随着IoT技术的演进与下沉,万物互联的时代正在加速到来。数据显示,目前全球物联网设备数量已达到70亿,预计到2020年,活跃的物联网设备数量将增加到100亿。与此同时,IoT技术对经济的影响与日剧增,因IoT漏洞产生的恶性事件严重影响行业的发展信心,超过三成的企业表示物联网系统正成企业安全面临的重大挑战。
针对IoT设备安全存在的管理难、检测难问题,一些科技公司一直关注并希望能够实现技术突破。近日,花甲科技公司研究人员通过最新技术手段发现西门子、施耐德、大众(奥迪)、奔驰等多家知名企业的工业系统中存在多处高危漏洞,这些漏洞可以被用来修改设备配置和梯形逻辑、将修改后的程序数据写入到设备的内存模块、从设备的内存模块中删除程序数据以及对受影响的设备进行拒绝服务攻击等。
专家表示,多数工业系统在设计之初是封闭的“单机系统”,没有考虑联网需求,而随着“互联网+工业”的推进,一批系统和设施的风险暴露出来。很多工控系统和设备没有防护软件,也不能安装杀毒系统,一旦上了网往往是“裸奔”状态。
通过花甲科技本次样本检测共211个固件样本(包括206非工业系统 + 5工业系统)包括路由器、交换机、智能摄像头、其他(无人机、智能音箱、工业控制系统、矿机等)。在这些固件样本中,IoT-Argus共扫描出166316个风险漏洞,其中路由器和智能摄像头存在的安全风险数量最多,路由器占到64%,智能摄像头占32%。在本次测试的5个工业固件样本中,共发现7436个风险,其中高危风险占比达28%,中危风险达54%,低危风险达18%。
从已知漏洞的数据统计发现拒绝服务的风险占比达50%,除此之外占比较多风险类型还包括缓冲区溢出、信息泄露、权限提升、内存破坏、代码执行等。利用这些已存在的IoT设备安全风险,数千万的IoT设备会受到影响,轻则正常功能被阻塞,无法响应用户请求,重则被不法分子利用来精心构建完整攻击链路,获取更高系统权限,将IoT设备变成公开的密码本和行走的感染源。除了单个点对点的攻击形态,构建传染性的僵尸网络会把物联网万物互联的特性发挥到极致,影响更大量级的群体。
过去,我国绝大多数工业系统是封闭系统,也称单机系统,不用考虑联网情况,现在随着工业“互联网+”的推进,IT和OT(操作技术)实现互联,必然导致一批系统和设施暴露。
“很多系统和设备没有防护软件,也不能安装杀毒系统,一旦上了网就处于‘裸奔’状态。”一位业内人士透漏,通信、能源、水利、电力等关键基础设施存在安全风险,而入侵和控制工控系统也已成为商业上打压竞争对手的不法手段。
从全球发展趋势来看,工业控制系统日益成为黑客攻击和网络战的重点目标。
近年全球重大工业信息安全事件频发:2010年伊朗核设施遭受“震网病毒”攻击;2016年美国东海岸大面积断网……全球工业网络安全总体风险持续攀升,呈现高危态势。
定向攻击精准性提升迅速。大量工控系统漏洞、攻击方法可以通过互联网等多种公开、半公开渠道获取,许多技术分析报告给出了网络攻击步骤、攻击代码甚至攻击工具等详细信息,极易被黑客等不法分子利用。
技术手段复杂化、专业化。针对工控系统的攻击已从原来一个代码攻击一两种漏洞,进化成一个代码嵌入数十种底层系统漏洞,绝非一个业余爱好者能够实现。
防范工控系统漏洞风险重在知己知彼
对于工控系统已知漏洞,升级厂商提供的补丁版本是最为直接且有效的方式,但现实中并不那么简单。
主观方面,一些人还存在认识误区,觉得自身工控系统不会被攻击,因为工控系统是物理隔离的,不存在攻击接入点,故不需升级系统固件,更不需要建设工控安全防护方案等措施。
客观方面,对于工控系统的漏洞,并不是所有已运行系统都能够详细监测到漏洞情况,并获得详细的漏洞分析报告。因此并不是所有在运行的程序都能实现升级。首先,作为重要生产控制系统,为确保系统稳定性,一些系统升级前要求进行完整的运行测试。如通过仿真工厂环境,对补丁进行验证,而很多企业并没有测试条件。其次,一些核心的系统需要长期稳定运行,不能停机,尤其在流程制造行业,非停机系统升级更是存在技术门槛。所以工控系统即使被通报存在安全漏洞,因为没有详细、准确的分析报告,多数组织并不对工控系统进行升级。
面对潜在的危机,发现危机是解决危机的前提和基础。花甲科技面向物联网行业推出的首个自动化安全扫描系统——IoT-Argus。
IoT-Argus支持对各类物联网固件的安全扫描和风险检测,集成上百种扫描插件,能够对世面上主流的物联网固件进行解包、提取,对静态与动态的代码进行自动化分析检测,及时发现固件存在安全漏洞与潜在风险,并能够30分钟内提供详实直观的安全分析报告。IoT-Argus的安全分析报告,极大的提升了客户的安全防护能力,对于构建可控、可靠、可管理的工控安全纵深防御体系,有效应对工控系统的各种漏洞风险具有显著的帮助作用。在对现有工控网络“零”影响的前提下,IoT-Argus实时分析工控网络流量并深度解析工控协议,实现网络流量可视化、指令级的工控协议通信审计、异常控制操作和网络攻击等关键事件告警。提高工控网络安全事件感知、响应、溯源能力。
