引言
如您所見,在工業(yè)4.0所描述的智能化工廠的環(huán)境中��,工業(yè)物聯(lián)網(wǎng)(IIoT)設(shè)備的廣泛采用�����,徹底改變了生成模式����,提高了整體效率、自動化和數(shù)據(jù)驅(qū)動的決策���。然而,這種快速整合也使得工業(yè)系統(tǒng)面臨著更大的網(wǎng)絡(luò)威脅和攻擊風(fēng)險��。特別是對于關(guān)鍵基礎(chǔ)設(shè)施的保護�����,可謂迫在眉睫��。下面��,我將從工業(yè)系統(tǒng)面臨的潛在安全問題出發(fā)����,針對IIoT的各種攻擊向量,梳理出時下業(yè)界常用且有效的應(yīng)對措施���。
IIoT通用架構(gòu)
在全面識別和深入討論IIoT所面臨的不斷演變的威脅與潛在的漏洞之前���,讓我們首先對工業(yè)物聯(lián)網(wǎng)系統(tǒng)的通用架構(gòu)有所了解����。如下圖所示�,典型架構(gòu)分為三個層級:
邊緣層,包括各種端點設(shè)備和邊緣網(wǎng)關(guān)單元��。典型的端點包括相互連接的制動器�����、控制系統(tǒng)�、以及傳感器等設(shè)備。而網(wǎng)關(guān)單元負責(zé)匯聚轉(zhuǎn)發(fā)指示����,實現(xiàn)與之相連器件的互通互聯(lián)。
平臺層��,包括軟件平臺和用于數(shù)據(jù)集成��、轉(zhuǎn)換���、分析的應(yīng)用服務(wù)��。它們利用Web或移動網(wǎng)絡(luò)連接��,為不同層級之間的數(shù)據(jù)和控制交換提供管道����。
組織層,包括服務(wù)于組織域的應(yīng)用和云托管專有應(yīng)用��。它們通過內(nèi)網(wǎng)基礎(chǔ)設(shè)施和Web驅(qū)動的協(xié)議�,提供用戶界面,實現(xiàn)規(guī)則和控制的下發(fā)與上傳��。
各個層級往往在邏輯上依次配合與協(xié)作�����,以有線和無線連接的互通方式�����,實現(xiàn)了IIoT對于數(shù)據(jù)的無縫收集�、分析和交換���,以及過程自動化的控制�����,進而促進了生產(chǎn)鏈路的性能優(yōu)化�����。
不過����,由于工業(yè)連接與控制設(shè)備最初的設(shè)計重點主要追求的是功能性、而非安全性����,因此它們特別容易受到網(wǎng)絡(luò)安全攻擊。各種工業(yè)物聯(lián)網(wǎng)通信協(xié)議中的缺陷經(jīng)常會被惡意利用����,加上生產(chǎn)環(huán)境的運營和管理不足,攻擊一旦發(fā)生��,就可能導(dǎo)致關(guān)鍵設(shè)備的損壞�����、重要功能的喪失,以及部分或全部設(shè)備的報廢�,進而帶來災(zāi)難性的后果。例如��,針對供水和凈化廠的網(wǎng)絡(luò)攻擊就可能會導(dǎo)致包括:水處理和生產(chǎn)�、流量統(tǒng)計、水位和電導(dǎo)率分析��、pH值分析���、以及化學(xué)加藥泵等關(guān)鍵操作受到篡改或失效�,進而對公眾健康產(chǎn)生嚴重的影響��。
功能分層與攻擊
具體而言�����,鑒于工業(yè)物聯(lián)網(wǎng)按照功能級別可以分為操作技術(shù)(OT)和信息技術(shù)(IT)兩大類別���,它們所面臨的網(wǎng)絡(luò)攻擊可以按照如下方式進行區(qū)分:
類別 層級 組件 攻擊
OT1器件中嵌入的傳感器、制動器�����、變送器和電機竊聽、暴力搜索����、偽造數(shù)據(jù)包、非法輸入����、逆向工程、以及惡意軟件
2分布式控制��、PLC和網(wǎng)關(guān)系統(tǒng)回放攻擊�����、中間人(MitM)����、有/無線設(shè)備的嗅探、用蠻力猜測密碼
3控制室�����、操作員�、HMI和SCADA系統(tǒng)惡意軟件、數(shù)據(jù)窺探、IP欺騙���、以及數(shù)據(jù)操縱
IT4辦公應(yīng)用���、數(shù)據(jù)中心、內(nèi)部網(wǎng)絡(luò)�����、電子郵件��、以及互聯(lián)網(wǎng)服務(wù)應(yīng)用協(xié)議攻擊��、網(wǎng)絡(luò)釣魚���、SQL注入����、惡意軟件��、DNS中毒�����、以及遠程代碼執(zhí)行
5云服務(wù)����、業(yè)務(wù)應(yīng)用、信息分析�、Web、以及手機應(yīng)用拒絕服務(wù)(DoS)���、MitM�、反向通道����、間諜軟件、身份識別缺陷�����、以及惡意插件
OT分層與攻擊
第一層涵蓋了嵌入式設(shè)備���、傳感器��、執(zhí)行器��、變送器���、以及電機等器件��。攻擊的開展往往依賴于深入熟悉IIoT的系統(tǒng)架構(gòu)����,能夠訪問設(shè)備與工程圖紙����,以及具有全面的安裝和操作權(quán)限。
第二層由專有硬件組成��,包括:分布式控制系統(tǒng)(DCS)����、可編程邏輯控制器(PLC)和網(wǎng)關(guān)。它們便于第一層中的器件之間實現(xiàn)通信和控制��。攻擊的實施往往旨在影響信息流��,并阻礙兩層之間的常規(guī)通信���。
第三層包括基于IP的數(shù)據(jù)采集設(shè)備�����、主站�����、人機接口(HMI��,是將人與設(shè)備連接起來的操作員觸點�,主要用于顯示信息�����、跟蹤操作時間�、以及查看機器輸入和輸出數(shù)據(jù))、監(jiān)控和數(shù)據(jù)采集(SCADA)系統(tǒng)�����、以及相關(guān)工業(yè)自動化控制和監(jiān)控系統(tǒng)���。該層級的攻擊會使用IP數(shù)據(jù)包的操作手段�,通過偽造源地址等屬性特征���,來隱藏發(fā)送者的身份�����。一旦攻擊得逞�,收件方會被欺騙,并以為數(shù)據(jù)包來自已授權(quán)的用戶或組件��。
IT分層與攻擊
第四層屬于業(yè)務(wù)支撐服務(wù)�����,包括各種辦公應(yīng)用����、內(nèi)聯(lián)網(wǎng)絡(luò)、外部網(wǎng)絡(luò)�、以及郵件服務(wù)等。攻擊的開展往往利用的是已知或未識別的服務(wù)漏洞���。
第五層包含了各種企業(yè)應(yīng)用對于數(shù)據(jù)進行提取或分析的技術(shù)�,以及各種云計算服務(wù)工具��。該層級的攻擊則多采取欺騙性對抗�����、以及監(jiān)控操縱等復(fù)雜的隱蔽形式。
針對SCADA的攻擊與檢測
在上述五個功能層級中�����,處于第三層的SCADA系統(tǒng)屬于IIoT生態(tài)系統(tǒng)的主要硬件系統(tǒng)�。它負責(zé)跟蹤不同的工業(yè)過程����。其中,主站單元或主終端單元(MSU/MTU)是SCADA的主要控制組件��,而子MSU或子MTU則起到輔助控制的作用�����。通常�,工業(yè)自動化控制和遙測系統(tǒng)會依賴SCADA系統(tǒng),使用本地控制器���,連接到IIoT上���。對此,攻擊者往往設(shè)法使用斷開與操控制動器或傳感器的方式�����,讓工業(yè)環(huán)境內(nèi)的SCADA喪失或偏離原有的功能。具體而言�����,針對SCADA系統(tǒng)的常見攻擊模式與技術(shù)有如下五種:
MitM攻擊�����。為了收集的數(shù)據(jù)����,已獲得網(wǎng)絡(luò)訪問權(quán)限的攻擊者,可以通過安裝惡意軟件����,在有線或無線網(wǎng)絡(luò)中,主動監(jiān)控并攔截MTU��、子MTU或遠程終端單元(RTU)之間的通信�,進而將篡改后數(shù)據(jù)傳遞給預(yù)期接收方。
偽裝攻擊����。為了保持連接與會話的控制權(quán)����,攻擊者會采用合法名稱�,并利用虛假的IP地址,來冒充已授權(quán)的操作員身份���,以逃避檢測��。
惡意代碼攻擊�����。攻擊者利用已發(fā)現(xiàn)的漏洞,通過木馬或蠕蟲等惡意代碼�,感染網(wǎng)絡(luò)中更多的MSU/MTU,導(dǎo)致系統(tǒng)出現(xiàn)故障或引發(fā)不穩(wěn)定的行為��。
DoS攻擊�。由于MSU/MTU無法管理超過最大限定傳輸單元的數(shù)據(jù)傳輸,因此被控制的RTU會利用數(shù)據(jù)包的碎片缺陷����,通過大量畸形數(shù)據(jù)包,淹沒MTU�����,以耗盡系統(tǒng)中正常數(shù)據(jù)交換的可用資源,進而導(dǎo)致連接的失效與系統(tǒng)故障�。
時間表攻擊。已獲得訪問權(quán)限的攻擊者通過修改系統(tǒng)或設(shè)備的固有時間表�,實現(xiàn)其指定的惡意行為。
目前��,針對SCADA上述攻擊的檢測手段包括:利用貝葉斯算法�����、概率森林和選擇樹等基于機器學(xué)習(xí)的機器學(xué)習(xí)模型;而防御技術(shù)則包括:SCADA的密鑰建立(SKE)��、SCADA密鑰管理體系結(jié)構(gòu)(SKMA)�����、以及邏輯密鑰層級結(jié)構(gòu)(LKH)等各種自適應(yīng)密鑰管理協(xié)議��。
IIoT系統(tǒng)的常見攻擊與對策
正如前文所述��,SCADA只是IIoT中的一種主要硬件系統(tǒng)�。而整個生態(tài)體系是一個多元的協(xié)作網(wǎng)絡(luò)。因此,與之對應(yīng)的網(wǎng)絡(luò)攻擊也是全面�����、立體且復(fù)雜的��。近年來��,諸如:水利��、電力�、交通、以及公共事業(yè)等關(guān)鍵性基礎(chǔ)設(shè)施�����,都已經(jīng)廣泛地連接或應(yīng)用到了各類IIoT生態(tài)系統(tǒng)中�。我們有必要梳理出將針對IIoT系統(tǒng)的準確性����、可靠性和安全性等多方面的威脅與攻擊?��?偟恼f來�,我們歸納為如下五個方面:
網(wǎng)絡(luò)釣魚攻擊與對策
為了破壞IIoT系統(tǒng)網(wǎng)絡(luò),并控制與其連接的操作系統(tǒng)�,釣魚攻擊者會針對安全意識薄弱的操作員與供應(yīng)商,利用社會工程策略和設(shè)立虛假網(wǎng)站等手段��,誘騙其點擊惡意鏈接或安裝惡意軟件����,進而達到傳統(tǒng)的網(wǎng)絡(luò)釣魚攻擊的效果。
目前�,可用于自動檢測和分析IIoT網(wǎng)絡(luò)釣魚攻擊策略包括:
創(chuàng)建Web瀏覽器的擴展,以掃描用戶網(wǎng)站的安全屬性����、證書,以主動發(fā)現(xiàn)其是否包含危險性代碼或誤導(dǎo)性URL����。
通過基于關(guān)聯(lián)規(guī)則和分類的網(wǎng)站排名,在對象和關(guān)聯(lián)標準之間創(chuàng)建相關(guān)性�,以檢測釣魚特征。
構(gòu)建瀏覽器沙箱�����,作為處理網(wǎng)絡(luò)釣魚攻擊數(shù)據(jù)的代理����,一旦發(fā)現(xiàn)攻擊��,立即觸發(fā)警報�。
采用智能Web應(yīng)用防火墻(IWAF�,Intelligence Web Application Firewall)。這是一種用于識別關(guān)鍵基礎(chǔ)設(shè)施中的網(wǎng)絡(luò)釣魚攻擊的自動主動安全工具����。它使用機器學(xué)習(xí)的脈沖神經(jīng)(spiking neuron)模型,解析出IIoT設(shè)備上的網(wǎng)絡(luò)流量特征����,對網(wǎng)絡(luò)釣魚攻擊進行識別和分類,創(chuàng)建出失陷指標(IoC����,indicators of compromise),并將其轉(zhuǎn)換為組策略對象(GPO)���,從而建立防火墻規(guī)則,以阻止網(wǎng)絡(luò)釣魚攻擊����。
進一步使用進化脈沖神經(jīng)網(wǎng)絡(luò)(eSNN,evolving spiking neural network),在基于區(qū)域的策略防火墻內(nèi)部�����,構(gòu)建智能化的URL過濾器����,以模擬人腦的運作方式,查找出那些由算法所生成的有害域名�����。
利用URL編碼(UE)技術(shù)���,在執(zhí)行DNS查詢之前����,通過神經(jīng)網(wǎng)絡(luò)計算URL之間的相關(guān)系數(shù)���,解析URL的分散可視化���,分析各種域名之間的關(guān)系,然后將解讀出的映射存儲起來���,以便處理域名空間的復(fù)雜性�����,從而在垃圾郵件中提取URL的序列模型����,識別和發(fā)現(xiàn)惡意網(wǎng)站地址。在整個過程中����,為了根據(jù)URL的特征實現(xiàn)對網(wǎng)站的分類,其機器學(xué)習(xí)技術(shù)會提取IP地址���、WHOIS記錄和網(wǎng)絡(luò)釣魚URL等詞匯特征���,并利用數(shù)據(jù)表達式來構(gòu)建規(guī)則簽名,進而過濾可疑的域名����。
勒索軟件的攻擊與對策
與通常的勒索軟件不同,IIoT勒索軟件通常具有針對性����,更專注于基礎(chǔ)的系統(tǒng)組件,以造成拒絕服務(wù)(DoS)或鎖死生產(chǎn)環(huán)境中的文件被等危害����。而且,為了盡快恢復(fù)生產(chǎn)�����,工業(yè)組織往往不得不支付贖金�,以換回訪問權(quán)限。其中����,IIoT的邊緣網(wǎng)關(guān)特別容易受到勒索軟件的攻擊。一旦得手�,攻擊者就會迅速更改網(wǎng)關(guān)的密碼,然后用惡意代碼替換到原有固件��。在完全控制了網(wǎng)關(guān)的基礎(chǔ)上����,攻擊者便可據(jù)此加密各種從PLC和I/O設(shè)備處獲得的數(shù)據(jù),以及通過互聯(lián)網(wǎng)注入或提取數(shù)據(jù)�。
目前,可用于自動檢測和分析勒索軟件攻擊策略包括:
通過收集和分析與系統(tǒng)性能相關(guān)的數(shù)據(jù)��,如:CPU使用率、內(nèi)存負載��、I/O設(shè)備使用率���、以及CPU處理需求等�,將這些指標與IIoT系統(tǒng)在無惡意軟件時的正常指標進行比較����,及時發(fā)現(xiàn)網(wǎng)關(guān)在遭遇勒索軟件攻擊時,系統(tǒng)資源利用率和處理請求等指標會大幅提升這一特征���,并作為預(yù)測依據(jù)����,以便及時采取隔離等措施���,進而大幅提升IIoT系統(tǒng)應(yīng)對此類攻擊的抵御能力����。
使用在數(shù)據(jù)包和數(shù)據(jù)流級別同時運行的兩個獨立分類器�,基于會話的流量特征,動態(tài)創(chuàng)建機器學(xué)習(xí)的檢測模型,以查找諸如Locky之類的勒索軟件����。
采用結(jié)合了經(jīng)典自動化編碼(CAE)和變分自動化編碼(VAE)的混合深度檢測模型�����,最小化數(shù)據(jù)的維度���,以提供準確的惡意行為可視化�����。
針對協(xié)議的攻擊與對策
IIoT系統(tǒng)的OSI網(wǎng)絡(luò)框架�,通常由物理層����、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層�����、傳輸層和應(yīng)用層����,這五個層級組成���。前四層使用的協(xié)議與傳統(tǒng)物聯(lián)網(wǎng)相似,包括:IEEE 802.15.4 6LoWPAN����、藍牙低能耗(BLE)、IEEE 802.11(供WiFi使用)�����、LTE����、以及UDP/TCP協(xié)議等。顯然����,針對每個層級上不同協(xié)議的攻擊也各不相同:
1.對物理層和數(shù)據(jù)鏈路層的攻擊與對策
在這兩個層面上,DoS攻擊最為普遍�����。它會用相同的頻率傳輸信號����,以干擾會話�����,占用和耗盡傳感器節(jié)點的原有連接與傳輸資源����,降低甚至終止節(jié)點的處理能力�����。通常�����,擁塞區(qū)域映射模型(JAM)可以通過將數(shù)據(jù)包重新路由到備用信道上�����,來繞過無線傳感器網(wǎng)絡(luò)(WSN)的擁塞區(qū)域�����,進而起到減緩作用���。
MitM攻擊���,也是一種常見手段。攻擊者會通過WSN和RFID傳感器網(wǎng)絡(luò)(RRSN)實施數(shù)據(jù)的篡改�。AES、WEP�����、WPA2等加密技術(shù)����,能夠有效地應(yīng)對此類風(fēng)險。
2.對網(wǎng)絡(luò)層的攻擊與對策
在該層面上��,惡意設(shè)備會通過直接路由攻擊�����,來修改數(shù)據(jù)傳輸?shù)穆酚杀?��,進而通過DoS攻擊淹沒網(wǎng)絡(luò)資源并阻塞數(shù)據(jù)�����。而SVELTE框架等物聯(lián)網(wǎng)特定入侵檢測系統(tǒng)(IDS)解決方案�,可以通過出口過濾、疏散分類���、授權(quán)與控制技術(shù)�,來提供有效的防御��。
針對鄰居發(fā)現(xiàn)協(xié)議(NDP)的攻擊���,會導(dǎo)致網(wǎng)絡(luò)通信的中斷��,以及目標系統(tǒng)被欺騙泄漏數(shù)據(jù)。而IPSec和安全鄰居發(fā)現(xiàn)(SEND)兩種安全技術(shù)可以有效防御此類攻擊��。
此外����,作為一種濃縮的傳輸協(xié)議,數(shù)據(jù)報傳輸層安全(DTLS)也可保護網(wǎng)絡(luò)層數(shù)據(jù)傳輸?shù)耐暾院蜋C密性�����。
3.對傳輸層的攻擊與對策
在該層面上����,去同步攻擊往往通過插入帶有虛構(gòu)命令標志序列號的消息����,來干擾終端同步��。而消息身份驗證可以有效地起到防御此類攻擊的效果��。
SYN洪泛攻擊往往利用海量SYN消息(但不發(fā)送ACK消息�����,以響應(yīng)被攻擊方的SYN ACK)�����,來阻塞目標消息隊列�����,并阻止其處理有效的SYN查詢����。而通過改進傳輸協(xié)議中的內(nèi)存和隊列管理,以及通過數(shù)據(jù)包過濾�、屏蔽和代理(中介)等方法�,可以減緩此類攻擊����。
由于缺乏內(nèi)置的數(shù)據(jù)加密和身份驗證措施,為帶寬有限的物聯(lián)網(wǎng)應(yīng)用所創(chuàng)建的簡單通信系統(tǒng)MQTT極易受到傳輸層攻擊��。而基于屬性的加密(ABE)方式通過提供廣播編碼��,實現(xiàn)了可擴展且可靠的安全MQTT協(xié)議���,能夠?qū)踩南鬟f給多個預(yù)期接收方�。
4.對應(yīng)用層的攻擊與對策
在應(yīng)用層�����,由于SCADA的Modbus消息協(xié)議缺少對虛假主從IP地址的識別���,因此未經(jīng)授權(quán)的遠程攻擊者可以通過提交具有錯誤IP地址的請求,發(fā)起MitM攻擊��。
如果Modbus的主設(shè)備和代理設(shè)備連接的驗證檢測不到位�,外部攻擊者可以利用Modbus主設(shè)備向任何從設(shè)備發(fā)送隨機命令,而無需完成身份驗證�。
如果在處理請求消息和單獨的輸入讀取響應(yīng)上存在開發(fā)缺陷����,Modbus系統(tǒng)會被攻擊者濫用����,在SCADA網(wǎng)絡(luò)上發(fā)起分布式拒絕服務(wù)(DDoS)攻擊。
由于Modbus-TCP將Modbus協(xié)議報頭擴展了7個字節(jié)�����,并大幅限制了數(shù)據(jù)包的大小���,因此攻擊者可以制作一個超過260字節(jié)的自定義數(shù)據(jù)包���,并將其發(fā)送到Modbus主從設(shè)備處。一旦設(shè)備未被正確地設(shè)置為拒絕此類數(shù)據(jù)包����,則可能會遭遇緩沖區(qū)溢出攻擊。針對應(yīng)用層的攻擊��,我們可以使用具有深度數(shù)據(jù)包檢查功能工業(yè)防火墻�,利用基于多項特征數(shù)據(jù)聚類優(yōu)化模型的企業(yè)級IDS,以及基于自主漸進神經(jīng)網(wǎng)絡(luò)和支持向量機(SVM)模型的網(wǎng)絡(luò)入侵防御系統(tǒng)(NIPS)���,來識別各種異常的Modbus-TCP流量模式����。
對供應(yīng)鏈的攻擊與對策
相對于組織的IT系統(tǒng),IIoT環(huán)境顯然要復(fù)雜得多���。特別是在工業(yè)4.0的OT環(huán)境�,網(wǎng)絡(luò)與設(shè)備中的許多部件都是由多個供應(yīng)商生產(chǎn)��,再由另一個供應(yīng)商組裝�����,最后由第三方交付(如下圖所示)��。整個供應(yīng)鏈環(huán)境難免潛藏安全隱患����,例如:硬件設(shè)備的芯片中可能被植入惡意代碼,安裝后門��,或是本身使用了帶有缺陷的芯片�。這些潛在的威脅不但會持續(xù)增長與蔓延�����,而且具有一定的隱蔽性,可能在很長一段時間內(nèi)都不被注意或發(fā)現(xiàn)��。
對此���,我們可以引入物聯(lián)網(wǎng)供應(yīng)鏈威脅的風(fēng)險分析(RIoTS)����。作為一種用于物聯(lián)網(wǎng)等互聯(lián)技術(shù)的風(fēng)險分析技術(shù)��,它建議采用攻擊樹的方法�,對供應(yīng)商及其組件進行建模,以發(fā)現(xiàn)供應(yīng)商的潛在威脅����,暴露IIoT系統(tǒng)內(nèi)部隱藏的危險,以便制定針對供應(yīng)鏈攻擊的預(yù)防策略�。針對IIoT供應(yīng)鏈攻擊的防護,我們可以從部件的上線前�����、中、后三個階段進行實施:
1.上線前
身份驗證:必須使用不可偽造的加密密鑰�����,來驗證部件的簽名證書
遵守標準:所有被納入IIoT的部件都必須遵守相關(guān)行業(yè)標準
安全測試:部件在被投入生產(chǎn)環(huán)境之前����,必須完成基本的安全性測試
2.上線中
分段分離:不但要對部件所處的關(guān)鍵網(wǎng)絡(luò)進行分段,而且要將其與外部網(wǎng)絡(luò)相分離
安全集成:在集成到第三方部件或生產(chǎn)環(huán)境時�����,必須持續(xù)對部件及其所處的網(wǎng)絡(luò)狀態(tài)進行風(fēng)險識別與評估
3.上線后
檢測警告:持續(xù)檢查部件的行為與狀態(tài)����,按需發(fā)送警告
安全更新:軟件必須通過安全的連接方式予以更新與運維
小結(jié)
不可否認,由于工業(yè)系統(tǒng)更注重的是生產(chǎn)設(shè)備的穩(wěn)定運行�����,因此它們的服役周期往往較長��,部件較為陳舊��、升級難免不及時到位����。鑒于這些復(fù)雜因素,在日常運營的過程中���,攻擊者會持續(xù)針對IIoT系統(tǒng)及網(wǎng)絡(luò)的各個層級����,根據(jù)發(fā)現(xiàn)到的各類漏洞���,利用各種手段��,展開不同的攻擊��。因此���,我們有必要持續(xù)保持高度警惕,深入識別多條威脅向量���,運用多種成熟的或前沿的防御技術(shù)與對抗策略����,來積極應(yīng)對��,打好“組合拳”。
沃卡惠
