美国能源部 (DOE)、美国国家标准技术局和许多私营机构都曾呼吁弥合 IT 系统和控制系统在安全原则上的鸿沟。通过建立类似国家能源法规委员会(NERC)的传统IT流程和法规遵从框架,可以实现上述目标。
有关控制系统的安全保护需求已经讨论了一段时间,但在得出结论之前,新威胁就出现了。让我们看一看在控制系统领域已经发生了什么:概念证明攻击、意外实例、不满员工的恶作剧、由于掌握的证据太少而无法确定其真实意图的针对特定实例的攻击。
2009年一切开始改变,4月7日NERC发布了一份公开警告,提示某种来自境外实体的恶意软件攻击已在电网中露出苗头。这就是目前声名大噪的Stuxnet攻击。让我们假设Stuxnet 意欲破坏电网、并将重要信息传给不法分子,来了解一下Stuxnet攻击的复杂性。
毋庸置疑,在 Microsoft Windows 中寻找一个支持代码执行的零日漏洞需要相当的专业知识,不过这样的例子也屡见不鲜。了解对控制系统的攻击方式就能明晰这一攻击异乎寻常的复杂性。
攻击者了解通常SCADA 系统会限制通过以太网端口的网络访问和通过USB设备的物理访问。同时攻击者还要拥有西门子控制系统的相应知识,这种知识对于在控制系统领域实施攻击以及找到访问数据库所需的默认硬编码密码均大有帮助。此类攻击的复杂性可见一斑。
最后一点,攻击者如何伪造认证凭据?整体而言,这是一个异乎寻常的复杂攻击。
如何抵御 Stuxnet
如何有效防范这一攻击?迈克菲有几种不同的工具能够有效应对这一特定威胁。我们需要将此威胁分为三个不同的组成部分,逐一攻克。
首先是恶意软件,借助6046 版DAT,迈克菲提供了针对 Stuxnet 蠕虫的检测功能。迈克菲的解决方案不仅能够检测而且能够清除与这一威胁相关的组件。另外,无需签名更新,McAfee Application Control(原名称为Solidcore)产品,即可有效防止与这一威胁相关的感染、恶意代码执行和恶意有效负载。
其次是漏洞,通过迈克菲在2010 年7 月 16 日进行的 Vulnerability Manager 检查,发现了该Windows 漏洞。Vulnerability Manager 可以发现所有可能遭受这一威胁攻击的系统。
最后一点是攻击媒介。USB 驱动器是主要的感染机制之一,这类设备在控制系统世界里无孔不入。该攻击媒介能够帮助“攻击”绕过外围安全措施。类似 McAfee Device Control的安全工具所嵌入的恶意软件防护技术使用户能够将计算机锁定为只接受经批准的USB设备。这有助于降低整体安全风险。
