企业网络安全
13.Oct.2020
拒绝服务(DoS)攻击给全球设备制造商带来的挑战与因应之道
物联网的多元发展为各界带来明显的商机,各行各业相继推出连网商品,除了智能家电、智能摄像机等消费型商品外,连工控、医疗、通讯、交通等非消费型行业的设备也纷纷加入物联网行列。而在这蓬勃发展的商机下,最开心的莫过于黑色产业链了,原本难以攻占的场域,全部都因为装置连网而创造出新的攻击蓝图,新加入连网世界的设备瞬间成为黑客争相访问的对象。
DoS攻击对基础建设的影响
2019年美国sPower电力供应商所遭受的网络信息安全攻击,便是典型的DoS攻击事件。sPower是美国最大的私人太阳能电力供应商,2019年3月黑客利用电力系统中的已知漏洞进行长达12个小时的攻击,反复中断操作人员与12个发电站的通讯,使得十多个风电场与太阳能农场的供电出现短暂无法使用的状况[1]。
鉴于基础设施受到攻击的事件频传,美国政府也高度重视这类的网络信息安全事件,因此美国政府责任署(Government Accountability Office, GAO)受美国国会要求委托,于2019年8月发布的研究关键基础设施保护文件中,提出对实施联邦电力网络安全策略的建议。其中针对能源部(DOE)定义评估电力网络安全风险的策略执行力度进行了评定,同时也针对联邦能源管理委员会(FERC)批准的网络安全标准在解决电力网络安全风险上可达到的程度作了评定。美国政府责任署同时也定义了威胁电力网络的国家、犯罪集团、恐怖分子以及不同攻击策略的许多细节,其中DoS攻击则被列为可能是恐怖分子攻击的手法之一。[2]
物联网带来的便利性让连网设备范围由消费性商品扩大至国家基础设施,美国许多地区的三表(水表、电表、瓦斯表)已经换成具备连网功能的Smart Meter。国内也在建置智慧电网,通过智慧电网可实现快速取得用户使用能源信息、精准估算能源用量并可根据用量定制收费等多重好处,让传统电表逐渐汰换为具备连网功能的数字电表。然而便利的连网设备,却成为黑客对能源公司基础设施发动攻击的利器,在其频繁攻击的手法中,甚至存在以瘫痪设备为目的的DoS攻击。消费性产品安全的不足所引起的攻击事件,第一时间的冲击可能是消费者暂时无法使用该产品,但若是对发电或供水设备进行攻击,能源公司受攻击,轻则无法取得客户的使用资料,重则可能导致大规模停电、断水,或爆发成为撼动国家安全的高级别灾难。
2018年德国奥格斯堡大学与柏林自由大学发表的论文"You Snooze, You Lose: Measuring PLC Cycle Times Under Attacks"指出,对可编程逻辑控制器(Programmable Logic Controller, PLC)发送洪水攻击(Flooding Attack),能造成工控设备物理控制过程中断或失效,达到拒绝服务(Denial-of-Service, DoS)攻击的效果。ICS-CERT于2019年12月12日针对此类可能造成可编程逻辑控制器周期时间影响(PLC Cycle Time Influences)的攻击手法发布了一份报告,因其具有"可远程攻击"、"低技术要求"等特性,因而将此问题编列为CVE-2019-10953漏洞,并给予CVSSv3评7.5分,列为高风险漏洞(CVSS向量为AV:N / AC:L / PR:N / UI:N / S:U / C:N / I:N / A:H),受影响的设备包含了ABB, Phoenix Contact, Schneider Electric, Siemens, WAGO。[3][4]
在制造业上,近年国内也在大力推动智能制造,鼓励工业设备连网以提供完整的生产履历并提升产品合格率,过去因为工厂设备无连网需求,对于网络信息安全防护的概念十分薄弱。如果厂区的安全防护机制未能跟上现代的防护观念,极可能受DoS攻击后便造成产线停摆,这将对制造业及相关的供应链造成极大损害,因此提升工控设备安全质量来降低DoS攻击的风险已是刻不容缓的事。
仲至信息科技旗下的「HERCULES SecDevice漏洞检测自动化工具」,具备检测连网产品环境配置与安全性评估等自动化功能,内置120多个测试项目,可协助用户在产品开发过程中发掘已知和未知漏洞,其中模拟DoS攻击的测试项目,可让设备在测试过程模拟从数据链路层(Data Link Layer)至传输层(Transport Layer)协议的DoS攻击,达到拒绝服务攻击的效果,适合让设备制造商进行DoS攻击演练与联网设备安全强度测试;「HERCULES SecFlow产品网络信息安全管理系统」可让研发团队在软件设计与开发阶段,检查所使用的第三方开放源代码套件是否存在争议性授权问题及重大网络信息安全漏洞,开发过程层层把关,进一步提升产品安全性,并使产品符合法规要求,以降低网络信息安全风险。
媒体报导
参考资料:
[1] First-of-a-kind U.S. grid cyberattack hit wind,solar ,
https://www.eenews.net/stories/1061421301
[2] CRITICAL INFRASTRUCTURE PROTECTION, Actions Needed to Address Significant Cybersecurity Risks Facing the Electric Grid,
https://www.gao.gov/assets/710/701079.pdf
[3] You Snooze, You Lose: Measuring PLC Cycle Times under Attacks, Hochschule Augsburg, Augsburg, Germany & Freie Universitat Berlin, Berlin, Germany, https://www.usenix.org/system/files/conference/woot18/woot18-paper-niedermaier.pdf
[4] ICS Advisory (ICSA-19-106-03) PLC Cycle Time Influences (Update A), https://us-cert.cisa.gov/ics/advisories/ICSA-19-106-03
[5]Most ICS vulnerabilities disclosed this year can be exploited remotely,
https://www.helpnetsecurity.com/2020/08/20/ics-vulnerabilities-exploited-remotely/
[6] Threat Landscape for Industrial Automation Systems in H2 2018,
https://securelist.com/threat-landscape-for-industrial-automation-systems-in-h2-2018/90041/
[7] Security for industrial automation and control systems - Part 4-2: Technical security requirements for IACS components, https://webstore.iec.ch/publication/34421
鉴于基础设施受到攻击的事件频传,美国政府也高度重视这类的网络信息安全事件,因此美国政府责任署(Government Accountability Office, GAO)受美国国会要求委托,于2019年8月发布的研究关键基础设施保护文件中,提出对实施联邦电力网络安全策略的建议。其中针对能源部(DOE)定义评估电力网络安全风险的策略执行力度进行了评定,同时也针对联邦能源管理委员会(FERC)批准的网络安全标准在解决电力网络安全风险上可达到的程度作了评定。美国政府责任署同时也定义了威胁电力网络的国家、犯罪集团、恐怖分子以及不同攻击策略的许多细节,其中DoS攻击则被列为可能是恐怖分子攻击的手法之一。[2]
DoS攻击对工控设备造成的危害
根据调查,70%的工控系统(ICS)已知漏洞可被黑客远程操控,而其中通过远程执行代码(RCE)的漏洞侵入工控系统的比率占了49%,侵入之后进行DoS攻击的比率也高达39% [5]。另外卡巴斯基在2018年的统计调查报告中也指出,大部分工控系统上的漏洞属于重大风险等级且可能会造成拒绝服务(DoS)攻击,且其攻击成功率也高达50%[6]。2018年德国奥格斯堡大学与柏林自由大学发表的论文"You Snooze, You Lose: Measuring PLC Cycle Times Under Attacks"指出,对可编程逻辑控制器(Programmable Logic Controller, PLC)发送洪水攻击(Flooding Attack),能造成工控设备物理控制过程中断或失效,达到拒绝服务(Denial-of-Service, DoS)攻击的效果。ICS-CERT于2019年12月12日针对此类可能造成可编程逻辑控制器周期时间影响(PLC Cycle Time Influences)的攻击手法发布了一份报告,因其具有"可远程攻击"、"低技术要求"等特性,因而将此问题编列为CVE-2019-10953漏洞,并给予CVSSv3评7.5分,列为高风险漏洞(CVSS向量为AV:N / AC:L / PR:N / UI:N / S:U / C:N / I:N / A:H),受影响的设备包含了ABB, Phoenix Contact, Schneider Electric, Siemens, WAGO。[3][4]
在制造业上,近年国内也在大力推动智能制造,鼓励工业设备连网以提供完整的生产履历并提升产品合格率,过去因为工厂设备无连网需求,对于网络信息安全防护的概念十分薄弱。如果厂区的安全防护机制未能跟上现代的防护观念,极可能受DoS攻击后便造成产线停摆,这将对制造业及相关的供应链造成极大损害,因此提升工控设备安全质量来降低DoS攻击的风险已是刻不容缓的事。
对物联网安全的规范要求
物联网设备安全问题渐渐攀升,让愈来愈多国家要求设备制造商提升设备本身的安全性,例如美国在2016年11月发布《保护IoT策略准则(Strategic Principles for Securing the Internet of Things)》;在工控领域也有工业自动化控制系统(IACS)的网络安全标准来要求工控安全。2019年2月27日IECEE(国际电工委员会电工产品合格测试与认证组织)发布工业自动化控制系统的安全性第4-2部分(IEC 62443-4-2 : 2019),将资源可用性列为基础要求的第七项(Fundamental Requirement No.7 : Resource Availability),其中元件要求第7.1项拒绝服务攻击的防护(Component Requirement 7.1 : Denial of Service Protection),便针对工控设备遭到拒绝服务攻击事件而影响效能时,规定组件仍应维持良好基本功能运作。因此设备制造商将需在开发流程中验证并致力提升自身产品抵抗拒绝服务攻击的能力。[7]设备制造商面对DoS攻击的因应之道
连网的便利性与信息安全如何兼具,这一直都是企业高度关注的议题,对跨越连网设备的制造商而言,如何为物联网商品提升安全性更是一项新的挑战。然而面对物联网信息安全也不是没有方法可循,首先可以通过建立符合规范的产品开发流程,在每个阶段导入安全设计重点,落实Secure by Design的概念;在测试阶段可以通过自动化工具进行测试以减少产品上市前的网络信息安全风险。仲至信息科技旗下的「HERCULES SecDevice漏洞检测自动化工具」,具备检测连网产品环境配置与安全性评估等自动化功能,内置120多个测试项目,可协助用户在产品开发过程中发掘已知和未知漏洞,其中模拟DoS攻击的测试项目,可让设备在测试过程模拟从数据链路层(Data Link Layer)至传输层(Transport Layer)协议的DoS攻击,达到拒绝服务攻击的效果,适合让设备制造商进行DoS攻击演练与联网设备安全强度测试;「HERCULES SecFlow产品网络信息安全管理系统」可让研发团队在软件设计与开发阶段,检查所使用的第三方开放源代码套件是否存在争议性授权问题及重大网络信息安全漏洞,开发过程层层把关,进一步提升产品安全性,并使产品符合法规要求,以降低网络信息安全风险。
媒体报导
参考资料:
[1] First-of-a-kind U.S. grid cyberattack hit wind,solar ,
https://www.eenews.net/stories/1061421301
[2] CRITICAL INFRASTRUCTURE PROTECTION, Actions Needed to Address Significant Cybersecurity Risks Facing the Electric Grid,
https://www.gao.gov/assets/710/701079.pdf
[3] You Snooze, You Lose: Measuring PLC Cycle Times under Attacks, Hochschule Augsburg, Augsburg, Germany & Freie Universitat Berlin, Berlin, Germany, https://www.usenix.org/system/files/conference/woot18/woot18-paper-niedermaier.pdf
[4] ICS Advisory (ICSA-19-106-03) PLC Cycle Time Influences (Update A), https://us-cert.cisa.gov/ics/advisories/ICSA-19-106-03
[5]Most ICS vulnerabilities disclosed this year can be exploited remotely,
https://www.helpnetsecurity.com/2020/08/20/ics-vulnerabilities-exploited-remotely/
[6] Threat Landscape for Industrial Automation Systems in H2 2018,
https://securelist.com/threat-landscape-for-industrial-automation-systems-in-h2-2018/90041/
[7] Security for industrial automation and control systems - Part 4-2: Technical security requirements for IACS components, https://webstore.iec.ch/publication/34421
