今年2月,根据微盟官网消息,微盟的业务系统数据库(包括主备)遭遇公司内部运维人员删除。事件发生后,微盟技术团队努力恢复数据,但恢复进展较慢。截至3月1日晚8点,微盟已全面找回公司数据,并拟定了约1.5亿元的赔付计划。此次事件不仅影响到了微盟众多用户的数据安全与业务开展,而且微盟经济受到了严重影响,客户信任也遭受了沉重打击。
随着数字时代来临,不断发展的网络技术也伴随着日益严峻的网络威胁,如同"特洛伊战争"的故事一般,在重视外部威胁的同时,也需要留意来自于内部的威胁。
内部攻击
通常,手握工业控制系统网络合法访问权的,有雇员、承包商和第三方集成商。但是大多数的工业控制系统网络没有任何身份验证或存在过度放权、缺乏权限矩阵等情况,不少内部人员都能在网络中的任意设备上自由来往。制造业企业中,对于具有一定工控设备知识,了解生产网络中设备通信过程,掌握设备功能/影响的潜在攻击者而言,之前所描述的生产网几乎处于不设防的状态。
2000年3月,澳大利亚昆士兰新建的马卢奇污水处理厂出现故障,无线连接信号丢失,污水泵工作异常,报警器也没有报警。本以为是新系统的磨合问题,后来发现是该厂前工程师Vitek Boden因不满工作续约被拒而蓄意报复所为。这位前工程师通过一台手提电脑和一个无线发射器控制了大约140个污水泵站;前后三个多月,总计有100万公升的污水未经处理直接经雨水渠排入当地的公园和河流中,导致当地环境受到严重破坏。
对于"几乎不设防"的生产网络而言,攻击者一旦有权限接入到生产网,可能进行以下攻击:
- 攻击者可以轻易连接PLC改写其中组态(配置)、程序和数据。
- 攻击者可以在HMI面板中加入自己的脚本,实现对PLC数据的(定时/反复)修改
- 攻击者可以绕过形同虚设或不存在的认证,通过设备的管理界面(高级的伺服驱动控制器和机械臂都有独立的管理界面),绕过PLC直接访问/操作这些设备。
- 攻击者可以通过实施ARP欺骗或直接操纵工业交换机等方式,截取并篡改明文(如modbus)或几乎是明文(S7等)的工控设备通信数据。
由于通过改写程序/配置/点位数据是可以屏蔽/破坏产线物理安全机制的,一旦引发人身伤害事故,则影响将极其恶劣。
内部人为失误
另一方面,员工工作过程中无意间引入的安全威胁同样值得引起警惕。
最近,由于国内疫情防范的需要,许多企业都产生了远程办公的需求,员工需要远程连接到公司网络进行正常办公。若某个员工为了自身的使用方便,而擅自将内网中某台主机的远程连接端口映射到互联网上供自己使用,这就很可能成为攻击者的渗漏点,并将办公网络乃至工业网络暴露给外部攻击。
相比较于有意的内部攻击行为,人为失误也是需要得到重视的内部威胁之一,企业中难免偶尔会出现各类原因导致的失误,而这些失误有时却会导致非常重大的损失。人为失误中,不正确的设置、配置和可编程逻辑控制器(PLC)编程错误,能导致工作流中的危险改变;而可被外部攻击者利用的漏洞,也会由人为失误导致,例如:因项目需求而为集成商创建的临时连接与权限,在项目结束后却未能及时回收,导致"门户大开"。
如何应对?
企业应当如何应对内部威胁,才能避免组织在不经意间被"直击要害"?
博弋建议,企业应当从技术与管理上双管齐下,至少要做到严格落实网络隔离与访问控制,遵循最小权限原则分配权限,辅以员工安全教育。以此来提升自身安全防护能力,最大限度降低内部威胁影响。
若您关心内部威胁防控乃至企业信息安全管理体系建设,欢迎联系我们。
上海博弋信息科技有限公司是一家专业的网络空间安全服务提供商,尤其在大数据安全分析、信息安全风险评估、网络安全等级保护建设咨询、ISO/IEC 27001标准体系建设、信息安全监控和应急响应等方面拥有丰富的实施经验。博弋科技顺应网络空间安全时代变迁,率先提出"三全一高"的安全服务理念,致力于通过构建大数据分析平台为客户提供优质专业的安全保障服务,帮助客户全面提升信息安全水平。
