工控网络安全面临严重安全威胁危如累卵

　　国国土安全部ICS-CERT本周发布了关于工业控制系统（简称ICS）的三项安全公告，再次强调基础设施与工业络当前所面临的严重安全威胁。

　　在最近一篇汇总ICS当前威胁形势的博文当中，Fortinet公司的RuchnaNigam强调指出：“大多数工业控制系统来自不同供应商且运行着专有操作系统、应用程序以及协议（包括通用电气、罗克韦尔、DNP 以及Modbus）。结果就是，基于主机且面向IT部门开发的安全方案几乎根本不适用于ICS。”

　　这无疑使得ICS的安全性更为薄弱，而且需要完全由供应商负责找到并解决安全漏洞。此次发布的三项公告所援引的全部已发现漏洞皆由供应商独立识别并报告——然而，我们却很难验证其修复手段是否真正解决了问题。

　　最近曾发现罗克韦尔IAB安全漏洞的IvanSanchez对此感到相当震惊。在日常工作当中，他不断搜索并发现新的ICS安全漏洞。就在去年，他发布报告指出，单是罗克韦尔公司一家的产品就存在超过150项风险问题。一般来讲，在报告相关问题之后，相关企业都会向他做出进一步咨询。

　　“在95%的情况下，企业会请求我重新进行测试，然后再发布最终公告意见，”Sanchez在接受采访时指出。“我认为企业应当询问相关安全漏洞的具体细节，而非对只对当前发现的问题表示‘感谢’。”

　　公告ICSA-描述了罗克韦尔自动化公司旗下集成化架构构建工具（简称IAB）应用中的一项内存访问冲突错误。一旦被成功利用，其将允许攻击者以等同于IAB工具的权限执行恶意代码。其只能由本地用户加以利用，而且目前已经得到修复。不过在安装最新版本之前，仍然建议用户避免利用e打开任何非受信项目文件；另外，应以‘用户’角色运行全部软件，而非以‘管理员’角色运行。

　　公告ICSA- 描述了一项基于cookie的安全漏洞，其允许远程攻击者通过EG2WebControl对EatonLightingSystems进行配置。Eaton方面已经修复了这项漏洞，但仍需时间将其推广至全部系统当中。

　　公告ICSA-描述了Pro-face旗下GP-ProEXHMI软件中的四项安全漏洞：其一导致信息泄露，两项属于缓冲区溢出，另一项则为硬编码凭证问题。目前四项漏洞皆已得到修复。

　　一系列强有力的证据表明，目前ICS安全问题要远比Fortinet博文中的陈述更加可怕。

　　事实上，IvanSanchez在采访中表示，“ICS业界必须改进自身代码质量并引入安全与审计控制机制。我已经对三成已经发现的问题进行了公布，而该行业还没有充足的时间将其全部修复——因此我得说，这绝对是个大麻烦。”

　　尽管问题的客观性已经成为共识，但就目前而言其很大程度上仍只是种潜在问题。

　　《化工设施安全》作者PatrickCoyle解释称，“一方面，几乎每一套控制系统当中都存在着大量安全漏洞，我们需要对其认真评估并阻止一切将其作为目标的入侵活动。而在另一方面，这些ICS控制系统实在太过复杂，组织起有效的进攻方案需要极为丰富的ICS相关专业知识。”

　　他预计未来攻击活动将持续增加，但这种增加主要体现在质量而非数量层面。“我认为我们将看到更多指向ICS的低效攻击行为。正如Verizon报告的水力系统入侵事件一样，攻击者仅仅是随意修改了设定值，但其很快被发现，而安全系统或警报操作员则轻松解决了问题。”事实上，那些蓄谋已久的恶意活动才最为可怕。

　　不过他提醒称，“我最担心的问题在于，一部分恶意人士可能会利用勒索软件锁定关键性基础设施。这并不需要什么高深的专业知识，只要能够侵入该系统即可。”