谷神星网络解密谁在攻击你的ICS设备

四、到底谁在攻击ICS设备

数据表明，2013年3月至6月间，蜜罐网络中总共有7台蜜罐遭受到来自俄罗斯、德国、美国等16个国家共74次的攻击。此外，还有11次“危险”攻击，即虽然是无目的攻击，但会导致ICS设备灾难性的瘫痪。同样，还有很多“非危险”攻击，虽不会对ICS设备造成灾难性影响，但如果持续发生的话，也会带来严重后果,如企图读/写PLC或SCADA设备等。

其中，日本蜜罐受到的攻击最引人注目。攻击者在ShosanHQ

搜索中输入“SCADA country：Japan”进行查询，根据运行结果，确定到蜜罐的IP地址，并进行了2次远程端口扫描。第一次是对首1024个端口扫描，他们经常先扫描这些他们认为的常规端口。在发现端口502(如Modbus端口)是开放的之后，他们又对所有65,535个端口进行了扫描。但是，他们并没有采用相对隐蔽、不易发觉的“慢扫描”方式，而是一次性扫描了所有端口，所以就引起了注意。攻击者扫描目标设备端口后，继而图谋入侵HMI(该HMI已设有缺省用户名和密码的安全防护);他们似乎只是手动尝试了几次用户名和密码后，就成功进入到HMI安全区域。然后，他们一边尝试登陆Windows Server 2003，一边企图读取和修改Modbus通讯。读取Modbus通讯失败之后，攻击者快速转去修改蜜罐HMI的设定值;他们在修改了泵腔压力值和水温值，并预设了水泵的关闭时间后，即刻退出系统，停止了一切与蜜罐/Windows服务器的相关活动。

另外，蜜罐网络记录中除了有目标攻击，还有多达33,466次的自动攻击，如SQL注入攻击等。

五、为什么攻击ICS设备

虽然蜜罐网络捕获了大量的攻击企图，但却很难判定攻击者的动机。目前主要根据攻击来源国来评估他们的动机。例如，A国如果有意拷贝B国的ICS设备技术的话，那么就会认此为A国攻击的动机。另外，还要结合攻击的影响来判定。如果目标攻击并没有侵害ICS设备，那么攻击者有可能只是进行间谍或信息收集活动。如果目标攻击侵害了ICS设备，那么可以根据受影响程度来判定其背后动机是否为蓄意破坏。

根据蜜罐网络在2012年12月至2013年5月15日期间捕获的攻击数据，可以肯定，至少15次目标攻击是为了收集信息、监视目标或侵害目标运行;至少33次攻击是破坏性的，意图中止目标ICS设备的运行。

六、如何防御ICS设备攻击

ICS设备受威胁的范围一直在快速变化，对ICS设备的攻击也在不断发生，如果按照“谁在攻击你的ICS设备?”文中建议及做好以下控制措施，可以有效防御ICS攻击：

1) 封闭所有USB及外部媒介接口;

2) 采取积极主动的防护措施;若条件允许，可以在ICS网络中使用反入侵系统(IPS)或其他各种主动的保护措施;

3) 设立应用白名单机制，仅允许列在白名单上的应用在ICS设备上安装和运行;

4) 对数据分类管理;将数据分为“高度机密”，“机密”和/或“开放”等类别，保护重要且机密的数据，避免向ICS设备外部泄露;

5) 遵循相关标准;如国家安全技术研究所(NIST)--美国政府的ICS标准，可以行之有效地管理ICS设备网络;

6) 定期进行反向测试;查找网络漏洞，确保网络漏洞已打补丁，可以降低漏洞数量，了解漏洞位置。

7) 管理漏洞;采用漏洞扫描仪和管理仪对ICS基础结构进行扫描和管理可以有效降低漏洞的数量，帮助对ICS环境威胁保持警醒。

谷神星网络科技：创造性系统解决方案提供商。

•谷神星网络科技有限公司，应时代而生，为工业网络的安全提供了国际先进的整体解决方案。•北京谷神星网络科技有限公司，成立于2012年，以强大技术实力和创新商业理念，致力于成为工控及物联网络安全领域的领跑者。

•谷神星网络科技，基于“物”的网络安全领先技术，聚焦客户最重要的挑战与需求，创造解决本质问题的产品与服务，使得谷神星成为企业决策者和技术高管最信赖的伙伴，保卫万物互联的世界，协助客户实现丰收的喜悦。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友