3.2.1 高级持续性威胁攻击
本文讲的是工业控制网络安全技术与实践一3.2.1 高级持续性威胁攻击,近年来,工控系统广泛互联,逐步同生产管理、ERP系统、电子商务系统等相连,纳入到统一的信息系统中。直接暴露在网络空间的工控设备增多,带来的风险也不断增加。针对工控网络的攻击多为有组织的行为,采用了针对性极强的软件或硬件恶意代码渗透的高级持续性威胁(Advanced Persistent Threat,APT)攻击体系。
APT是一种以商业和政治为目的的网络犯罪类别,通常使用先进的攻击手段对特定目标进行长期持续性的网络攻击,这种攻击不会追求短期的收益或单纯的破坏,而是以步步为营的渗透入侵策略,低调隐蔽地攻击每一个特定目标,不做其他多余的活动来打草惊蛇。APT攻击多针对国家战略基础设施,其攻击目标包括政府、金融、能源、制药、化工、媒体和高科技企业。APT攻击综合多种先进的攻击手段,多方位地对重要目标的基础设施和部门进行持续性攻击,其攻击手段包含各种社会工程攻击方法,常利用重要目标内部人员作为跳板进行攻击,且攻击持续时间和潜伏时间可能长达数年,很难进行有效防范。
APT攻击的主要特征是攻击持续性、信息收集广泛性、针对性、终端性、渗透性、潜伏控制性、隐蔽性与未知性,这些特性使得攻击者利用工控系统的漏洞进行有特定目标和多种方式组合的攻击,从而使传统的防御手段失效,带来更为严重的安全问题。一般来说,APT攻击包含5个阶段,分别为情报收集、突破防线、建立据点、隐秘横向渗透和完成任务[21],具体过程如图3-2所示。
前文提到的伊朗核电站遭到“震网”病毒的攻击就是工控网络遭受到APT攻击的典型案例。迄今为止,许多国家或地区都受到过APT攻击的威胁。2014年12月,德国联邦信息安全办公室(BSI)发布了一份2014年信息安全报告,公布了德国一家钢铁厂遭受高级持续性威胁(APT)网络攻击并造成重大物理伤害。攻击者使用鱼叉式钓鱼邮件和社会工程手段,获得钢铁厂办公网络的访问权,然后利用这个网络,设法进入钢铁厂的生产网络。攻击者的行为导致工控系统的控制组件和整个生产线被迫停止运转,由于不是正常关闭炼钢炉,从而给钢铁厂带来了重大的破坏。
表3-1列举了近年来影响较大的APT攻击事件。
原文标题:工业控制网络安全技术与实践一3.2.1 高级持续性威胁攻击