(本文是安天乌克兰停电事件分析小组在形成报告后进行的总结思考)。
BlackEnergy(黑色能量)作为乌克兰停电事件相关攻击组织使用的工具,在传播中已经成为这个攻击组织与这起事件的代名词,因此安天乌克兰停电事件分析小组针对此次事件做了如下思考。
尽管中国网络安全业界对乌克兰停电事件给予了极高关注,但不能不说,在这种关注中亦存在着不少茫然。一些声音认为除了造成了短时间的混乱和对社会生活的干扰,这次攻击并未造成实质性的影响,因此其效果有限。一些声音认为国内根本不可能出现类似的场景,因为关键设施是被“绝对”的分区和隔离的。包括在分析小组内部,也有同事认为,跟进这个事件分析无法发挥安天的优势,因为相对于安天过去分析的Stuxnet(震网)、Flame(火焰)、Equation(方程式)等APT事件来说,这组样本太过简单了。而小组内另一位负责基础设施安全研究的同事,则批判一份境外研究化工安全的分析报告,不懂化工,没有找到“最优”的攻击路径。
而回头来看,这正是我们自己的幼稚。
相比之下,更为值得思考的是,在没有发现0Day和作用于纵深工控场景的攻击模块被使用的情况下,这次攻击借助被看起来“普通”的恶意代码就达成了目的。很多人忘记了,战略性攻击成功的关键,未必是装备武库,而是攻击意志、持续关注和长期经营的“攻击性基础设施”。
因此还需要大量艰苦、具体、细腻的工作,以降低我国工业系统和基础设施在类似烈度的冲突中发生严重后果的可能性;并进一步削弱对手在我方工业控制和基础设施中的“战场预置”所能达成的后果。
优先改善上位机等PC环节的防护
在类似工控防火墙、工控扫描器等技术很自然地把传统安全方法延展到工控系统内部的时候,安天在2015年则开始倡导,工控防御要优先防御上位机和关联PC节点与网络的思路。而在此次针对乌克兰的攻击中,通过Internet向目标发送带有宏病毒的Excel格式文档,成为攻击的有效前导。对于攻击者来说,这是最容易找到的入口,而对于防御方来说,这是最早暴露的正面和软肋。
即使办公网络与生产网络执行了最为严格的隔离策略,办公网络依然存在着大量可以用于对生产网络踩点攻击的信息。而一旦攻击者已经到达了SCADA系统、上位机等关键位置,基本上就可以为所欲为,而类似X86节点和TCP/IP网络的防护,才恰恰是网络安全厂商所长。
目前,国内一些机构用户已经开始采购流量检测还原与沙箱动态鉴定的安全设备与服务,以降低WORD、EXCEL、PDF、WPS等各种格式文档作为攻击载荷,并采用“白名单+安全基线”的方式改善终端的防护。但目前对工业网络和关键基础设施的IT管理者来说,相关的意识更加匮乏。
进行更全面的合规检查、并引入更直接的网络安全演习
针对关键基础设施进行更多的合规检查是高度必要的,同时,参考“网络风暴”模式,逐步形成针对重要基础设施的常态化检测和演练能力会进一步看到问题、提升能力。
但我们要提醒安全研究者的是:威胁分析和演习,会发现一些攻击者可能进入的路径与作业可能性。但毫无疑问,对于复杂的基础设施来说,再多的分析和演习也不可能穷尽攻击者所有的风险。安全工作者在解开风险迷雾的时候,需要警惕的是,自认为能遍历攻击者攻击的可能性,并假定攻击者在自身所想定的最优攻击路径上进行攻击。其忘记的是,并非最优和效果最大化的攻击是无效的,而对于高能的攻击者来说,其拥有的资源和想象力则远远超出了防御侧。
因此,安全演习的结果不仅要驱动脆弱性的改善,更要有效驱动保障关键技术设施的防御体系和机制的建设。
重新审视物理隔离
在基础设施和生产系统中,物理隔离同样被高度迷信着,但需要注意到的是:传统的内网隔离安全很大程度上是受到封闭空间保障的,封闭空间的场景依托专用线路、围墙、身份认证、保安、摄像头等措施,提升了接触式攻击的成本。但社会基础设施则是需要向社会纵深进行有效覆盖的,特别是像电网这样的注定呈现出巨大的物理空间覆盖力体系,必然需要大量使用无人值守设备的方式。当专用网络需要把其触角延伸到社会的各个角落,当远程无人值守必须普遍使用,而从社会成本的角度,更不可能为每个基础体系建立独立的网络,其必然使用大量的公共信道,因此,这些孤点的风险不止在于它们可能是失能的末梢,也在于它们可能是攻击的入口。一个远程无人值守的变电站、一个城乡结合部的室外ATM、甚至一个远程智能仪表的卡口,都有可能反过来因其天生在“内网”,而成为攻击的入口。
“隔离就是安全,连接就是风险”的思想同样带来了巨大的安全负资产,且不要说那些得不到及时漏洞修补和安全能力更新的节点,而隔离网的心理安全想象与其造成的巨大维护不便遭遇在一起,则显然是致命的。在大量基础设施中,大量的维修、维护环节往往是集成商和供应商自身对接的,更换、补丁、固件,尽管可能有简单的备案存档,但并没有足够的留存和审计。而在更大的物流链、供应链的风险面前,单点进入物理隔离体系的成本已经足够低下,而一旦在一点建立持久化和隐蔽信道,就可以一点进入,击溃全局。
因此,如何既能发挥传统物理安全手段作用,削弱接触式攻击的风险,同时又以攻击者必然可以进入“内网”体系作为一个前提想定,来建立动态的防御能力,是我们需要考察的。
线上线下结合的复合式作业,是未来对抗的必然
乌克兰停电事件的另一个重要的特点是,攻击者采用了线上和线下相结合的攻击方式。即通过网络攻击导致基础设施的故障,同时又通过对故障处置电话进行拒绝服务的方式,来提升恢复成本。对少数研究者来说,这一现象不仅没有引起足够多的重视,反而将其作为攻击方作业粗糙没有艺术性的证据。
随着我们对风险的认知,从网络到达网络空间,我们需要看到的是,我们传统的划分虚拟世界和现实世界的思维,我们传统界定网络风险和现实风险的执念,都会被动摇。我们看到的将只是形形色色攻击者为达成攻击目的所采用的各种攻击手段,通过网络进行攻击,或者以网络乃至节点为攻击目标,只是攻击者的一种手段和战术型的目标选择。
从安全威胁的演进史上来看,传统物理空间和网络空间本来就是打通的,早期黑客针对大型机系统的攻击,很多就是依靠人员混入办公场所踩点的方式完成的。只是随着网络的普及,这种踩点逐步不再受到距离的困扰,并使成本逐渐低下。网络攻击和传统攻击的合流,有着两个路径,对于那些习惯网络作业的人,网络攻击只是一种能让攻击者获得心理安全感的方式,并在不断地试探社会法律底线的过程中,逐渐与网络风险威胁正碰;而另外一方面,完全不懂网络的传统恐怖分子、犯罪团伙也在不断寻觅新的机会。当两者间有足够多的交集,乃至浑然一体时就成为必然。
2014年4月,习近平总书记在中央国家安全委员会第一次会议时提出,“坚持总体国家安全观”。这为我们跳出单领域安全迷思,应对复合式的安全风险,提供了指向。
互联网+时代需要安全观的变革
传统安全边界,除了主权标定的意义外,其也为一个国家的核心区域构筑了地理纵深,这种纵深的形成,依赖于人员流动、物资流动,甚至武器攻击,都需要越过传统的地理空间来完成,这就给传统国家安全提供了通行、检查乃至预警、拦截和反击的时间。在网络时代,这个时间差被大大削弱了,攻击可以瞬间到达纵深目标,而没有足够的拦截研判时间,攻击的隐蔽性大大增强,可感知性大大下降,这将使唯一边界的作用被大大削弱。
过去,安天一直在倡导将边界安全观进化为国土安全观,这并不表示我们认为应该放弃传统安全边界。恰恰相反,安天认为安全能力不仅需要部署于边界,更需要部署于纵深,需要让每一个节点都具有安全边界,同时安全能力的组织可以呈现出弹性、自组织的特点。
而国土安全观的另一个重要特点是,安全防御纵深并不仅限于传统物理边界之内,而要前出到边界之外。要能把无关的安全事件,转化为改善自身防御的信息。正如我们今天讨论威胁情报——它的重要意义在于,其将组织的防御边界延伸于组织之外。
互联网+战略将极大程度提升中国传统行业和关键基础设施的效率和能力,同时我们也会看到网络风险和传统安全风险将更多的“合流”。
正因为这种巨大的风险已经来到眼前,用战争分析和备战的视角从乌克兰停电事件获得更多的教益,是我们在分析此事件后最重要的建议。
“战争不是活着力量对死的物质的暴力行动,而是两股活的力量之间的矛盾冲突。”换言之,防御不是活的力量与死的兵器之间的对抗。没有什么比对战争的思考可以治疗我们的幼稚病,战争的风险不能仅仅报以技术的准备,其必须进行战略、战术、基础体系和动员能力的综合准备。在战争的诸多可能性面前,“彻底御敌于国门之外”的美好愿景,绝对可靠的“安全永动机”,以及“以回合制解读攻防”的机械推演,都变得如此无力。
乌克兰停电事件,可能看起来没有上面的事件那样产生更全局的深远影响,但面对复杂的国内、国际局势,我们要把类似事件看成一种预言和范本。
有效地提升类似攻击的成本,建立同时应对多起类似的事件的反应能力和反制能力,震慑对手采用类似手法的企图,理应成为中国的基本能力。