01
网络攻击事件概述
自去年6月伊朗胡齐斯坦钢铁公司遭受网络攻击后被迫停止生产后,今年8月,美国矿业巨头自由港·麦克莫兰公司又遭网络攻击。
自由港·麦克莫兰公司(Freeport-McMoRan Inc.)是全球著名国际矿业公司之一,总部位于美国亚利桑那州凤凰城。公司在北美、南美、印度尼西亚从事铜、金、钼等矿产资源开发,保有资源储量丰富。其中,印度尼西亚Grasberg铜金矿是世界最大的铜金矿之一,位于美国亚利桑那州的Morenci铜矿和位于秘鲁的Cerro Verde铜矿也是重要的世界级铜矿。
8月11日(周五)晚上23点左右,自由港·麦克莫兰公司正在调查一起影响信息系统的网络安全事件,该公司表示:“该网络安全事件的影响有限,过渡性解决方案正在计划和实施,以尽快确保信息系统的安全”,随即,自由港·麦克莫兰公司的股价下跌1.6%,至41.69美元。
一名匿名员工向媒体透露,网络攻击发生在8月10日(周四)夜间,导致公司计算机系统关闭。自由港·麦克莫兰公司正在评估事件的影响程度,积极采取解决措施,并与第三方专家和执法部门密切合作,优先考虑工业控制系统的网络安全,值得关注的是,如果事件造成持续干扰,可能会影响未来的生产运营。
02
冶金企业有哪些网络安全风险?
1)资产信息暴露
但新技术的应用使得越来越多冶金企业的资产信息暴露在互联网上。其中,山西省通信管理局网络安全管理处,就在2022年12月发布了《山西省煤炭能源、钢铁冶金、电力行业10月份网络安全态势分析》报告,该报告指明,恶意网络资源是面临的主要威胁,钢铁冶金行业在10月份遭网络嗅探达3947次,主要以扫描探测、登录尝试等常用的信息收集手段为主。
从上述报告不难看出,黑客或攻击者已经开始有组织、有目的地进行针对性的扫描探测和攻击,而且,部分病毒、代码由专业人员编写,针对性极强。
2)第三方运维
资产信息的暴露,为网络犯罪分子了解资产漏洞和突破口提供了有利条件,第三方运维的出现,将导致资产信息暴露面激增,为网络犯罪分子篡改、盗取资产提供更加便利的条件。
那么,第三方运维是如何进行的呢?
冶金企业现场使用的PLC可有效改善生产过程的自动化水平,但在生产过程中,难免出现PLC故障、工艺系统模型参数调试、优化卷取温度控制等实际需求,由于工业控制系统主要由系统集成商开发,用户一般无调试能力,同时,高额的现场维护成本也让用户望而却步,因此,远程监控PLC并实现远程维护成为冶金企业应急的首选方案。
在现场运维条件不具备的情况下,系统集成商一般通过PLC、工业智能网关、5G/4G等模块、远程运维平台构建远程运维环境,其中工业智能网关内置工业协议库,适配施耐德电气、西门子、三菱等冶金行业主流PLC工业协议,以及各种电力规约、环保规约,通过工业智能网关采集的PLC数据可以上传至远程运维平台或上位机组态软件,第三方运维人员和用户可通过小程序、APP、网页、上位机组态软件等,随时查看PLC信息(如PLC运行状态,故障信息、报警阈值),当PLC出现故障、参数调整、优化控制等需要运维时,第三方运维人员可通过远程运维平台、远程运维调试终端对现场PLC进行远程上传程序、远程下载程序、远程编程和远程调试等操作。
但不合规的第三方运维势必给工业控制系统带来安全隐患。这并非空穴来风,早在2018年,我国某电力有限公司在生产过程中,就因第三方运维,电力调度控制中心内网安全监视平台出现大量告警。
经当时现场事件分析,告警信息为某风电场省调接入网非实时纵向加密认证装置拦截的不符合安全策略的非法访问,发出非法访问的源地址为站内风功率预测服务器。电力调度控制中心按照网络安全防护应急处置措施,现场立即断开风功率预测服务器与调度数据网及站内电力监控系统的全部物理连接,告警信息消失,截止断网应急处置措施,共收到告警信息数量326554条。
另外,电力调度控制中心技术人员现场调研发现,第三方运维人员对功率预测服务器进行远程运维,开启了文件共享等功能,该站长期将电力监控系统生产控制大区裸露于公网,给电网安全运行带来极大安全隐患。
该安全事件暴露出,运维人员及管理人员安全意识薄弱,对网络攻击产生的巨大破坏存在侥幸心理。
3)操作系统底层
除上述资产信息暴露、第三方运维问题,操作系统自身存在的安全漏洞,也给网络犯罪分子利用漏洞提供了基础环境。
那冶金企业不给操作系统打补丁吗?
冶金企业由于考虑到工控软件与操作系统补丁兼容性、打补丁造成的系统停车等问题,一般系统开车后不会对操作系统打补丁。
我们知道,传统IT安全强调通过补丁更新来解决安全漏洞问题,例如微软会在每周二例行发布补丁包,IT安全技术人员会持续关注微软补丁更新情况,即使每次打补丁会造成一段时间的系统重启,也会保持定期更新系统的习惯。但对冶金行业来说,系统重启或停机是无法接受的,因为停机将带来巨大经济损失,其中,水泥生产厂除停车检修以外,通常7×24小时运行,如需停机,则需按照管理制度进行报批。一般情况下,回转窑计划停机4小时以内由生产副总批准,4小时以上由总经理批准。如果审批通过并执行了系统停机,从系统停机的情况下恢复生产,也很麻烦。一般需要水泥生产线点火投料(简称“点火”),才能恢复生产,该流程不仅需要非常复杂的操作程序,同时还需要大量费用(点火烘窑一般需要3天,同等条件下冬天“点火”需要的费用比夏天还要高)。
基于上述情况,我们可能会考虑“是否可以在停车检修期间完成操作系统补丁更新,以便减少时间和金钱成本?”,虽然水泥企业有年度例行停机维护时间,可以作为一个补丁实施的窗口时间,但大部分情况下也无法真正有效落实,如下图为大多数工业控制系统补丁管理流程:
绝大多数情况下,补丁管理流程会沿上图黄色部分运行,绕开立即修补的方案,最终的决策是等待,直到下一个维护周期中断更新系统。
4)控制系统底层
即使操作系统已经完成补丁更新,由于冶金企业现场控制设备、工业软件和工业交换机等存在的安全隐患,自身安全防护能力依然堪忧。
例如,现场使用的控制设备,其使用周期较长、存在安全漏洞、系统补丁兼容性差、难以及时处理和种类繁多(如冶金企业大量应用的施耐德电气Modicon系列PLC、西门子S7系列PLC和ABB AC800系列DCS等)等,直接影响了工业控制系统的稳定运行。
再例如,现场使用的工业软件(CODESYS V3、Unity Pro、Step7等)可以为冶金企业提供更好的决策建议和工作效率、数据分析能力,这离不开工业软件对工艺的支持(工艺模型、算法参数)、行业数据知识库的支持(行业事故处理经验、行业操作经验、行业技术规范),但其存在的安全漏洞,也同样给工业控制系统的稳定运行,预埋了“定时炸弹”。
CODESYS厂商今年4月份发布了由微软研究人员发现的CODESYS V3软件开发工具包(SDK)漏洞信息,该SDK被应用在PLC的配置和测试环境。
微软研究人员透漏,该SDK存在15个漏洞(包括CVE-2022-47379、CVE-2022-47380、CVE-2022-47381等),其中12个漏洞是缓冲区溢出漏洞。
值得关注的是,微软研究人员仔细检查了施耐德电气和WAGO这两家厂商使用CODESYS V3的两款PLC,PLC中的固件含有CODESYS提供的库程序,该库程序用来运行工程师们编写的程序,随即,微软研究人员尝试了15次渗透测试,结果发现,有12次能够利用该漏洞在PLC上远程执行代码。
如果网络犯罪分子利用该漏洞,针对使用了CODESYS V3的PLC发动网络攻击,利用远程代码在设备中植入后门,篡改回转窑等冶金企业生产线PLC参数,将导致一次设备异常运行,后果不堪设想。
03
冶金企业如何应对危机?
结合我国关键信息基础设施网络及系统特点,威努特针对冶金行业提出基于“白环境”技术理念的工控安全解决方案,该方案中除了自主研发的网络安全产品采用“白名单”技术之外,还对多款安全产品进行安全及业务层面的能力适配,以满足冶金行业对于工控安全建设需求。
利用态势分析与安全运营管理平台的监测预警功能,对系统内资产和设备运行状态、网络链路、安全状况进行关联分析,及时发现资产信息暴露等威胁事件;
利用安全运维管理系统的访问授权管理功能,对第三方运维人员下发授权工单,采用强身份认证机制,临时运维指定资产,解决不合规的第三方运维给工业控制系统带来的安全隐患。
利用工控主机卫士的漏洞防护功能,针对常见高危漏洞主动防护,满足冶金企业不停机的情况下,完成主机加固与安全防护。
利用工业防火墙的业务工艺白名单功能,基于指令周期和时序逻辑等建立工艺行为基线模型,解决现场控制设备、工业软件等底层系统漏洞被利用而导致的现场设备异常运行风险。
北京威努特技术有限公司(简称:威努特)是国内工控安全行业领军者,是中国国有资本风险投资基金旗下企业。凭借卓越的技术创新能力成为全球六家荣获国际自动化协会ISASecure 认证企业之一和首批国家级专精特新“小巨人”企业。
威努特依托率先独创的工业网络“白环境”核心技术理念,以自主研发的全系列工控安全产品为基础,为电力、轨道交通、石油石化、市政、烟草、智能制造、军工等国家重要行业用户提供全生命周期纵深防御解决方案和专业化的安全服务,迄今已为国内及“一带一路”沿线国家的4000多家行业客户实现了业务安全合规运行。
作为中国工控安全国家队,威努特积极推动产业集群建设构建生态圈发展,牵头和参与工控安全领域国家、行业标准制定和重大活动网络安全保障工作,始终以保护我国关键信息基础设施安全为己任,致力成为建设网络强国的中坚力量!
渠道合作咨询 田先生 15611262709
稿件合作 微信:shushu12121