两周前,爱尔兰电网遭受了网络攻击。上个月,美国能源公司,包括一家核电站,遭受了数字攻击。去年 12 月,俄罗斯对佛蒙特州一家公用事业公司的黑客攻击铺天盖地。从媒体的喧嚣中,人们可能会得出结论,电网基础设施正处于黑客引发的崩溃边缘。
然而,真实情况更加复杂。《大众科学》采访了电网网络安全专家 Robert M. Lee,他是工业网络安全公司 Dragos, Inc.的首席执行官,以区分事实与炒作。Dragos 致力于保护关键基础设施免受网络攻击,最近从投资者那里筹集了 1000 万美元,以进一步推进其使命。在创立这家公司之前,Lee 曾在美国政府工作,分析和防御针对基础设施的网络攻击。在他军事生涯的一部分中,他还从事政府的进攻前沿工作。他的工作使他对基础设施网络安全的双方都获得了第一手的了解。
[以下是采访的编辑稿。]
关于支持科学新闻
如果您喜欢这篇文章,请考虑通过以下方式支持我们屡获殊荣的新闻报道: 订阅。通过购买订阅,您正在帮助确保未来出现关于塑造当今世界的发现和想法的具有影响力的故事。
我们应该对电网和基础设施网络安全有多担心?我们最应该担心什么?
实际上,我们的电网和大多数基础设施在可靠性和安全性方面都构建得相当好。几十年来,我们在工业工程领域一直有着强大的安全文化。这种安全性和可靠性从未从网络安全的角度考虑过,但它为我们提供了一个非常易于防御的环境。
例如:如果美国电网的一部分出现故障。我们通常会为飓风或冬季风暴预测这些情况。我们很擅长摆脱计算机并进行手动操作,只需操作基础设施即可使其恢复。通常是几个小时,也许几天;从不超过一周左右。
许多这些网络攻击都与计算机技术和基础设施的互连性有关。因此,当他们以这种方式攻击它时,您谈论的是几个小时,也许一天,最多一周的破坏。对于合理的场景,我们谈论的不是长时间的停电,我们谈论的也不是损害安全。
现在,可怕的一面是[双重的]。首先,我们的对手变得更具侵略性。他们正在从工业工程的角度,而不仅仅是从计算机技术的角度,了解有关我们工业系统的很多信息,思考如何破坏甚至可能破坏设备。这是您开始触及一些特别令人担忧的场景的地方。
第二件事是,我们恢复手动操作的能力,我们基础设施的坚固性——很多都在发生变化。由于商业原因,由于缺乏人手来胜任这项工作,我们开始看到越来越多的基于计算机的系统。我们开始看到更多通用的操作系统平台。这为对手提供了他们以前无法获得的规模。
当您说我们的对手变得更具侵略性时,您指的是什么?
关键事件是 2015-2016 年的乌克兰攻击,[其中网络攻击导致乌克兰电网部分瘫痪],以及 2013-2014 年的两次不同攻击,BlackEnergy2 和 Havex,[两个针对能源部门公司部署的恶意软件程序]。基本上,一年对工业设施进行广泛的间谍活动;第二年进入工业环境;然后在 2015-2016 年达到攻击的高潮。这本身就具有侵略性。
对于我自己的公司,我们在[整体]活动中所看到的是,它正在增长。在过去的十年中,我看到对手的活动在某种程度上有所增加,然后在 2013-2014 年左右开始激增。
在这些攻击中,对手实际上在做什么?
[攻击分为两大类。]第一阶段入侵旨在获取信息。这些是我们已经习惯听到的传统间谍活动,其中信息被盗或删除。第二阶段攻击可能会导致临时停电、设备物理损坏或我们经常听到的其他类型的场景。重要的是要注意,这些并非易事。如果攻击者想发展到第二阶段攻击,在第一阶段入侵期间,他们必须窃取特定于[该]工业环境的信息。
我提到的 2013-2014 年的活动正是您想要用于转向第二阶段活动的这类第一阶段活动。因此,他们把我们所有人都吓坏了。但是我们最近听到的事情——核站点和大约十几个在新闻中报道的,在网络钓鱼活动中受到攻击的能源公司——所有这些听起来都不像是为了转向第二阶段而量身定制的。
一旦对手侵入用于电子邮件、文档等的“业务网络”,他们要访问用于控制和监控工业设备的工业控制系统 (ICS) 网络有多大的飞跃?
在核环境中,由于安全法规,[业务网络和控制网络]是气隙隔离的——[即,一个网络上的计算机无法与另一个网络上的计算机通信]。因为您进入了业务网络,您就可以轻松进入 ICS 网络的想法是荒谬的。在其他工业基础设施中并非如此——电力、石油和天然气、制造业等。您绝对拥有互连的 [ICS] 网络。
这里的细微之处在于,我们在社区中有一个笑话:您会遇到不太了解 ICS 的安全人员带着渗透测试人员进来,说:“天哪,我发现了这么多漏洞!” 因此,笑话是,我为什么不直接让您坐在终端前?我将给您 100% 的访问权限。现在让灯闪烁。那里存在很大的差距。[因此,挑战]不是那么容易获得访问权限。一旦您获得访问权限,您是否知道该怎么做,而不仅仅是会让人感到尴尬?
这些对手攻击美国电网的动机是什么?
我认为,除了冲突情景之外,对手没有正当理由破坏或摧毁工业基础设施。乌克兰和俄罗斯就是一个很好的例子。我并不一定指的是宣战,但在我们看到冲突的地方,我认为我们会看到工业攻击:朝鲜-韩国、中国-台湾。
但是,有一些情况让我担心,我们可能会被强迫,并且不清楚发生了什么。我至少知道一个案例,其中一个熟练的对手侵入了工业环境,并且在情报行动的过程中,他们意外地撞倒了一些敏感系统,导致了可见的破坏,几乎造成了多人伤亡。最糟糕的是,我们实际上在一个月后才意识到这是一次失败的行动,因为取证和分析需要时间。因此,可能会出现这种情况,即美国、俄罗斯、中国、伊朗等大国正在互相进行情报行动,正在进行预先部署以进行威慑或政治杠杆,并且以一种看起来像是我们一段时间内都无法透明了解的攻击的方式搞砸了该行动。我们没有关于如何处理这种情况的国际规范。
但是,在冲突情景之外,我看不到[蓄意]破坏性或破坏性攻击的优势。我认为我们没有看到它并不是因为他们不想这样做,而是因为投资回报率很低。真正有利的是让美国国会议员和政策制定者害怕工业基础设施可能发生的事情。这种恐惧比实际关掉灯然后让他们意识到[它们将在]六小时后恢复原状更能推动政策。
我们应该采取哪些措施来提高对网络攻击的健壮性?
您可以投资的[安全措施]有一个滑动比例。您拥有架构——从一开始就正确构建它。接下来是被动防御:供应商工具和位于架构之上的安全工具。在此之上是主动防御——人们在环境中搜索威胁。在此之上是情报,即分析对手的活动,甚至可能侵入他们的网络。然后是进攻,这显然是一种攻击,可能是为了摧毁恶意基础设施。
我一直认为,安全社区倾向于规模的进攻方面,因为它听起来更酷。但是,对组织来说最有价值的是另一面。
我们的法规和行业趋势已经使我们的架构达到了相当不错的水平。被动防御可能还需要一些改进,但我们正在逐步完善。完全缺失的部分是主动防御。全球工业控制系统 (ICS) 网络安全专业人员不到 1000 人。我们必须专注于人员培训。对抗灵活且资金充足的人为对手的唯一方法是,让训练有素的防御人员在可防御的环境中工作。
在乌克兰的攻击事件中,甚至在 “震网”病毒(2010年对伊朗铀浓缩厂的攻击)中,攻击在网络上都非常明显。我们只是处于一种人们不关注或者没有技术来提供洞察的环境中。一旦我们拥有能够促进人们提问的环境,并且我们有(能够)提出正确问题的人员,我们就会发现防御者实际上在这个领域中占据相当大的优势。