最近刚刚出现的Stuxnet恶意软件是解释迈克菲为什么致力于保护关键基础设施(如:能源部门)免遭攻击的重要例证之一。Stuxnet是首个利用Windows零日漏洞、针对控制系统和公共事业机构发动攻击的恶意软件。Stuxnet的设计者综合运用了漏洞知识、黑客伎俩以及潜在的物理安全漏洞,来发起针对重要基础设施系统的攻击。
Stuxnet攻击运用的高级知识之所以“巧妙”,原因有二。首先,该恶意软件通过利用先前未知的Windows漏洞实施攻击和传播。其次,该恶意软件的组件包括两个具有rootkit行为、有数字签名的驱动程序,对于恶意软件而言,这点很不寻常。
这两点已被媒体广泛报道。我希望重点谈一谈遭受攻击系统存在的潜在风险、多种不同攻击媒 介协同“作战”的复杂性,以及这对能源领域意味着什么。
以下是我们目前了解到的Stuxnet攻击的运行机制:
1.用户将USB驱动器(或任何移动存储介质)连接到系统;
2.已感染的驱动器利用零日Windows Shell Code漏洞实施攻击,运行恶意软件;
3.该恶意软件在受攻击系统中进行搜索,试图访问西门子Windows SIMATIC WinCC SCADA 系统数据库。(万幸的是,该恶意软件的一个签名证书已被吊销,另一个也即将被吊销)
4.该恶意软件使用WinCC西门子系统中的硬编码密码来访问存储在WinCC软件SQL数据库中的控制系统运行数据。
这一事件有何潜在影响?该恶意软件的攻击目标是西门子SIMATIC WinCC 监控与数据采集(SCADA)系统。该软件可作为公用事业机构工业控制系统的HMI(人机交互界面)。HMI以图形方式管理并显示负责主要发电和输电设施运行的电厂控制系统信息。
HMI不间断的监控发电厂控制系统的正常运行和整体运行状态。许多情况下,设置 HMI的目的是为了对控制系统间的流程加以控制。HMI提供的图形化信息犹如一张地图,类似于计算机网络的拓扑图。恶意软件可能将部分重要基础设施的“地图”提交给其他恶意实体。
控制系统安全与IT安全
控制系统与IT系统之间存在许多不同。IT系统要确保传输的机密性和可用性,而控制系统要保证全天候持续可用性。通常情况下,控制系统和IT系统在相互独立的网络中运行,并由相互独立的团队进行管理。
由于控制系统必须做到全天候持续可用,控制系统环境中传统的管理流程变更非常耗时。因此,补丁程序更新、安全保护更新和修补程序或其他相关资源通常不会作为优先考虑的事项。在此示例中,西门子在其应用程序中使用硬编码密码,以提供对其 SQL 数据库的访问。该公司曾警告更改此类密码有可能危及系统的可用性。许多安全研究人员都曾对西门子这种明显违反安全策略的做法提出过异议。但是,考虑到在该环境中优先保证可用性的需求,上述做法是非常常见的。
美国能源部(DOE)、美国国家标准技术局和许多私营机构都曾呼吁弥合 IT 系统和控制系统在安全原则上的鸿沟。通过建立类似国家能源法规委员会(NERC)的传统IT流程和法规遵从框架,可以实现上述目标。
有关控制系统的安全保护需求已经讨论了一段时间,但在得出结论之前,新威胁就出现了。让我们看一看在控制系统领域已经发生了什么:概念证明攻击、意外实例、不满员工的恶作剧、由于掌握的证据太少而无法确定其真实意图的针对特定实例的攻击。
2009年一切开始改变,4月7日NERC发布了一份公开警告,提示某种来自境外实体的恶意软件攻击已在电网中露出苗头。这就是目前声名大噪的Stuxnet攻击。让我们假设Stuxnet 意欲破坏电网、并将重要信息传给不法分子,来了解一下Stuxnet攻击的复杂性。
毋庸置疑,在 Microsoft Windows中寻找一个支持代码执行的零日漏洞需要相当的专业知识,不过这样的例子也屡见不鲜。了解对控制系统的攻击方式就能明晰这一攻击异乎寻常的复杂性。
攻击者了解通常SCADA系统会限制通过以太网端口的网络访问和通过USB设备的物理访问。同时攻击者还要拥有西门子控制系统的相应知识,这种知识对于在控制系统领域实施攻击以及找到访问数据库所需的默认硬编码密码均大有帮助。此类攻击的复杂性可见一斑。
最后一点,攻击者如何伪造认证凭据?整体而言,这是一个异乎寻常的复杂攻击。
如何抵御Stuxnet?
如何有效防范这一攻击?迈克菲有几种不同的工具能够有效应对这一特定威胁。我们需要将此威胁分为三个不同的组成部分,逐一攻克。
首先是恶意软件,借助6046版DAT,迈克菲提供了针对 Stuxnet蠕虫的检测功能。迈克菲的解决方案不仅能够检测而且能够清除与这一威胁相关的组件。另外,无需签名更新,McAfee Application Control(原名称为Solidcore)产品,即可有效防止与这一威胁相关的感染、恶意代码执行和恶意有效负载。
其次是漏洞,通过迈克菲在2010 年7月16日进行的Vulnerability Manager检查,发现了该Windows 漏洞。Vulnerability Manager可以发现所有可能遭受这一威胁攻击的系统。
最后一点是攻击媒介。USB驱动器是主要的感染机制之一,这类设备在控制系统世界里无孔不入。该攻击媒介能够帮助“攻击”绕过外围安全措施。类似McAfee Device Control的安全工具所嵌入的恶意软件防护技术使用户能够将计算机锁定为只接受经批准的USB设备。这有助于降低整体安全风险。
对于能源行业这意味着什么?这一攻击的复杂性以及协同的高级持续性威胁的杀伤力足以令能源和公用事业企业胆战心惊。在迈克菲看来,Stuxnet攻击反衬出了我们为确保数字世界安全所做努力的重要性。
而且,Stuxnet攻击也凸现了迈克菲最近与美国能源部、国土安全部以及其他公共和私营机构间一系列密切合作举措的必要性,这些举措旨在帮助用户弥合IT安全与控制系统安全之间的间隙。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
迈克菲实验室最新威胁报告:移动应用程序漏洞百出
在2014年9月报告中发现的存在漏洞的25款热门移动应用程序中仍有18款未打补丁;不安全的 Web会话使数以百万计的手机用户沦为中间人攻击的目标。
-
迈克菲推出全新安全套件为个人用户设备及数字生活提供强大保护
Intel Security旗下迈克菲公司今日公布了其2015年个人用户安全套件,这一全新的安全产品显著增强了安全功能,可为个人用户不断变化的数字生活保驾护航。
-
迈克菲报告:80%企业用户未能识破钓鱼诈骗伎俩
迈克菲日前公布了《迈克菲实验室威胁报告(2014 年 8 月)》。报告显示,钓鱼诈骗仍然是入侵企业网络的一种有效手段。
-
迈克菲报告显示:2014年初移动恶意软件越发“注重诚信”
迈克菲实验室今日发布了《迈克菲实验室威胁报告(2014年6月)》,报告揭示了利用合法应用程序和服务的流行度、功能以及漏洞实施攻击的恶意软件伎俩,包括受恶意软件感染的移动游戏Flappy Bird 的克隆伪装版。