本文講的是<b>工業控制網絡安全技術與實踐一3.2.1 進階持續性威脅攻擊</b>,近年來,工控系統廣泛互聯,逐漸同生産管理、ERP系統、電子商務系統等相連,納入到統一的資訊系統中。直接暴露在網絡空間的工控裝置增多,帶來的風險也不斷增加。針對工控網絡的攻擊多為有組織的行為,采用了針對性極強的軟體或硬體惡意代碼滲透的進階持續性威脅(Advanced Persistent Threat,APT)攻擊體系。
APT是一種以商業和政治為目的的網絡犯罪類别,通常使用先進的攻擊手段對特定目标進行長期持續性的網絡攻擊,這種攻擊不會追求短期的收益或單純的破壞,而是以步步為營的滲透入侵政策,低調隐蔽地攻擊每一個特定目标,不做其他多餘的活動來打草驚蛇。APT攻擊多針對國家戰略基礎設施,其攻擊目标包括政府、金融、能源、制藥、化工、媒體和高科技企業。APT攻擊綜合多種先進的攻擊手段,多方位地對重要目标的基礎設施和部門進行持續性攻擊,其攻擊手段包含各種社會工程攻擊方法,常利用重要目标内部人員作為跳闆進行攻擊,且攻擊持續時間和潛伏時間可能長達數年,很難進行有效防範。
APT攻擊的主要特征是攻擊持續性、資訊收集廣泛性、針對性、終端性、滲透性、潛伏控制性、隐蔽性與未知性,這些特性使得攻擊者利用工控系統的漏洞進行有特定目标和多種方式組合的攻擊,進而使傳統的防禦手段失效,帶來更為嚴重的安全問題。一般來說,APT攻擊包含5個階段,分别為情報收集、突破防線、建立據點、隐秘橫向滲透和完成任務[21],具體過程如圖3-2所示。
前文提到的伊朗核電站遭到“震網”病毒的攻擊就是工控網絡遭受到APT攻擊的典型案例。迄今為止,許多國家或地區都受到過APT攻擊的威脅。2014年12月,德國聯邦資訊安全辦公室(BSI)釋出了一份2014年資訊安全報告,公布了德國一家鋼鐵廠遭受進階持續性威脅(APT)網絡攻擊并造成重大實體傷害。攻擊者使用魚叉式釣魚郵件和社會工程手段,獲得鋼鐵廠辦公網絡的通路權,然後利用這個網絡,設法進入鋼鐵廠的生産網絡。攻擊者的行為導緻工控系統的控制元件和整個生産線被迫停止運轉,由于不是正常關閉煉鋼爐,進而給鋼鐵廠帶來了重大的破壞。
表3-1列舉了近年來影響較大的APT攻擊事件。
原文标題:工業控制網絡安全技術與實踐一3.2.1 進階持續性威脅攻擊