聯網的工業控制系統 (ICS) 的保安危機
香港電腦保安事故協調中心利用 Shodan 互聯網服務搜尋器進行一項研究,搜尋到 106 個有互聯網連線的工業控制系統設備可被發現。究竟這些設備為何會暴露在互聯網?它們若果被攻擊時對社會和經濟有甚麼影響?我們嘗試在本文進行探討。
在 2015年 6月 SANS 發表了最新一份有關工業控制系統保安的調查報告 “The State of Security in Control Systems Today”[1],他們訪問了 314 個不同行業的工業控制系統管理員、操作人員或顧問服務供應商。根據該報告,有 73% 的受訪者選擇外來攻擊者為首三位威脅,當中 42% 更在首位,反映業界一致認為外來攻擊者是工業控制系統最大的威脅。
這個報告中也提到,對於設備提供外部連接的相關文件記錄也不足夠,無論這些外部連接是經由第三方供應商所開始,或內部的操作員或其他人,有 74% 的受訪者表示沒有完全的文件記錄。而這些連接都有可能利用到互聯網,導致關鍵的基礎設施暴露及直接受到攻擊的風險。
何謂工業控制系統?
工業控制系統(ICS)包括利用硬件和軟件進行監視和控制物理設施,應用的範圍由關鍵基礎設施,例如食水供應、污水處理、石油鑽探、天然氣開採,發電和交通運輸系統的信號控制等,到一般的自動化生產,醫藥加工及大廈管理等一般用途。我們日常接觸得最多的就是電力及空調控制,大廈的保安及自動化收費停車場的系統。
工業控制系統不斷的進化,現在已經進入了第四世代:物聯網(IoT),發展已步向個別的設備獨自連接互聯網,現在的工業控制系統可以更加分散,如交通燈也能夠經無線網絡技術連接到控制中心,控制中心可以根據沿著道路的傳感器收集的數據,在不同的交通情況下進行決策,向個別交通燈發出指令。
有什麼的保安風險?
由於物聯網已成為必然趨勢,連接互聯網系統設備將會愈來愈多,使得一些針對工業控制系統的攻擊在技術上和經濟上變得越來越可行了。如果相關系統或設備的韌體出現漏洞,攻擊者現在可以經互聯網進行遙距攻擊該漏洞,他們有可能取得系統的控制權,視乎個別工業控制系統的功能而造成不同的損害,例如影響照明或空調的控制,或癱瘓大廈保安系統的警報。如基建設施的工業控制系統被入侵,可能會影響全城市的電力和食水供應,或導致交通混亂,如軍事設施被入侵,人命安全也可能受到威脅。此外,攻擊者也可能經工業控制系統進入公司的內聯網進行其他的攻擊。
研究的結果
協調中心在 2015年 12月 9日利用 Shodan 互聯網服務搜尋器(網址: www.shodan.io)進行了一次性的研究,嘗試搜尋現時在香港有多少主流的工業控制系統設備使用常用的通訊協定連接上互聯網,發現到總共 106 個香港的工業控制系統設備連上互聯網(見表一)。
通訊協定 | 設備的數量 |
Bacnet | 38 |
Modbus | 30 |
EtherNet/IP | 15 |
Niagara Fox | 15 |
Siemens S7 | 8 |
DNP3 | 0 |
IEC-104 | 0 |
Red Lion | 0 |
總數: | 106 |
表一:被發現連上互聯網的香港工業控制系統設備的通訊協定
此外,在106 個被發現的設備當中,有79個能夠從控制器的回應中得知是那一個品牌的產品(見表二)。
工業控制系統品牌 | 設備的數量 |
AutomatedLogic | 20 |
Rockwell Automation | 15 |
Tridium | 15 |
Siemens | 15 |
Perle | 14 |
(不知名的) | 27 |
總數: | 106 |
表二:被發現連上互聯網的香港工業控制系統設備的品牌
我們嘗試搜尋以上的品牌的產品在過去五年間被發現過的漏洞,從 ICS-CERT 有關工業控制系統漏洞的數據顯示,由 2010 至 2015年12月11日共有 105 個漏洞警告[2]及 492 個漏洞公告[3]。當中和我們發現的品牌有關的分別有 14 個漏洞警告及 95 個漏洞公告。
如果可以得知工業控制系統設備的品牌,黑客可以利用相關產品已知的漏洞,嘗試向控制系統或設備進行攻擊。由於這類型的系統不會經常更新,黑客利用漏洞並控制相關的系統或設備的機會就大大增加了。
智能都市或智能家居概念會在未來將急速發展,這些智能化系統將會無處不在,當家中也進入智能化時代的時候,這些保安問題也變得普及,我們要及早了解其風險,提升保安意識,當保安事故出現時也能夠有足夠準備。
協調中心對工業控制系統管理者有下面的建議:
- 制定風險管理及危機處理的程序;
- 利用防火牆將工業控制系統的網絡和內聯網分離;
- 不要將工業控制系統直接連接互聯網,如要連接互聯網也請使用防火牆;
- 如要遠端控制人機互動介面(HMI) 或直接連接設備時,最好經虛擬私人網絡(VPN) 或撥號連線才能接觸;
- 人機互動介面或虛擬私人網絡的登入程序建議使用雙重認證;
- 工業控制系統的活動須保留完整的記錄和保持監測,當發現不正常的活動能夠發出警報;
- 在設備上鎖定 MAC 地址與 IP 地址的對照,防止入侵者進行假冒 IP 地址,攔截並篡改數據;及
- 保持控制系統及設備的軟件更新。
最後,SANS 的報告中有提到受訪者大部分也有電腦保安的相關認証,他們對電腦保安的知識十分足夠,但當中 52% 的受訪者並沒有控制系統的相關認証,所以控制系統的培訓也十分重要,讓他們能對控制系統的保安有較好的瞭解,可以在考慮保安問題時更加全面。
如你想了解更多有關工業控制系統的保安措施,你可以參考由美國的國家標準技術研究所出版的 "工業控制系統保安指引" NIST SP 800-82 [4]。
[1] https://www.sans.org/reading-room/whitepapers/analyst/state-security-control-systems-today-36042
[2] https://ics-cert.us-cert.gov/alerts
[3] https://ics-cert.us-cert.gov/advisories
[4] http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-82r2.pdf
分享至