乌克兰由刀豆文库小编整理,希望给你工作、学习、生活带来方便,猜你可能喜欢“乌克兰简介”。
黑色能量启示录——从乌克兰停电事件看网络安全
2016-03-03 安天
(本文是安天乌克兰停电事件分析小组在形成报告后进行的总结思考)。
BlackEnergy(黑色能量)作为乌克兰停电事件相关攻击组织使用的工具,在传播中已经成为这个攻击组织与这起事件的代名词,因此安天乌克兰停电事件分析小组针对此次事件做了如下思考。
尽管中国网络安全业界对乌克兰停电事件给予了极高关注,但不能不说,在这种关注中亦存在着不少茫然。一些声音认为除了造成了短时间的混乱和对社会生活的干扰,这次攻击并未造成实质性的影响,因此其效果有限。一些声音认为国内根本不可能出现类似的场景,因为关键设施是被“绝对”的分区和隔离的。包括在分析小组内部,也有同事认为,跟进这个事件分析无法发挥安天的优势,因为相对于安天过去分析的Stuxnet(震网)、Flame(火焰)、Equation(方程式)等APT事件来说,这组样本太过简单了。而小组内另一位负责基础设施安全研究的同事,则批判一份境外研究化工安全的分析报告,不懂化工,没有找到“最优”的攻击路径。
而回头来看,这正是我们自己的幼稚。
相比之下,更为值得思考的是,在没有发现0Day和作用于纵深工控场景的攻击模块被使用的情况下,这次攻击借助被看起来“普通”的恶意代码就达成了目的。很多人忘记了,战略性攻击成功的关键,未必是装备武库,而是攻击意志、持续关注和长期经营的“攻击性基础设施”。
因此还需要大量艰苦、具体、细腻的工作,以降低我国工业系统和基础设施在类似烈度的冲突中发生严重后果的可能性;并进一步削弱对手在我方工业控制和基础设施中的“战场预置”所能达成的后果。
优先改善上位机等PC环节的防护
在类似工控防火墙、工控扫描器等技术很自然地把传统安全方法延展到工控系统内部的时候,安天在2015年则开始倡导,工控防御要优先防御上位机和关联PC节点与网络的思路。而在此次针对乌克兰的攻击中,通过Internet向目标发送带有宏病毒的Excel格式文档,成为攻击的有效前导。对于攻击者来说,这是最容易找到的入口,而对于防御方来说,这是最早暴露的正面和软肋。
即使办公网络与生产网络执行了最为严格的隔离策略,办公网络依然存在着大量可以用于对生产网络踩点攻击的信息。而一旦攻击者已经到达了SCADA系统、上位机等关键位置,基本上就可以为所欲为,而类似X86节点和TCP/IP网络的防护,才恰恰是网络安全厂商所长。
目前,国内一些机构用户已经开始采购流量检测还原与沙箱动态鉴定的安全设备与服务,以降低WORD、EXCEL、PDF、WPS等各种格式文档作为攻击载荷,并采用“白名单+安全基线”的方式改善终端的防护。但目前对工业网络和关键基础设施的IT管理者来说,相关的意识更加匮乏。
进行更全面的合规检查、并引入更直接的网络安全演习
针对关键基础设施进行更多的合规检查是高度必要的,同时,参考“网络风暴”模式,逐步形成针对重要基础设施的常态化检测和演练能力会进一步看到问题、提升能力。
但我们要提醒安全研究者的是:威胁分析和演习,会发现一些攻击者可能进入的路径与作业可能性。但毫无疑问,对于复杂的基础设施来说,再多的分析和演习也不可能穷尽攻击者所有的风险。安全工作者在解开风险迷雾的时候,需要警惕的是,自认为能遍历攻击者攻击的可能性,并假定攻击者在自身所想定的最优攻击路径上进行攻击。其忘记的是,并非最优和效果最大化的攻击是无效的,而对于高能的攻击者来说,其拥有的资源和想象力则远远超出了防御侧。
因此,安全演习的结果不仅要驱动脆弱性的改善,更要有效驱动保障关键技术设施的防御体系和机制的建设。
重新审视物理隔离
在基础设施和生产系统中,物理隔离同样被高度迷信着,但需要注意到的是:传统的内网隔离安全很大程度上是受到封闭空间保障的,封闭空间的场景依托专用线路、围墙、身份认证、保安、摄像头等措施,提升了接触式攻击的成本。但社会基础设施则是需要向社会纵深进行有效覆盖的,特别是像电网这样的注定呈现出巨大的物理空间覆盖力体系,必然需要大量使用无人值守设备的方式。当专用网络需要把其触角延伸到社会的各个角落,当远程无人值守必须普遍使用,而从社会成本的角度,更不可能为每个基础体系建立独立的网络,其必然使用大量的公共信道,因此,这些孤点的风险不止在于它们可能是失能的末梢,也在于它们可能是攻击的入口。一个远程无人值守的变电站、一个城乡结合部的室外ATM、甚至一个远程智能仪表的卡口,都有可能反过来因其天生在“内网”,而成为攻击的入口。
“隔离就是安全,连接就是风险”的思想同样带来了巨大的安全负资产,且不要说那些得不到及时漏洞修补和安全能力更新的节点,而隔离网的心理安全想象与其造成的巨大维护不便遭遇在一起,则显然是致命的。在大量基础设施中,大量的维修、维护环节往往是集成商和供应商自身对接的,更换、补丁、固件,尽管可能有简单的备案存档,但并没有足够的留存和审计。而在更大的物流链、供应链的风险面前,单点进入物理隔离体系的成本已经足够低下,而一旦在一点建立持久化和隐蔽信道,就可以一点进入,击溃全局。
因此,如何既能发挥传统物理安全手段作用,削弱接触式攻击的风险,同时又以攻击者必然可以进入“内网”体系作为一个前提想定,来建立动态的防御能力,是我们需要考察的。
线上线下结合的复合式作业,是未来对抗的必然
乌克兰停电事件的另一个重要的特点是,攻击者采用了线上和线下相结合的攻击方式。即通过网络攻击导致基础设施的故障,同时又通过对故障处置电话进行拒绝服务的方式,来提升恢复成本。对少数研究者来说,这一现象不仅没有引起足够多的重视,反而将其作为攻击方作业粗糙没有艺术性的证据。
随着我们对风险的认知,从网络到达网络空间,我们需要看到的是,我们传统的划分虚拟世界和现实世界的思维,我们传统界定网络风险和现实风险的执念,都会被动摇。我们看到的将只是形形色色攻击者为达成攻击目的所采用的各种攻击手段,通过网络进行攻击,或者以网络乃至节点为攻击目标,只是攻击者的一种手段和战术型的目标选择。
从安全威胁的演进史上来看,传统物理空间和网络空间本来就是打通的,早期黑客针对大型机系统的攻击,很多就是依靠人员混入办公场所踩点的方式完成的。只是随着网络的普及,这种踩点逐步不再受到距离的困扰,并使成本逐渐低下。网络攻击和传统攻击的合流,有着两个路径,对于那些习惯网络作业的人,网络攻击只是一种能让攻击者获得心理安全感的方式,并在不断地试探社会法律底线的过程中,逐渐与网络风险威胁正碰;而另外一方面,完全不懂网络的传统恐怖分子、犯罪团伙也在不断寻觅新的机会。当两者间有足够多的交集,乃至浑然一体时就成为必然。
2014年4月,习近平总书记在中央国家安全委员会第一次会议时提出,“坚持总体国家安全观”。这为我们跳出单领域安全迷思,应对复合式的安全风险,提供了指向。
互联网+时代需要安全观的变革
传统安全边界,除了主权标定的意义外,其也为一个国家的核心区域构筑了地理纵深,这种纵深的形成,依赖于人员流动、物资流动,甚至武器攻击,都需要越过传统的地理空间来完成,这就给传统国家安全提供了通行、检查乃至预警、拦截和反击的时间。在网络时代,这个时间差被大大削弱了,攻击可以瞬间到达纵深目标,而没有足够的拦截研判时间,攻击的隐蔽性大大增强,可感知性大大下降,这将使唯一边界的作用被大大削弱。
过去,安天一直在倡导将边界安全观进化为国土安全观,这并不表示我们认为应该放弃传统安全边界。恰恰相反,安天认为安全能力不仅需要部署于边界,更需要部署于纵深,需要让每一个节点都具有安全边界,同时安全能力的组织可以呈现出弹性、自组织的特点。
而国土安全观的另一个重要特点是,安全防御纵深并不仅限于传统物理边界之内,而要前出到边界之外。要能把无关的安全事件,转化为改善自身防御的信息。正如我们今天讨论威胁情报——它的重要意义在于,其将组织的防御边界延伸于组织之外。
互联网+战略将极大程度提升中国传统行业和关键基础设施的效率和能力,同时我们也会看到网络风险和传统安全风险将更多的“合流”。
正因为这种巨大的风险已经来到眼前,用战争分析和备战的视角从乌克兰停电事件获得更多的教益,是我们在分析此事件后最重要的建议。
“战争不是活着力量对死的物质的暴力行动,而是两股活的力量之间的矛盾冲突。”换言之,防御不是活的力量与死的兵器之间的对抗。没有什么比对战争的思考可以治疗我们的幼稚病,战争的风险不能仅仅报以技术的准备,其必须进行战略、战术、基础体系和动员能力的综合准备。在战争的诸多可能性面前,“彻底御敌于国门之外”的美好愿景,绝对可靠的“安全永动机”,以及“以回合制解读攻防”的机械推演,都变得如此无力。
乌克兰停电事件,可能看起来没有上面的事件那样产生更全局的深远影响,但面对复杂的国内、国际局势,我们要把类似事件看成一种预言和范本。
有效地提升类似攻击的成本,建立同时应对多起类似的事件的反应能力和反制能力,震慑对手采用类似手法的企图,理应成为中国的基本能力。
法国人但因为部分334ttk84686768767 86876876 2015年12月23日,乌克兰发生了一次持续三个小时的电网系统事故,这次事故与当年美加大停电、印度大停电、莫斯科大停电等著名大停电事故比起来要小很多,可这次事故却是网络黑客首次通过网络攻击导致电网停电的大事故,因而此次针对工业控制系统的网络攻击具有里程碑意义,引发了国外媒体的广泛而高度关注,而国内却似乎少有媒体报道和公众关注。
这次事故发生在乌克兰的西伊万诺至弗兰科夫斯克地区,时间是当天下午3:30,持续时间约一个半小时(完全恢复供电则在三个多小时以后),共造成七座110千伏变电站与二十三座35千伏变电站停电,影响8万居民用电(也有报道称影响140万居民用电)。经过受影响电力企业专业人员、网络专业研究人员以及媒体对当前信息进行全面分析之后认为,可以肯定网络攻击是导致此次乌克兰供电中断事故的罪魁祸首。乌克兰官方将此次事件归咎于俄罗斯,但目前还没有任何确切证据能够证明这项指控。据总部设在美国的埃赛德公司网络间谍情报负责人约翰·胡尔特奎斯特表示,本次攻击来自俄罗斯黑客组织,使用的恶意软件被称为“黑暗力量”,“黑暗力量”病毒最早可以追溯到2007年,由俄罗斯地下黑客组织开发并广泛使用。
据多位网络专家分析,黑客在此次行动中展示了其规划能力、协作能力、恶意软件运用能力和以远程方式直接蒙蔽系统调度人员的能力,进而给这一电力供应基础设施造成严重影响,甚至试图通过在造成停机后以清除工业控制系统服务器的形式阻碍恢复工作的进行。此次攻击共包含三大组成部分:恶意软件、指向电话系统的拒绝服务机制以及在最终造成停机后的证据清理机制。有证据分析表明,这些被清理的组件同样拥有明确的目标,即实现其它组件的协同而非直接造成破坏。这次网络攻击由多项元素构建而成,其中包括面向系统调度人员的查看拒绝机制,外加负责阻止报告停电事故的阻断方案。一旦用户机器被渗透攻击成功,黑客可以轻易控制并实施具体攻击,在此次乌克兰电网断电事故中,“黑暗力量”实施了精确打击。
专家在分析事故后描述的攻击过程为:恶意组织发起面向生产中的工业控制系统的入侵活动——工作站与服务器受到感染——对调度人员进行“蒙蔽”——对工业控制系统主机进行破坏(包括服务器与工作站)——利用一系列手段拖延恢复并引发风险——确保工业控制系统与上述手段相协调——呼叫中心被大量来电挤占,无法正常应答客户的停电申诉——感染工作站并进一步移动至设施运行环境——开启断路器并导致供电中断。
乌克兰电网遭袭事件是第一次经证实的计算机恶意程序导致停电的事件,此事件证明了通过网络攻击手段是可以实现工业破坏的。
多位网络安全专家在阅读了黑客攻击的相关报道后提出了几个关键性疑问:一是谁对此次事件最感震惊?二是清除型恶意软件是否直接导致此次停电事故的发生?三是攻击者是否混合了多种攻击技术?四是乌克兰是否是这次攻击活动的既定目标?五是为什么工业领域仍然缺少理想的取证手段?六是此次黑客攻击是否属于军事测试?七是政府机关是否会就此做出改进?八是ICS供应商是否会改进自己的安全性水平?九是如何推进变革?
尽管乌克兰停电事故看起来属于一次滋扰级别的攻击活动,没有人员伤亡亦没有爆炸等严重的后续状况——但系统管理和网络安全审计委员会研究所所长Alan Paller表示,此次破坏行为很可能属于军事应用范畴。“网络武器很可能被埋藏在目标电力供应企业当中,并在必要时发挥与导弹相等同的作用——对方甚至根本意识不到自身已经受到了攻击,”他在2016年1月5号的系统管理和网络安全审计委员会通报当中强调称:“一旦电力与通信体系被破坏,国家调动防御及组织反击力量的能力也将无法继续。”专家提到了最近被披露的2013年美国纽约州雷伊大坝遭受入侵的事件——据称尽管没能获得系统的充分控制权,伊朗黑客仍然顺利侵入了该大坝的闸门装置。
我们必须高度重视中国电网的安全性。近年来,美加大停电、莫斯科大停电、罗马大停电、印度大停电的阴影一直都在人们的记忆中挥之不去。中国的大电网同样是事故不断。2006年7月1日,某省电网因继电保护误动作,安全稳定控制装置拒动等原因,引发一起特大电网事故。2009年9月25日,珠海发生大面积停电事故,导致几乎半个珠海市停电。2012年月6月,陕西西安电网发生特大电网事故,造成几乎半个城市停电。可想而知,大电网一旦出现特重大事故,必将引发连锁反应,有可能引发电网瓦解事故。
乌克兰电网与中国电网相比无论电网规模和电压等级都算很小很低的,这起事故虽然不像美加大停电和印度大停电那样的大区甚至跨大区电网特大事故,可这是首次通过网络攻击造成的电网大事故,它给我们的反思应该是多方面的,我想它至少应该从以下七个方面给我们深刻启示。
一是黑客组织或美国(或其它国家)网军通过网络病毒攻击以控制、打击、瓦解电网这类工业控制系统是可以做到的,这次攻击比2010年美国和以色列通过“震网”木马病毒攻击伊朗核设施的难度还要复杂,那么今后通过木马病毒攻击一个国家政府机关的网络系统、电网、高铁(地铁)、金融、航空航天、通信、卫星等系统的调度指挥系统也是完全可以做到的。二是当前国际形势极为复杂,世界格局和当代战争形态已经发生了重大变化和根本性的变革,美国和俄罗斯都极为重视网军的发展,都专门成立了网军司令部,网军除了配合军队进行直接的军事干扰和军事打击之外,还进行针对战争中敌对国家关键领域的指挥调度系统进行干预和破坏,以达到电网瓦解、大范围停电,通信中断、指挥不畅、飞机、铁路无法正常起降和运行,卫星受到干扰无法正常传输信号甚至被摧毁等等目的。
三是我国许多重要系统的基础硬件和软件都产自美国及美国盟国如日本及欧盟各国,而美国国防部一直都在利用美国的IT产品为其五角大楼的军事服务,包括苹果公司、谷歌公司的数据及隐藏在这些产品里的后门都在为五角大楼及美国的情报机构提供政治和军事服务,一旦两国矛盾激化甚至进入战争状态,所有美国IT产品都会成为美国攻击中国的武器,电网、高铁、金融、通信、卫星等等系统都会立即成为战争的前沿阵地,首当其冲地受到攻击。
四是虽然随着我国军事力量的发展以及相互间的核威慑,中美俄之间爆发大规模直接正面军事冲突的事件可能发生,也可能暂时不会发生,但文化战争、货币及金融战争和网络战争一刻也没有停止过,特别是网络战争每时每刻都在进行,其瞬间的攻击很可能就决定了国与国之间竞争的胜负,未必要真刀真枪地动用军队。当前美国在网络战方面的技术和能力远远超过中国,特别是当前美国调整了其国家战略,把战略重心转移到亚太和中国周边地区,针对中国的网络攻击一直都在进行,我们对国家重要的战略领域,如电网、金融、通信、铁路、卫星等国家重要系统的网络安全应该纳入国家战略安全的范围,从根本上拒敌于网络之外,否则会被动挨打。
五是既然通过网络攻击电网系统已经被证实是可能和可行的,那么对电网系统的网络安全系统就应该从根本上予以高度重视,从电网规划、网架结构、电网规模等方面进行研究,特别是软硬件设备的制造和研发的国产化方面要全面启动。随着电网的电压等级越来越高,规模越来越大,安全风险也越来越大,要充分论证将电网建设成超级特大电网的安全性及事故状态下的溢出影响,我担心的是特大电网一旦受到攻击并出现电网崩溃和瓦解,那将不再是一场电网事故,而将是一场重大灾难和人间惨剧。因此我们在确定电网规模时,一定要考虑国家安全和战争因素,考虑网络战对特大电网的影响和破坏,一定要确定电网规模的边界和电网安全的可控及能控,到底多大电网是合适的和安全的,一定要做到电网技术和网络防范技术上都能得到保证。为什么美国和日本都搞区域电网而不搞全国大电网?这值得我们深思。我认为从国家安全战略层面讲,电网并非越大越好,也并非越大越安全,相反,电网越大安全风险越高,破坏性越大,后果越可怕。乌克兰电网事故虽然并不是一个特大事故,但如果这种网络攻击破坏事故一旦发生在庞大的电网,会是一种怎样的情形?
六是随着中国国力的增强,中美、中日之间的摩察和冲突正在加剧,中国东海、南海、台海正在演化成中美、中日之间爆发重大冲突的热点区域,中国正在进行军事改革并专门组建了一支与陆军、空军、海军、火箭军同层级的战略支援部队,表明国家已经考虑到网络、太空和卫星战的极端重要性,表明中央为适应当代军事变革,防范敌人来自网络、太空、卫星等方向的攻击而做出了安全准备。我们一方面要做好军事准备,同时也要在国家层面充分考虑战争对相关国家重要系统在国防中的重大影响,从国家战略层面做好安排,不仅是军事的,而且有文化层面的、金融及货币层面的、网络层面的。
七是一旦发生区域性甚至全国性的特大电网崩溃事故那将是灾难性的。2008年南方冰灾造成了湖南郴州、贵州都匀等四座近百万人口的中等城市全城停电时间长达半个月的灾难,当时这几座城市连黑启动应急电源都没有,京九高铁因长时间停电而中断运行,银行和医院全部停电,连产房婴儿暖箱都没电可供,其惨状十分可怕。这只是自然灾难造成的局部电网事故,如果通过网络攻击造成大区甚至全国大停电,那将是一种什么状况令人不敢想像。因此我们一方面要在确保大电网安全的原则下做好电网规划,另一方面要做好各区域各城市应对电网崩溃时的快速应急启动电源和孤网运行的应急响应。一方面发展远距离输电系统,另一方面考虑各区域、各省及各大中城市的应急电源建设。
乌克兰发生的电网事故并不在于其事故有多大,而在于其发生的原因是因为网络攻击造成的,而美国等国一直都在进行这方面的研究,而且其技术和能力已经远远超过中国,如果美国将网络恶意软件攻击电网系统用于军事目的我们该如何应对?对此,我们一定要早防犯,早作准备,否则一味追求超级特大电网,到灾难发生时可能就悔之晚已。
引起街头政治的是总统亚努科维奇的一项决定。他决定不签署与欧盟深化融合的历史性协议,转而寻求与俄罗斯巩固关系。这项协议为乌克兰融入欧盟打好地基.乌克兰成为欧盟联系国,......
献给离开乌克兰并且很怀念那的朋友们! 1,在乌克兰平均每天说的最多的话是"您好 谢谢 " 2,在乌克兰要是有人打个喷嚏,周围的人会说“祝你健康!”。然后他要依次感谢。3,在乌克兰......
乌克兰政治危机研究报告【内容摘要】乌克兰政治危机,体现了地缘战略地位在当代的重要作用,本文从乌克兰自身的内部冲突及美、欧、俄三股势力介入的原因,结合地缘政治学的理论,......
展会名称:2014年第十届乌克兰国际农业展展会时间:2014年10月展会地点:乌克兰 基辅国际展览中心举办周期:一年一届主办单位:乌克兰农业部、乌克兰工业部、乌克兰农业科技研究院、......
乌克兰教育考察报告梁子2004年5月6日至5月19日,以姚纪欢副院长为团长的运城学院教育考察团一行5人(成员有音乐系主任姚德利、美术系主任刘学生、合作办学部部长赵岭洲、翻译胡......
