今年2月,根據微盟官網消息,微盟的業務系統數據庫(包括主備)遭遇公司內部運維人員刪除。事件發生後,微盟技術團隊努力恢復數據,但恢復進展較慢。截至3月1日晚8點,微盟已全面找回公司數據,並擬定了約1.5億元的賠付計劃。此次事件不僅影響到了微盟眾多用戶的數據安全與業務開展,而且微盟經濟受到了嚴重影響,客戶信任也遭受了沉重打擊。
隨著數字時代來臨,不斷髮展的網絡技術也伴隨著日益嚴峻的網絡威脅,如同"特洛伊戰爭"的故事一般,在重視外部威脅的同時,也需要留意來自於內部的威脅。
內部攻擊
通常,手握工業控制系統網絡合法訪問權的,有僱員、承包商和第三方集成商。但是大多數的工業控制系統網絡沒有任何身份驗證或存在過度放權、缺乏權限矩陣等情況,不少內部人員都能在網絡中的任意設備上自由來往。製造業企業中,對於具有一定工控設備知識,瞭解生產網絡中設備通信過程,掌握設備功能/影響的潛在攻擊者而言,之前所描述的生產網幾乎處於不設防的狀態。
2000年3月,澳大利亞昆士蘭新建的馬盧奇汙水處理廠出現故障,無線連接信號丟失,汙水泵工作異常,報警器也沒有報警。本以為是新系統的磨合問題,後來發現是該廠前工程師Vitek Boden因不滿工作續約被拒而蓄意報復所為。這位前工程師通過一臺手提電腦和一個無線發射器控制了大約140個汙水泵站;前後三個多月,總計有100萬公升的汙水未經處理直接經雨水渠排入當地的公園和河流中,導致當地環境受到嚴重破壞。
對於"幾乎不設防"的生產網絡而言,攻擊者一旦有權限接入到生產網,可能進行以下攻擊:
- 攻擊者可以輕易連接PLC改寫其中組態(配置)、程序和數據。
- 攻擊者可以在HMI面板中加入自己的腳本,實現對PLC數據的(定時/反覆)修改
- 攻擊者可以繞過形同虛設或不存在的認證,通過設備的管理界面(高級的伺服驅動控制器和機械臂都有獨立的管理界面),繞過PLC直接訪問/操作這些設備。
- 攻擊者可以通過實施ARP欺騙或直接操縱工業交換機等方式,截取並篡改明文(如modbus)或幾乎是明文(S7等)的工控設備通信數據。
由於通過改寫程序/配置/點位數據是可以屏蔽/破壞產線物理安全機制的,一旦引發人身傷害事故,則影響將極其惡劣。
內部人為失誤
另一方面,員工工作過程中無意間引入的安全威脅同樣值得引起警惕。
最近,由於國內疫情防範的需要,許多企業都產生了遠程辦公的需求,員工需要遠程連接到公司網絡進行正常辦公。若某個員工為了自身的使用方便,而擅自將內網中某臺主機的遠程連接端口映射到互聯網上供自己使用,這就很可能成為攻擊者的滲漏點,並將辦公網絡乃至工業網絡暴露給外部攻擊。
相比較於有意的內部攻擊行為,人為失誤也是需要得到重視的內部威脅之一,企業中難免偶爾會出現各類原因導致的失誤,而這些失誤有時卻會導致非常重大的損失。人為失誤中,不正確的設置、配置和可編程邏輯控制器(PLC)編程錯誤,能導致工作流中的危險改變;而可被外部攻擊者利用的漏洞,也會由人為失誤導致,例如:因項目需求而為集成商創建的臨時連接與權限,在項目結束後卻未能及時回收,導致"門戶大開"。
如何應對?
企業應當如何應對內部威脅,才能避免組織在不經意間被"直擊要害"?
博弋建議,企業應當從技術與管理上雙管齊下,至少要做到嚴格落實網絡隔離與訪問控制,遵循最小權限原則分配權限,輔以員工安全教育。以此來提升自身安全防護能力,最大限度降低內部威脅影響。
若您關心內部威脅防控乃至企業信息安全管理體系建設,歡迎聯繫我們。
上海博弋信息科技有限公司是一家專業的網絡空間安全服務提供商,尤其在大數據安全分析、信息安全風險評估、網絡安全等級保護建設諮詢、ISO/IEC 27001標準體系建設、信息安全監控和應急響應等方面擁有豐富的實施經驗。博弋科技順應網絡空間安全時代變遷,率先提出"三全一高"的安全服務理念,致力於通過構建大數據分析平臺為客戶提供優質專業的安全保障服務,幫助客戶全面提升信息安全水平。
