乌克兰电网被黑,能源网络安全几何
发布时间:2017-02-10 08:37:00 点击:
日前,乌克兰伊万诺—弗兰科夫斯克地区数十万家庭遭遇大面积停电的新闻引发国际社会关注。很快,安全专家就证实,这是一起由黑客攻击引发的事件。随后,国外有安全公司声称已取得该事件的恶意代码。据悉,这是有史以来首次导致电网大规模停电的网络攻击,可谓工业控制(以下简称工控)安全领域又一起大事件。
电网是怎样被“黑”的?
国外安全公司研究人员证实,乌克兰电力部门所感染的是一款名为BlackEnergy(黑暗力量)的恶意软件,该软件不仅能够关闭电力设施中的关键系统,还能让黑客远程控制目标系统。据了解,Black Energy最初在2007年被发现,之后不断更新功能,可针对新闻机构、电力公司以及其他产业群体进行间谍活动。
本次攻击共包括3大部分:恶意软件、停机后的证据清理、指向电话系统的拒绝服务攻击。攻击者先在微软办公文档中嵌入恶意宏文件,再以邮件形式定向发送给目标企业,并通过伪装诱骗员工打开附件,从而将恶意代码植入乌克兰电力公司的SCADA(数据采集与监视控制系统),获得电力系统断路器的控制权限。之后,该代码又启动了恶意代码“KillDisk”(硬盘数据清除),破坏计算机硬盘驱动器的关键部分,以此销毁SCADA系统主机的数据。这一方面使电力设备的恢复变得更加艰难,另一方面使得后继调查人员难以取证。随后,黑客对电力企业的技术支持电话发起拒绝服务攻击,使得各大电力公司的呼叫中心一直处于忙碌状态,阻碍电力运营商远程修复工控系统主机。
分析整个事件,我们不难发现以下问题:
一、事件的罪魁祸首是恶意软件的集合。攻击者同时使用了Black Energy与KillDisk攻击电网工控系统,再加上对运营商远程修复所用的电话系统进行拒绝服务攻击,使打击更彻底。目前,还出现了另一种解释——最新的BlackEnergy还包括一个特殊后门,以帮助攻击者远程访问并感染电力系统。
二、工控安全领域缺乏理想的取证手段。在此类事件的调查中,最为关键的环节在于根据相关系统日志进行溯源分析。但是,目前众多工控系统缺少针对日志记录的取证审计功能。因此,当工控系统遭遇攻击或意外事故时,取证能力非常有限。
三、SCADA系统安全方面的薄弱性。SCADA系统被广泛应用于电网、能源、交通以及通讯等多个领域,但是安全性却相当薄弱。根据NSS实验室的漏洞威胁报告,2012年以来,有关重要基础设施如电网、供水、电信、交通等SCADA系统的漏洞数量增长了600%。
不仅仅是停电那么简单
工控系统是由计算机设备与工业过程控制部件组成的自动控制系统,是工业设施与自动化系统的中枢神经。随着互联网技术的高速发展,工控系统的网络化浪潮正在澎湃式推进。据美国某信息安全公司的研究报告,目前世界各国仍然有大量的工控系统接入互联网。就经济角度而言,这是一种便捷有效的方法,但从安全角度看,却是极其危险的行为。
一旦电力系统被黑客入侵,停电是较低级的危害,还可能导致信息外泄,甚至发生电力过载、电源故障、爆炸等可怕的后果,损失十分惨重。剑桥大学风险研究中心与某保险公司联合发布的报告显示,每破坏50个向电网供电的发电机,就会导致2430亿美元至1万亿美元的经济损失。
尽管此次乌克兰电网事件看似是一起滋扰级别的攻击活动,没有人员伤亡亦没有爆炸等后续状况,但安全专家担忧,对SCADA系统的攻击或可演变为针对国家重要基础设施进行毁灭性打击的现代军事手段。一旦电力与通信体系被破坏,国家调动防御、组织反击的能力必将受损。
当前,国际形势极为复杂,战争形态也发生了重大变化。有些国家专门成立了网军司令部,除了配合军队进行直接干扰和打击外,还可针对国家关键基础设施的指挥调度系统进行干预和破坏。网络武器很可能隐藏在政府机关、金融、航空航天、能源生产、化工车间等目标网络中,并在必要时发挥作用,达到电网瓦解、通信中断、飞机铁路无法正常运行、卫星指挥调度系统失灵等目的。
面对如此可怕的后果,难道我们要坐以待毙吗?答案显然是否定的。工控系统网络安全专家曾提出多项警告,指出整个行业亟须制定并实施防火墙、入侵检测以及加密等技术方案。事实上,针对这起电网攻击可以在3个阶段进行有效拦截。首先,对邮件内包含的所有文件进行动态行为鉴定,一旦判定为恶意行为就将其删除或隔离。第二,对系统关键进程进行监控,一旦发现可疑操作立即阻断其执行。第三,阻断恶意代码对外连接,设置IP黑白库,对系统外联的IP地址进行过滤,拦截与恶意服务器交互的所有网络数据包。
随着能源互联网等概念的兴起及电力市场改革的不断推进,未来大量的终端用户可能会通过无线通信、互联网等方式与能源系统产生信息互动。目前,中国智能电网建设正如火如荼地推进,电网企业刚刚体验到大数据、信息化的方便快捷。因此,国家相关部门应当尽早从国家安全的角度制定互联网接入型电力工控服务方案的标准,推动制定国家电力行业信息安全战略,尽快建立相对成熟的电网信息安全保护机制。至少,应当对电力工控系统中的危险因素深入了解,形成完整的应急响应预案。
电网是怎样被“黑”的?
国外安全公司研究人员证实,乌克兰电力部门所感染的是一款名为BlackEnergy(黑暗力量)的恶意软件,该软件不仅能够关闭电力设施中的关键系统,还能让黑客远程控制目标系统。据了解,Black Energy最初在2007年被发现,之后不断更新功能,可针对新闻机构、电力公司以及其他产业群体进行间谍活动。
本次攻击共包括3大部分:恶意软件、停机后的证据清理、指向电话系统的拒绝服务攻击。攻击者先在微软办公文档中嵌入恶意宏文件,再以邮件形式定向发送给目标企业,并通过伪装诱骗员工打开附件,从而将恶意代码植入乌克兰电力公司的SCADA(数据采集与监视控制系统),获得电力系统断路器的控制权限。之后,该代码又启动了恶意代码“KillDisk”(硬盘数据清除),破坏计算机硬盘驱动器的关键部分,以此销毁SCADA系统主机的数据。这一方面使电力设备的恢复变得更加艰难,另一方面使得后继调查人员难以取证。随后,黑客对电力企业的技术支持电话发起拒绝服务攻击,使得各大电力公司的呼叫中心一直处于忙碌状态,阻碍电力运营商远程修复工控系统主机。
分析整个事件,我们不难发现以下问题:
一、事件的罪魁祸首是恶意软件的集合。攻击者同时使用了Black Energy与KillDisk攻击电网工控系统,再加上对运营商远程修复所用的电话系统进行拒绝服务攻击,使打击更彻底。目前,还出现了另一种解释——最新的BlackEnergy还包括一个特殊后门,以帮助攻击者远程访问并感染电力系统。
二、工控安全领域缺乏理想的取证手段。在此类事件的调查中,最为关键的环节在于根据相关系统日志进行溯源分析。但是,目前众多工控系统缺少针对日志记录的取证审计功能。因此,当工控系统遭遇攻击或意外事故时,取证能力非常有限。
三、SCADA系统安全方面的薄弱性。SCADA系统被广泛应用于电网、能源、交通以及通讯等多个领域,但是安全性却相当薄弱。根据NSS实验室的漏洞威胁报告,2012年以来,有关重要基础设施如电网、供水、电信、交通等SCADA系统的漏洞数量增长了600%。
不仅仅是停电那么简单
工控系统是由计算机设备与工业过程控制部件组成的自动控制系统,是工业设施与自动化系统的中枢神经。随着互联网技术的高速发展,工控系统的网络化浪潮正在澎湃式推进。据美国某信息安全公司的研究报告,目前世界各国仍然有大量的工控系统接入互联网。就经济角度而言,这是一种便捷有效的方法,但从安全角度看,却是极其危险的行为。
一旦电力系统被黑客入侵,停电是较低级的危害,还可能导致信息外泄,甚至发生电力过载、电源故障、爆炸等可怕的后果,损失十分惨重。剑桥大学风险研究中心与某保险公司联合发布的报告显示,每破坏50个向电网供电的发电机,就会导致2430亿美元至1万亿美元的经济损失。
尽管此次乌克兰电网事件看似是一起滋扰级别的攻击活动,没有人员伤亡亦没有爆炸等后续状况,但安全专家担忧,对SCADA系统的攻击或可演变为针对国家重要基础设施进行毁灭性打击的现代军事手段。一旦电力与通信体系被破坏,国家调动防御、组织反击的能力必将受损。
当前,国际形势极为复杂,战争形态也发生了重大变化。有些国家专门成立了网军司令部,除了配合军队进行直接干扰和打击外,还可针对国家关键基础设施的指挥调度系统进行干预和破坏。网络武器很可能隐藏在政府机关、金融、航空航天、能源生产、化工车间等目标网络中,并在必要时发挥作用,达到电网瓦解、通信中断、飞机铁路无法正常运行、卫星指挥调度系统失灵等目的。
面对如此可怕的后果,难道我们要坐以待毙吗?答案显然是否定的。工控系统网络安全专家曾提出多项警告,指出整个行业亟须制定并实施防火墙、入侵检测以及加密等技术方案。事实上,针对这起电网攻击可以在3个阶段进行有效拦截。首先,对邮件内包含的所有文件进行动态行为鉴定,一旦判定为恶意行为就将其删除或隔离。第二,对系统关键进程进行监控,一旦发现可疑操作立即阻断其执行。第三,阻断恶意代码对外连接,设置IP黑白库,对系统外联的IP地址进行过滤,拦截与恶意服务器交互的所有网络数据包。
随着能源互联网等概念的兴起及电力市场改革的不断推进,未来大量的终端用户可能会通过无线通信、互联网等方式与能源系统产生信息互动。目前,中国智能电网建设正如火如荼地推进,电网企业刚刚体验到大数据、信息化的方便快捷。因此,国家相关部门应当尽早从国家安全的角度制定互联网接入型电力工控服务方案的标准,推动制定国家电力行业信息安全战略,尽快建立相对成熟的电网信息安全保护机制。至少,应当对电力工控系统中的危险因素深入了解,形成完整的应急响应预案。
文章评论