"ICS公开漏洞中,2013年的新增漏洞中高危漏洞则超过一半。APT攻击已成为针对ICS攻击的重要手段。",李博士解释,"简单地说,APT指一个具备相应能力和意图的组织,针对特定实体发起的持续和有效的威胁。严格来说,APT 能够灵活地组合使用多种新型攻击技术和方法,超越了传统的基于特征签名的安全机制的防御能力,能够长时间针对特定目标进行渗透,并长期潜伏而不被发现,是一种严密组织化的行为,拥有大量的资金支持、优秀的管理能力和大量高端人才。 "
通常认为,APT攻击包含情报收集、突破防线、建立据点、隐秘横向渗透和完成任务五个阶段。对此,绿盟科技给出了检测与防护给出的建议:
(1)全方位抵御水坑攻击。基于"水坑+网站挂马方式"的突破防线技术愈演愈烈,并出现了单漏洞多水坑的新攻击方法。针对这种趋势,一方面寄希望于网站管理员重视并做好网站漏洞检测和挂马检测;另一方面要求用户(尤其是能接触到工业控制设备的雇员)尽量使用相对较安全的Web浏览器,及时安装安全补丁,最好能够部署成熟的主机入侵防御系统。
(2)防范社会工程攻击、阻断C&C通道。在工业控制系统运行的各个环节和参与者中,人往往是其中最薄弱的环节,故非常有必要通过周期性的安全培训课程努力提高员工的安全意识。另外,也应该加强从技术上阻断攻击者通过社会工程突破防线后建立C&C通道的行为,建议部署值得信赖的网络入侵防御系统。
(3)工业控制系统组件漏洞与后门检测与防护 。工业控制系统行业使用的任何工业控制系统组件均应假定为不安全或存在恶意的,上线前必需经过严格的漏洞、后门检测以及配置核查,尽可能避免工业控制系统中存在的各种已知或未知的安全缺陷。其中针对未知安全缺陷(后门或系统未声明功能)的检测相对困难,目前多采用系统代码的静态分析方法或基于系统虚拟执行的动态分析方法相结合的方式。
(4)异常行为的检测与审计 。
李博士强调:"上述列举出的APT突破防线和完成任务阶段采用的各种新技术和方法,以及其他已经出现或者即将出现的新技术和方法,直观上均表现为一种异常行为。建议部署工控审计系统,全面采集工业控制系统相关网络设备的原始流量以及各终端和服务器上的日志;结合基于行为的业务审计模型对采集到的信息进行综合分析,识别发现业务中可能存在的异常流量与异常操作行为,发现APT攻击的一些蛛丝马迹,甚至可能还原整个APT攻击场景。 "
工业控制系统安全与传统的信息安全不同,它通常关注更多的是物理安全与功能安全,而且系统的安全运行由相关的生产部门负责,信息部门仅处于从属的地位。随着信息化与工业化技术的深度融合以及潜在网络战威胁的影响,工业控制系统也将从传统的仅关注物理安全、功能安全转向更为关注信息系统安全。李博士认为:"确保国计民生相关的工业控制系统安全已被提升到了国家安全战略的高度,再加上工业控制系统跨学科、跨行业应用的特殊性,建立工控系统的安全保障体系必须通过国家、行业监管部门、工业控制系统用户、工业控制系统提供商、信息安全厂商等多方面协同努力。"
上页 1 2