杜绝Stuxnet恶意软件 保护工业以太网安全

题记： zui近，刚刚出现的 Stuxnet 恶意软件是解释Tofino工业网络安*方案可以保护工业以太网安全的重要例证之一。

　　Stuxnet是*利用Windows零日漏洞、针对控制系统和公共事业机构发动攻击的恶意软件。Stuxnet 的设计者综合运用了漏洞知识、黑客伎俩以及潜在的物理安全漏洞，来发起针对重要基础设施系统的攻击。

　　Stuxnet 攻击运用的知识之所以“巧妙”，原因有二。首先，该恶意软件通过利用先前未知的 Windows 漏洞实施攻击和传播。其次，该恶意软件的组件包括两个具有rootkit行为、有数字签名的驱动程序，对于恶意软件而言，这点很不寻常。

　　这两点已被媒体广泛报道。接下来重点谈一谈遭受攻击系统存在的潜在风险、多种不同攻击媒介协同“*”的复杂性，以及这对能源领域意味着什么。

　　以下是我们目前了解到的Stuxnet攻击的运行机制：

　　1. 用户将 USB 驱动器（或任何移动存储介质）连接到系统;

　　2. 已感染的驱动器利用零日Windows Shell Code漏洞实施攻击，运行恶意软件;

　　3. 该恶意软件在受攻击系统中进行搜索，试图访问西门子Windows SIMATIC WinCC SCADA 系统数据库。（万幸的是，该恶意软件的一个签名证书已被吊销，另一个也即将被吊销）

　　4. 该恶意软件使用 WinCC 西门子系统中的硬编码密码来访问存储在 WinCC 软件SQL 数据库中的控制系统运行数据。

　　这一事件有何潜在影响？该恶意软件的攻击目标是西门子SIMATIC WinCC 监控与数据采集 （SCADA） 系统。该软件可作为公用事业机构工业控制系统的 HMI（人机交互界面）。HMI 以图形方式管理并显示负责主要发电和输电设施运行的电厂控制系统信息。

　　HMI 不间断的监控发电厂控制系统的正常运行和整体运行状态。许多情况下，设置 HMI 的目的是为了对控制系统间的流程加以控制。HMI提供的图形化信息犹如一张地图，类似于计算机网络的拓扑图。恶意软件可能将部分重要基础设施的“地图”提交给其他恶意实体。

　　控制系统安全与 IT 安全

　　控制系统与 IT系统之间存在许多不同。IT系统要确保传输的机密性和可用性，而控制系统要保证全天候持续可用性。通常情况下，控制系统和IT 系统在相互独立的网络中运行，并由相互独立的团队进行管理。

　　由于控制系统必须做到全天候持续可用，控制系统环境中传统的管理流程变更非常耗时。因此，补丁程序更新、安全保护更新和修补程序或其他相关资源通常不会作为优先考虑的事项。在此示例中，西门子在其应用程序中使用硬编码密码，以提供对其 SQL 数据库的访问。该公司曾警告更改此类密码有可能危及系统的可用性。许多安全研究人员都曾对西门子这种明显违反安全策略的做法提出过异议。但是，考虑到在该环境中优先保证可用性的需求，上述做法是非常常见的。

　　美国能源部 （DOE）、美国国家标准技术局和许多私营机构都曾呼吁弥合 IT 系统和控制系统在安全原则上的鸿沟。通过建立类似国家能源法规委员会（NERC）的传统IT流程和法规遵从框架，可以实现上述目标。

　　有关控制系统的安全保护需求已经讨论了一段时间，但在得出结论之前，新威胁就出现了。让我们看一看在控制系统领域已经发生了什么：概念证明攻击、意外实例、不满员工的恶作剧、由于掌握的证据太少而无法确定其真实意图的针对特定实例的攻击。

　　2009年一切开始改变，4月7日NERC发布了一份公开警告，提示某种来自境外实体的恶意软件攻击已在电网中露出苗头。这就是目前声名大噪的Stuxnet攻击。让我们假设Stuxnet 意欲破坏电网、并将重要信息传给不法分子，来了解一下Stuxnet攻击的复杂性。

　　毋庸置疑，在 Microsoft Windows 中寻找一个支持代码执行的零日漏洞需要相当的专业知识，不过这样的例子也屡见不鲜。了解对控制系统的攻击方式就能明晰这一攻击异乎寻常的复杂性。

　　攻击者了解通常SCADA 系统会限制通过以太网端口的网络访问和通过USB设备的物理访问。同时攻击者还要拥有西门子控制系统的相应知识，这种知识对于在控制系统领域实施攻击以及找到访问数据库所需的默认硬编码密码均大有帮助。此类攻击的复杂性可见一斑。

　　如何抵御 Stuxnet

　　如何有效防范这一攻击？海天炜业自动化为您提供Tofino工业以太网安*方案，为您提供贴身的防火墙，提供设备保护区的区级安全，安全保护远超一般传统意义的防火墙。我们可以通过以下几点来深入理解Tofino防控Stuxnet的原理。

　　*，恶意软件。Tofino工业以太网安*方案是软件与硬件相结合的整体性方案，包括Tofino安全设备、可装载安全模块以及*管理平台Tofino CMP，提供了针对病毒、木马、蠕虫（包括Stuxnet蠕虫）、网络风暴等多种网络威胁的检测功能。与此同时，Tofino能够隐藏控制系统网络设备IP地址，使得黑客攻击成为无的之矢。

　　Tofino工业以太网安*方案保护工业控制系统免受黑客的攻击，有效防止与这一威胁相关的感染、恶意代码执行和恶意有效负载，隔离、防御网络风暴的侵害，实现对整个工业以太网的安全保障，有效防止网络中各站点遭受外来入侵者的破坏。

　　第二，工业通信协议。Tofino支持广泛的工业通信协议，全面涵盖了目前应用的Modbus TCP/IP、OPC、DNP3等。提供手段对通信协议进行深入的检查和控制，Tofino是世界上*个针对Modbus TCP/IP协议内容进行检测的防火墙。Tofino还可以定义点对点通信的通信协议，并具体到定义允许通过的指令，切实保障工业通信安全。

　　第三，攻击区域。USB 驱动器是主要的感染机制之一，这类设备在控制系统世界里*，一旦有外来可移动介质（例如U盘，可移动硬盘，以及第三方人员维护过程临时介入的笔记本电脑等）绕过防火墙进入工业网络的控制网，普通商用防火墙就再也无法发挥作用，对于此类网络安全问题束手无策。Tofino工业网络安*方案正好弥补了普通商用防火墙的缺憾，可以为工业网络提供zui底端的也是zui深层的保护，即使用户工业网络已经感染病毒、木马、蠕虫等，Tofino仍然可以保护您的关键设备不受影响、正常运行。

　　第四，Tofino的报警记录功能。 Tofino能够在*时间探测出工业网络中存在的异常和威胁，并及时将这些异常和威胁极其详尽的（威胁来自哪个设备，攻击去向哪个设备、采用的攻击方式等）报告工程师，以便工程师在*时间进行处理，从而避免由于网络原因导致的安全事故。

　　在Tofino看来，Stuxnet攻击的复杂性以及协同的持续性威胁的杀伤力足以令包括工业网络安全在内的所有公用事业企业胆战心惊。Stuxnet 攻击凸显出我们为确保工业网络安全所做出的一系列努力的重要性。

　　目前，海天炜业自动化引进加拿大Byres SecurityInc.的Tofino工业网络安*方案，正是基于对以往DCS客户所在企业、工厂的DCS工业网络安全事故频发的理解和判断，旨在推动Tofino产品的中国市场发展，帮助用户弥合 IT 安全与控制系统安全之间的间隙，为中国的工业以太网安全事业保驾护航！