 2.0 和Energetic Bear.等漏洞進(jìn)行試探和攻擊。這組黑客依賴于現(xiàn)成黑客工具和自制后門技術(shù)的組合，盡管美國的電網(wǎng)已經(jīng)通過NERC發(fā)布的一系列CIP 標(biāo)準(zhǔn)增強(qiáng)了網(wǎng)絡(luò)防御能力。但是并不是每一處的電網(wǎng)組成設(shè)施都固若金湯，比如部分承包給本地企業(yè)的地方電網(wǎng)的網(wǎng)絡(luò)防御能力就非常差，這留給了來自俄羅斯（包括伊朗和朝鮮）的網(wǎng)絡(luò)黑客們可乘之機(jī)。

　　與中國情況不同，美國的電網(wǎng)是由很多獨立的企業(yè)管控，在安全性、可控性方面比較弱。入侵者攻擊該系統(tǒng)不受保護(hù)的弱點，而數(shù)以百計的承包商和分包商毫無防備。所以連美國官方都無法統(tǒng)計有多少企業(yè)和供應(yīng)商被攻擊并蒙受損失。

　　4、臺積電遭勒索病毒入侵，致三個生產(chǎn)基地停擺

　　8月3日晚間，臺積電位于臺灣新竹科學(xué)園區(qū)的12英寸晶圓廠和營運(yùn)總部的部分生產(chǎn)設(shè)備受到魔窟勒索病毒W(wǎng)annaCry勒索病毒的一個變種感染，具體現(xiàn)象是電腦藍(lán)屏，鎖各類文檔、數(shù)據(jù)庫，設(shè)備宕機(jī)或重復(fù)開機(jī)。幾個小時之內(nèi)，臺積電位于臺中科學(xué)園區(qū)的Fab 15廠，以及臺南科學(xué)園區(qū)的Fab 14廠也陸續(xù)被感染，這代表臺積電在臺灣北、中、南三處重要生產(chǎn)基地，同步因為病毒入侵而導(dǎo)致生產(chǎn)線停擺。經(jīng)過應(yīng)急處置，截止8月5日下午2點，該公司約80%受影響設(shè)備恢復(fù)正常，至8月6日下午，生產(chǎn)線已經(jīng)全部恢復(fù)生產(chǎn)。損失高達(dá)26億。

　　此次事件原因是員工在安裝新設(shè)備的過程時，沒有事先做好隔離和離線安全檢查工作，導(dǎo)致新設(shè)備連接到公司內(nèi)部網(wǎng)絡(luò)后，病毒快速傳播，并最終影響整個生產(chǎn)線。

　　5、西門子PLC、SCADA等工控系統(tǒng)曝兩個高危漏洞

　　8月7日，西門子發(fā)布官方公告稱，其用于SIMATIC STEP7和SIMATIC WinCC產(chǎn)品的TIA Portal（Totally Integrated Automation Portal全集成自動化門戶）軟件存在兩個高危漏洞（CVE-2018-11453和CVE-2018-11454）。影響范圍包括兩款產(chǎn)品V10、V11、V12、V13的所有版本，以及V14中小于SP1 Update 6和V15中小于Update 2的版本。TIA Portal是西門子的一款可讓企業(yè)不受限制地訪問公司自動化服務(wù)的軟件。由于TIA Portal廣泛適用于西門子PLC（如S7-1200、S7-300/400、S7-1500等）、SCADA等工控系統(tǒng)，以上兩個漏洞將對基于西門子產(chǎn)品的工業(yè)控制系統(tǒng)環(huán)境造成重大風(fēng)險。據(jù)國家工業(yè)信息安全發(fā)展研究中心監(jiān)測發(fā)現(xiàn)，我國可能受到該漏洞影響的聯(lián)網(wǎng)西門子STEP 7、Wincc產(chǎn)品達(dá)138個。

　　本次發(fā)現(xiàn)的兩個高危漏洞中，CVE-2018-11453可讓攻擊者在得到訪問本地文件系統(tǒng)的權(quán)限后，通過插入特制文件實現(xiàn)對TIA Portal的拒絕服務(wù)攻擊或執(zhí)行任意代碼；CVE-2018-11454可讓攻擊者利用特定TIA Portal目錄中的錯誤文件權(quán)限配置，操縱目錄內(nèi)的資源（如添加惡意負(fù)載等），并在該資源被合法用戶發(fā)送到目標(biāo)設(shè)備后實現(xiàn)遠(yuǎn)程控制。

　　6、Rockwell（羅克韋爾自動化有限公司）和ICS-CERT發(fā)布通報

　　2018年9月，Rockwell（羅克韋爾自動化有限公司）和ICS-CERT發(fā)布通報稱， Rockwell的RSLinx Classic軟件存在三個高危漏洞（CVE-2018-14829、CVE-2018-14821和CVE-2018-14827），影響范圍包括RSLinx Classic 4.00.01及之前版本，一旦被成功利用可能實現(xiàn)任意代碼執(zhí)行甚至導(dǎo)致設(shè)備系統(tǒng)崩潰。

　　RSLinx Classic是一款Rockwell開發(fā)的專用工業(yè)軟件，用于實現(xiàn)對Rockwell相關(guān)設(shè)備、網(wǎng)絡(luò)產(chǎn)品的統(tǒng)一配置管理，具有數(shù)據(jù)采集、控制器編程、人機(jī)交互等功能，廣泛應(yīng)用于能源、制造、污水處理等領(lǐng)域。

　　這三個高危漏洞的利用方式都是通過44818端口進(jìn)行遠(yuǎn)程攻擊或破壞，其中CVE-2018-14829為基于棧的緩沖區(qū)溢出漏洞，攻擊者可以通過發(fā)送含有惡意代碼的數(shù)據(jù)包，實現(xiàn)在主機(jī)上的任意代碼執(zhí)行、讀取敏感信息或?qū)е孪到y(tǒng)崩潰等；CVE-2018-14821為基于堆的緩沖區(qū)溢出漏洞，攻擊者可以通過發(fā)送含有惡意代碼的數(shù)據(jù)包，導(dǎo)致應(yīng)用程序終止運(yùn)行；CVE-2018-14827為資源耗盡漏洞，攻擊者可以通過發(fā)送特制的Ethernet/IP數(shù)據(jù)包，導(dǎo)致應(yīng)用程序崩潰。

　　7、意大利石油與天然氣開采公司Saipem遭受網(wǎng)絡(luò)攻擊

　　12月10日，意大利石油與天然氣開采公司Saipem遭受網(wǎng)絡(luò)攻擊，主要影響了其在中東的服務(wù)器，包括沙特阿拉伯、阿拉伯聯(lián)合酋長國和科威特，造成公司10%的主機(jī)數(shù)據(jù)被破壞。Saipem發(fā)布公告證實此次網(wǎng)絡(luò)攻擊的罪魁禍?zhǔn)资荢hamoon惡意軟件的變種。

　　公告顯示，Shamoon惡意軟件襲擊了該公司在中東，印度等地的服務(wù)器，導(dǎo)致數(shù)據(jù)和基礎(chǔ)設(shè)施受損，公司通過備份緩慢的恢復(fù)數(shù)據(jù)，沒有造成數(shù)據(jù)丟失，此次攻擊來自印度金奈，但攻擊者的身份尚不明確。

　　Shamoon主要“功能”為擦除主機(jī)數(shù)據(jù)，并向受害者展示一條消息，通常與政治有關(guān)，另外Shamoon還包括一個功能完備的勒索軟件模塊擦拭功能。攻擊者獲取被感染計算機(jī)網(wǎng)絡(luò)的管理員憑證后，利用管理憑證在組織內(nèi)廣泛傳播擦除器。然后在預(yù)定的日期激活磁盤擦除器，擦除主機(jī)數(shù)據(jù)。

　　8、施耐德聯(lián)合ICS-CERT發(fā)布高危漏洞

　　2018年12月，施耐德電氣有限公司（Schneider Electric SA）和CNCERT下屬的工業(yè)互聯(lián)網(wǎng)安全應(yīng)急響應(yīng)中心ICS-CERT發(fā)布通報稱，Modicon M221全系PLC存在數(shù)據(jù)真實性驗證不足高危漏洞（CVE-2018-7798），一旦被成功利用可遠(yuǎn)程更改PLC的IPv4配置致使通信異常。

　　Modicon M221全系PLC是施耐德電氣有限公司所設(shè)計的可編程邏輯控制器，可通過以太網(wǎng)和Modbus協(xié)議進(jìn)行網(wǎng)絡(luò)通訊。CVE-2018-7798高危漏洞是由于Modicon M221 PLC中UMAS協(xié)議的網(wǎng)絡(luò)配置模塊實現(xiàn)不合理，未對數(shù)據(jù)真實性進(jìn)行充分驗證，導(dǎo)致攻擊者可遠(yuǎn)程更改IPv4配置參數(shù)，例如IP地址、子網(wǎng)掩碼和網(wǎng)關(guān)等，從而攔截目標(biāo)PLC的網(wǎng)絡(luò)流量。

　　縱觀整個2018年，各類威脅數(shù)據(jù)持續(xù)上升。但是幸運(yùn)的是，政產(chǎn)學(xué)研各界已經(jīng)紛紛意識到工控系統(tǒng)網(wǎng)絡(luò)安全的重要性，并采取措施加強(qiáng)預(yù)警，爭取防患于未然。工業(yè)互聯(lián)網(wǎng)在國內(nèi)的推進(jìn)無論從國家政策層面還是企業(yè)實際落地層面都得到了積極的重視，而對工業(yè)互聯(lián)網(wǎng)的信息安全保障也是一樣的，伴隨著國家“互聯(lián)網(wǎng)+制造業(yè)”等政策的不斷推進(jìn)落實，工業(yè)互聯(lián)網(wǎng)的推進(jìn)速度必將不斷加快，工控安全行業(yè)任重而道遠(yuǎn)。