黑客攻擊從其目的性可以分爲炫技、破壞、金錢利益、軍事目的、組織或國家行爲等類別,對於以個人利益爲主的大多數黑帽子而言,竊取關鍵數據、以及通過黑客行爲獲取經濟利益是其網絡攻擊的主要目的。
因工控網絡的封閉性,傳統的木馬、後門程序無法完成敏感數據的回傳,同時工業數據除關鍵的工藝流程外對數據的保密性無嚴格要求,因此攻擊者需要從傳統的網絡攻擊中轉變思路,思考如何將工控環境下的黑客行爲變爲數量可觀的經濟收益,本次Wannacry勒索軟件事件則可能爲工控場景下的黑客行爲帶來些許啓示。
截止2017年5月17日,全球150多個國家和地區,超過30萬臺設備受到Wannacry勒索軟件感染和影響,攻擊者已獲得價值72624.61美元的比特幣。全球範圍內約304萬個IP地址遭受攻擊,我國境內的IP地址數量約爲9.4萬個,其中發起Wannacry攻擊(可能已被感染)的我國境內IP數量爲2.6萬個。隨着攻擊的持續發展,Wannacry已成功滲入到我國石油、化工、汽車製造等工業領域,感染勒索軟件的工程師站、操作站、上位機系統無法正常運行,嚴重影響了工控系統的可用性和連續性。可以設想,Wannacry等勒索軟件在普通Windows主機鎖定、數據加密的基礎上,加入針對PLC等控制器的鎖定、加密模塊,不對關鍵控制設備造成物理破壞,從而使受害者被迫支付贖金,以實現生產活動的快速恢復。
2016年7月,卡巴斯基安全情報組公佈了一份針對漏洞和不安全協議的報告,工業控制網絡存在大量已知漏洞,且漏洞長期處於無修補狀態。由於操作習慣、工業協議以及軟件供應商等原因,工業控制系統中普遍採用Windows主機進行數據採集與流程控制。由於控制網絡的封閉性以及供應商組態軟件的兼容性問題,造成工業場景內Windows主機含有大量的已知漏洞,且多爲拒絕服務、遠程代碼執行、緩衝區溢出等高危漏洞,也爲勒索軟件在工控網絡的傳播、感染提供了技術基礎。
相信在不遠的未來,針對工業場景的勒索軟件將會出現在人們的視野中,單純的工控網絡隔離已無法有效對抗當下的黑客活動,工控安全應在網絡隔離的基礎上對關鍵設備、功能區域、系統網絡進行綜合防護。以工業防火牆、工業網閘、工控安全審計與監測平臺、工控安全監控管理平臺等爲基礎,構建工控安全技術體系和管理體系,同時向供應鏈方向進行安全擴展(如選擇採用自主安全操作系統的安全產品),降低工控網絡脆弱點,防止網絡攻擊、惡意軟件從產品、設備供應商以及運行維護者層面進入工控網絡,形成了一套全面的安全防護體系,整體提高工業企業的工控網絡安全保障能力。