ICS-CERT报告:美国关键基础设施存在600多个安全漏洞

本文讲的是ICS-CERT报告:美国关键基础设施存在600多个安全漏洞,美国工控系统网络应急响应小组(ICS-CERT)警告,包括电站在内的美国关键基础设施正处于危险之中。

将关键基础设施连接到互联网的趋势导致美国关键基础设施工业控制系统中出现了超过600个IT安全漏洞。ICS-CERT的最新报告显示,相关漏洞涉及供水、能源和石油行业。

该报告涵盖了美国工控系统网络应急响应小组在2015年针对全美基础设施发布的112项评估,以响应该机构“预防、保护、缓解和响应关键基础设施网络威胁和通信中断”的提议。

这些评估包括了46项结构设计评估、28项网络架构认证和有效性检测,其直接来源是关键基础设施的运营商和拥有者。此外还有38个网络安全评估工具的测试,包括关键基础设施运营者的自我评估。工控应急小组并没有保留这些测试数据。

调查显示,漏洞数量高达令人担忧的638个,其中最常见的是“边界保护”方面的漏洞,工控应急小组表示这将导致非常严重的后果。

“边界防护将会有效地减缓攻击进程,并让面向非法活动的检测、分析和警报更加简单,支持运营和事件响应人员。”

“缺乏强有力的保护,攻击者将更容易渗透进关键资产的网络边界,访问高价值信息并操纵由工业控制系统管控的设备。”

另一个巨大问题是“最小运行环境”,其含义是通过将雇员能够访问到的系统限制到他们的工作需要上,减少风险。工控应急小组表示,在这方面也发现了很多的问题。

报告指出:“比如白名单使用较少、部署不安全的、过时的或者存在漏洞的操作系统服务,在系统运行不需要通讯端口时依然让它们保持打开状态。”

关闭所有非必需端口、服务和应用会缩小工业控制系统的攻击界面,并提升监控、分析必要通讯流量的能力。
报告同时揭示了可能会对关键基础设施造成威胁的新型IT趋势,包括虚拟机和远程控制工具的安全配置不合理、自带设备办公策略的崛起等。

报告中称:“使用自带办公设备访问个人电子邮件、网页和社交媒体应用对于工业控制系统而言存在天然风险。机构必须考虑风险和合适的措施,比如移动设备管理系统,来将风险控制到可接受的级别。”

关键基础设施拥有者和运行者更加依赖云服务的趋势也会成为未来的问题之一。

报告称:“机构必须确保工业控制系统架构中处于外界的部分拥有与工业控制系统本身相同的安全性。”

“机构必须考虑到工业控制系统运行信息完整性、安全性和保密性,以及与恢复、事件管理、故障切换、诊断支持、监控和其它依赖云端服务提供的特殊支持的运行和功能细节。”

这项评估包涵数个领域,如下图所示,显示了问题的深度和广度。

2015年的一份报告警告称,对美国电网和相关设施的网络攻击可能对全国造成最高1万亿美金的经济损失。

ICS-CERT解释称,考虑到对国家的重要性,与关键基础设施相关的机构必须尽一切努力,对运行操作部署强力的安全措施。

报告总结称:“保护国家的关键基础设施对于确保公众信心、保护安全、财富和生命安全至关重要。”

我们的许多关键基础设施依赖于自动控制系统来确保工业流程的效率和安全,因此机构进行安全评估时十分有必要的,这可以帮助他们理解如何有效防止设施受到网络威胁侵害。
卡巴斯基实验室的首席安全研究专家David Emm对媒体表示,该报告的结果令人担忧。“没人想要一份报告了许多漏洞的文件,就像你去看牙医的时候不希望听到要修牙。”

不过,Emm指出,针对工业控制系统环境下手的攻击者数量增长无疑意味着可利用的漏洞数量和类型也会同时增长。

“2009年以来,被攻击者试探和攻破的系统有所增多,因此该数字将会开始上升。”

然而,由于来自俄罗斯和中国的黑客很有可能曾经访问过美国大型企业的核心系统,工业控制系统环境中存在如此多的漏洞无疑将带来人们对黑客能够、甚至已经渗透进对国家至关重要的系统中的怀疑。

时间: 2024-10-24 03:41:47

ICS-CERT报告:美国关键基础设施存在600多个安全漏洞的相关文章

关键基础设施保护:美国土安全部已培养出4000名专业人才

美国达荷国家实验室(INL)和国土安全部(DHS)宣布成功举办了第100次工业控制系统网络安全(301)培训课程,本次培训由DHS工业控制系统网络应急响应小组(ICS-CERT)主办. 该培训是专门为防御关键基础设施行业系统而设立,自2007年4月以来,超过4000名网络安全专业人士参与了此课程. DHS与INL实验室合作培训 美国国家与国土安全助理实验室主任扎克·图德表示,培训体现了INL和DHS之间的重要合作.图德对团队能通过独特的课程保护国家关键基础设施安全而感到骄傲. INL表示,自20

美国工业控制系统网络应急响应小组2015年关键基础设施报告

美国工业控制系统网络应急响应小组( Industrial Control Systems Cyber Emergency Response Team,ICS-CERT )在过去的财年中共收到 295个涉及关键基础设施的上报事件 ,与之相比,去年的事件数为245件. 在 ICS-CERT 给出的2015年数据中, 全部安全事件的三分之一涉及关键制造领域 ,该比例在2014年仅为27%. 某高级持续威胁小组针对关键制造业和其它领域发动的鱼叉式钓鱼行动导致了这种上升.该小组被称为 APT3,黑客成员在

美国意欲对伊朗关键基础设施发动大规模网络攻击

近日,美国首映的一部纪录片表明:早在奥巴马执政初期,美国就制定了对伊朗关键基础设施进行大规模网络攻击的详尽计划. 这部纪录片名为<零日>.据<纽约时报>和Buzzfeed上披露的影片资料显示:该计划代号"Nitro Zeus",目标是摧毁伊朗的电网.防空和通信服务.一旦出现限制该国核计划的外交努力失败,军事冲突在所难免的时候,美国就会启动这个备用方案. 网络攻击的核心目标,是摧毁库姆(Qum)市附近深山中的地下核浓缩工厂福尔多(Fordo).行动计划定为:向福尔

DDoS会危害关键基础设施吗? “安全加”认为媒体搞错了方向 APT攻击才是杀手锏

近期发生的一系列分布式拒绝服务(DDoS)攻击已经严重影响了互联网的正常运作.于是,"安全加" 总是接到媒体的需求(特别国外媒体)要求说一说DDoS对工控领域的威胁,这让安全加小编有些哭笑不得.1到目前为止,大多数对关键基础设施,尤其是涉及国家命脉的工控领域,都是通过木马渗透内网,然后实施APT攻击:2涉及国家命脉的工控领域,大多都不会直接暴露在外网,这包括国外也是一样的:3DDoS大多是攻击外围网络,然后瘫痪它,你把外网打瘫了,自己不也进不去了吗?为了让大家了解更多的相关信息,小编整

关键基础设施是否会成为DDoS攻击的新目标?答案是不大会

想必各位都知道,近期发生的一系列分布式拒绝服务(DDoS)攻击已经严重影响了互联网的正常运作.不过安全专家认为,类似电网和天然气管道等关键基础设施不太可能会遭到大规模的DDoS攻击.但是他们也承认,目前大量的关键基础设施中仍然存在严重的安全问题. 近期的一些DDoS攻击事件 就在上个月,美国新罕布什尔州的域名系统(DNS)服务商Dyn经历了一次大规模DDoS攻击,而此次攻击也给北美地区的大量用户的工作和生活带来了很大的不便.此次事件不仅使大量热门网站被迫下线,而且还导致广大网民好几个小时都无法正

那些造成物理破坏的关键基础设施攻击

本文讲的是 那些造成物理破坏的关键基础设施攻击,智库阿斯彭研究所(Aspen Institute)和英特尔安全卫士(Intel Security)联合发布了一份调查报告.文中指出,关键基础设施的运营商经常遭受网络攻击,其中一些造成了物理层面上的破坏. 美国市场研究机构万顺伯恩(Vanson Bourne)组织了一场调查,邀请到了625位技术决策者,他们来自美国.法国.德国.英国,隶属于各大关键基础设施运营商,范围涵盖政府和私营领域. 调查结果显示,尽管各大关键基础设施的安全负责专家们对攻击规模.

代号“沙尘暴”:黑客剑指日本关键基础设施

近日,安全公司Cylance公开了一个针对日本商业和关键基础设施,代号"沙尘暴"行动的黑客活动."沙尘暴"行动幕后之手至少从2010年起已开始活动,黑客已把日本.韩国.美国和其他亚洲国家的几个组织作为了攻击目标. 黑客组织资金充足 专家相信此是资金充足的专业组织所为, 且有些情况导致研究者猜测或有国家组织的参与. Cylance研究员揭露幕后之手从2015年开始集中精力于日本组织机构,他们的黑客攻陷了日本电力.石油和天然气,交通运输,财政和建筑行业等组织机构的网络.

亚太地区:未来十年关键基础设施保护市场增长率最高

为了保护基础设施免于遭到网络攻击或已成为恶意攻击受害者之后为有效降低攻击影响,许多组织机构正纷纷采用关键基础设施保护技术.包括交通.金融服务保险业.IT.能源在内的多个行业都在部署关键基础设施保护解决方案,以保护关键信息和基础设施安全. 关键基础设施保护市场 关键基础设施保护解决方案能提供控制措施使设备稳定,保护设备之间的通信,管理并监控联网设备.除此之外,关键基础设施保护措施还包括采用网络安全控制.基于硬件的嵌入式身份验证,以及物理安全控制. 驱动因素和挑战 关键基础设施市场的最大驱动因素是政

ICS—CERT官网公示匡恩网络新发现四工控漏洞

近日,美国ICS-CERT官网相继公布了由匡恩网络智能安全工业研究院发掘的四个中高危漏洞和漏洞利用验证.匡恩网络率先预警了黑客利用这些漏洞实施网络攻击的风险,从多层面.多维度为工控安全"上保险",彰显了中国工控网络安全企业的国际影响力. 这四个漏洞分别为:GE Proficy HMI SCADA CIMPLICITY 权限提升漏洞.Advantech WebAccess ActiveX VBWinExec 远程代码执行漏洞.Advantech WebAccess ActiveX Chk