一場挫敗的網絡攻擊敲響供水系統安全警鐘

日期：2020-08-07    來源：本站原創    訪問次數：

以下文章來源于虎符智庫 ，作者虎符智庫小編。如有侵權，請聯系刪除。

一場險些危害公眾健康、引發人道災難的網絡攻擊，披露出針對供水系統的國家級攻擊成為各國忽視、卻迫在眉睫的安全威脅。

供水系統防護資源不足、網絡安全成熟度較低，網絡攻擊可能造成嚴重損害，這使供水系統成為黑客組織完美的攻擊目標。

5月28日，以色列國家網絡安全負責人公開承認，該國4月份挫敗了對其供水系統的大規模網絡攻擊。

以色列國家網絡管理局負責人表示， 這場針對其供水系統的攻擊險些釀成人道災難，開啟了秘密網絡戰的新時代。“網絡空間的寒冬正在到來。”

淡水資源匱乏的以色列重視水資源利用與保護

險些釀成人道災難的攻擊

以色列國家網絡管理局負責人伊加爾·烏納（Yigal Unna）表示，此次針對以色列中部供水設施的攻擊不是為了經濟利益，是對以色列及其國家安全攻擊的一部分，目的是“引發人道災難”。

在國際網絡大會CybertechLive Asia的致辭中，烏納介紹了此次具有國家背景的黑客組織攻擊。這是以色列官方首次披露攻擊細節。

據介紹，這次襲擊是有組織的行動，目標是用于控制供水網絡閥門的“可編程邏輯控制器”。洛杉磯水電局前CIO Matt Lampe認為，此次針對以色列供水設施的攻擊肯定是由手段高明的攻擊者發起的，背后可能是國家級組織。“這類攻擊必須針對具體控制系統進行專門的研究。”

網絡攻擊首先被水務局的員工監測到，隨后通知了以色列的網絡安全機構。由于攻擊被很快發現和阻斷，對供水系統沒有造成實質的損害。供水機構的員工被要求更改了運營系統的密碼。

烏納表示：“萬一攻擊成功，在疫情危機期間，以色列將不得不面對損害平民、用水暫時短缺或其他更糟糕的后果；氯或其他化學品可能按照錯誤的比例被混入水源，給居民健康造成災難性的后果。”

以色列的海水淡化處理廠

業界普遍認為伊朗是此次攻擊背后的黑手，烏納并沒有提及伊朗，但指出攻擊是國家支持的攻擊行動。以色列在攻擊事件發生兩周后對伊朗開展了報復性的網絡攻擊，導致伊朗的重要港口被關閉。

作為多年的宿敵，以色列和伊朗一直在進行包括網絡攻擊在內的秘密對抗。最著名的事件是，美國和以色列情報機構利用震網病毒破壞伊朗核計劃的行動。

迄今為止，伊朗尚未真正成功實施破壞工業設備的網絡攻擊。2013年，伊朗黑客入侵了紐約的小型水壩控制器，但未造成任何破壞。也曾獲得美國電力系統的訪問權限，但并未造成電力中斷。

烏納（Yigal Unna）認為，以色列現在需要為遲早到來的下一輪攻擊做好準備。

事件頻發：供水系統早已敲響安全警鐘

在遭受攻擊數日后召開的緊急會議上，以色列水務局代表以“給一些農民帶來損害”，總結了攻擊對以色列供水系統的影響。水務局代表“微不足道事件”的定性也讓與會人員感到震驚。

這也難怪，黑客組織對電網的攻擊往往引發廣泛關注，但對水設施的攻擊卻鮮有媒體報道，也不大為公眾關注。以色列國家網絡管理局此次對網絡攻擊的公開表態顯得有些異乎尋常。

網絡安全專家預測，針對目標勒索軟件的攻擊將會上升。早在2018年的威脅展望中，博思艾倫的分析師就預測：“國家級攻擊組織對供水設施的攻擊和入侵將會增加。美國國土安全部（DHS）在2018年3月也警報稱，俄羅斯黑客已經將美國供水網絡作為攻擊目標。

對于黑客組織對供水機構不斷增加的攻擊，萊斯利·卡哈特（Lesley Carhart）表示， 這是自己早就預期會發生的事情。要知道，針對關鍵基礎設施的首個網絡攻擊事件不是震網病毒，而是2000年澳大利亞昆士蘭州惡意控制污水控制系統的網絡攻擊。

網絡攻擊事件頻發，城市供水控制系統早就敲響了安全警鐘：

2000年，澳大利亞昆士蘭州污水處理廠控制系統遭受遠程入侵，造成污水處理泵站故障，超過1000立方米的污水被直接排放，導致嚴重的環境災難。

2001年，澳大利亞一家污水處理廠因內部工程師的網絡入侵，導致發生46次控制設備功能異常事件。

2005年，美國水電溢壩事件。

2006年，黑客入侵美國哈里斯堡的一家污水處理廠，在系統內植入了能夠影響污水操作的惡意程序。

2007年，攻擊者侵入加拿大一家水利機構SCADA控制系統，安裝惡意軟件破壞了控制從Sacrmento河調水的計算機。

2011年，黑客入侵和操縱美國伊利諾伊州城市供水系統SCADA，使得其控制的供水泵遭到破壞。

2016年初，據稱與敘利亞有關的黑客組織入侵了一家美國水處理廠，控制了負責水處理和流動控制的系統，修改了水流和化學品相關的設置。該工廠迅速識別并撤銷了化學品和水流量的設置，否則可能導致大量中毒和缺水。

2018年10月，北卡萊羅納州昂斯洛水務局（OWSA）在超強颶風“佛羅倫薩”之后，遭遇勒索軟件攻擊，導致數據庫和文檔被加密。這一重要供水機構負責向15萬北卡居民提供用水。

2019年2月，黑客利用勒索軟件攻擊了美國科羅拉多州的柯林斯堡拉夫蘭水務公司。這家負責向科羅拉多州北部4.5 萬名客戶供水的小型水廠在2年內再次第二次被勒索。存儲在電腦里的技術和工程數據以及制圖被加密。

2020年1月，美國格林威爾水務公司遭受網絡攻擊，導致公司的電話及在線支付系統中斷，約50萬客戶受到影響。這家位于南卡羅萊納州的水務公司在一周才恢復系統。

美國安全事件行業分布 (美國國土安全部, 2016)

美國國土安全部的統計顯示：早在2015年，針對供水系統的網絡攻擊事件，就已經排入前三名，僅次于關鍵制造和能源行業。

頻發網絡安全事件表明，網絡威脅已經向城市供水系統領域滲透，把控制系統作為攻擊目標，為城市供水系統敲響了安全警鐘。

供水設施成為黑客完美攻擊目標

近年來，供水機構日益依賴互聯網來管理供水管道和水泵。這些控制器可以幫助全天候監控運營狀況。由于減少了監控閥門、控制器和開關的人員，供水和電力機構可以提高可靠性和降低人工成本。

與其他基礎設施領域相比，供水機構網絡安全的魯棒性和成熟度較低。由于規模和資金限制，地方小型供水機構很難在網絡安全方面與《財富》 100強中的油氣公司相比。

盡管到目前為止，黑客攻擊最嚴重的供水機構，也僅是勒索軟件等常見網絡威脅的犧牲品，所遭受的只是“附帶性破壞”。但全球頂尖管理和技術咨詢公司——博思艾倫(Booz Allen Hamilton)的首席技術專家凱爾·米勒認為，供水機構已經成為黑客的理想攻擊目標：黑客組織對供水系統的網絡攻擊可能造成嚴重損害。

在很多應急計劃演練中，停電不會造成混亂和大量傷亡，缺乏清潔供水卻會導致人們離開住所。相比電力系統，供水機構在網絡安全防護方面的投入令人吃驚。

安全人員認為，黑客侵入運營網絡和控制供水氯化，對廢水池和廢水處理廠做些手腳，這將是讓主管者徹夜難眠的場景。設想一下，在下游主要城市造成霍亂或痢疾傳播，將會如何應對？

工業網絡安全公司Dragos的首席威脅分析師萊斯利·卡哈特（Lesley Carhart）也認為：“供水機構一直是安全防護資源最少，但卻最能直接影響生命和安全的行業。”

凱爾·米勒認為，即使供水中斷或化學物質釋放不會發展成為一場全面的危機，對于國家級黑客來說，令居民對水質失去信心，肯定在其攻擊的訴求目標之內。

根據美國工業控制系統網絡緊急響應小組（ICS-CERT）的統計數據，以及卡巴斯基實驗室ICS-CERT的分析，供水領域設備中發現的可利用安全漏洞的數量似乎也在增長。根據美國聯邦機構的統計數據，2018年在“供水”領域發現了63個安全漏洞，占所有工業安全問題的15％。2018年，只有能源和制造業的安全漏洞超過了供水領域。

專家表示，由于員工中普遍缺乏安全技能，全球的供水設施，尤其是美國的7萬家供水機構，正面臨網絡攻擊的風險。大多數城市的供水機構通常只有1-2名IT人員，無法獲得足夠的資源開展網絡安全防護，缺乏能夠檢測攻擊的工具。對于資金充足、尋求測試新攻擊方法的攻擊者而言，供水機構是很有吸引力的攻擊測試目標。

傳統物理隔離的供水行業自動化水平的不斷提高，以及數字化、信息化技術的廣泛應用，正面對越來越復雜的網絡環境和日益增加的網絡安全威脅。這包括暴露在互聯網的工業控制系統（ICS）增加了攻擊風險；錯誤配置和已知漏洞降低了攻擊者入侵網絡的障礙，并增加漏洞利用的風險。

持續加強：保護供水設施

盡管以色列水務局檢測到攻擊，但以色列供水系統的網絡安全狀況卻不容樂觀。由于供水系統的權力下放給了下屬機構和相關企業，這使得很難進行集中管理和有效應對外部網絡攻擊。權力下放導致無法準確掌握或監督應對網絡攻擊的準備情況。

據媒體報道，以色列水務局和國家網絡管理局正推動建立國家級安全中心，專門監控供水系統面臨的網絡威脅。

目前，以色列國家自來水公司Mekorot負責將城市、社區與供水設施的連接，并通過鉆井提供水資源供應。約56家地方企業負責市內的供水。

以色列水處理廠

美國供水行業同樣面臨分散管理的挑戰，使決策者在網絡安全管理上陷入困境。目前，美國僅在聯邦級別對水處理和供水網絡的網絡安全進行相對寬松的監控，而州級別的水務委員會因專業知識有限，通常側重于水質，而往往會忽略網絡安全。

2018年10月，美國總統特朗普簽署《美國2018年水資源基礎設施法案》。根據法案，任何為3300名或更多用戶提供服務的供水機構都需對其網絡進行“風險和彈性”評估，其中包括對網絡防御的審查。美國大型供水機構必須在2020年3月之前完成合規，較小機構可以在2021年6月前再滿足合規要求。

環境保護署（EPA）是美國負責水務網絡安全的核心機構，賦有向供水機構發布實施新法律指南的職責。EPA發言人表示：“ EPA意識到網絡攻擊對供水系統在內的關鍵基礎設施構成了重大威脅。

新澤西是對供水系統網絡安全進行監管的少數州之一。它要求供水機構向州環境官員報告網絡安全事件，并要求被監管的供水機構將網絡安全納入風險管理計劃之中。紐約公共服務部的工作人員則會開展“定期和經常性的安全防護審核”， 以應對新興網絡威脅。該部門每年會對供水機構的網絡安全計劃進行審查，并評估掌握供水、電力和燃氣等領域敏感個人和收費信息機構的數據安全要求。

供水系統15項基本安全原則

對IT和運營技術的攻擊都會給供水機構造成巨大影響，包括增加成本、聲譽受損、用戶數據泄露，嚴重的情況還可能導致運營中斷和危及公共健康與環境安全。供水系統如何進行安全防護呢？

2019年，負責向水務機構分享安全威脅信息的美國水務信息共享與分析中心(WaterISAC)發布了《水務機構實現網絡安全的15項基本原則》白皮書，詳細介紹了減少供水設施可利用漏洞和網絡攻擊的最佳實踐。

1. 進行資產清點

識別資產是網絡安全風險管理策略的基礎，對于確定網絡防御優先級至關重要。

2. 風險評估

風險評估有助于識別安全缺陷和漏洞。

3. 最大限度降低控制系統暴露面

了解工業控制系統和其他內部網絡間的通信通道尤其重要。

4．開展用戶訪問控制

訪問控制主要是確保僅向被授權人提供控制系統訪問。

5. 防止未授權的物理訪問

IT / OT有一個共同的格言，“只要您能觸摸到它,你就擁有它。” 因此必須限制對IT和ICS環境的物理訪問。

6. 部署獨立的信息物理安全系統

為了保護關鍵資產免受復雜安全威脅，供水機構應考慮使用非數字的工程解決方案。

7. 擁抱漏洞管理

漏洞無處不在，漏洞管理對每個機構都絕對必要。

8. 培養網絡安全文化

每個員工、管理人員和董事會成員都需要為機構的網絡安全負責。

9. 制定和執行網絡安全策略和程序

制定和執行網絡安全政策和程序可能是最容易、但也是最難實施的基本原則。

10. 開展威脅檢測和監控

在這個“假定失陷”的世界，我們必須具備發現惡意活動的能力。

11. 制定安全事件、應急和災難方案

制定應對安全事件、應急和災難的計劃，對于快速恢復至關重要。

12. 有效應對內部威脅

再有力的網絡安全控制和系統架構也無法應對具有物理或特權訪問權限的對手。

13. 保護供應鏈的安全

供應商、承包商、咨詢顧問和集成商給機構帶來內部安全威脅，它們同樣是供應鏈的重要組成部分。

14. 應對所有智能設備的安全風險

平板電腦、智能手機和其他移動設備在工作場所激增帶來嚴峻安全挑戰。

15. 參與信息分析和協作社區
    公用事業機構與同行、社區互動和分享得越多，行業受益就越大。

上一篇：盤點：全球政府機構十大網絡安全事件

下一篇：英國易捷航空遭黑客入侵，約900萬客戶個人信息被竊取