難以置信！隱藏在眾目睽睽之下的1700多萬個控制系統網絡事件

國際知名自動化和網絡安全專家JoeWeiss19日在其博客上發文稱，控制系統網絡事件的數量和影響比大多數觀察家預期的要多 - 超過1700萬直接導致超過 34,000人死亡。雖然已經發生了1,200多起與電網相關的事件，但這并不能充分反映對客戶和經濟的真正影響。在超過1700萬起控制系統網絡事件中，大多數是惡意而非無意的。從事件數量來看，大多數控制系統網絡事件都是基于工程的攻擊，用于掩蓋產品設計中的缺陷或造成物理損壞。這些攻擊不涉及Internet、Windows或OT網絡來執行攻擊。因此，這些事件無法通過網絡取證來識別，也不屬于現行CISO的工作范圍。這意味著大多數此類事件不會被現有的政府和行業網絡安全指南解決，也不會作為網絡事件提交給相關委員會。現今網絡防御者不會將這些視為惡意網絡攻擊，因為這些事件并不是他們預期的攻擊類型。在以OT網絡為中心的監管機構和從業者愿意解決基于工程的事件和攻擊之前，關鍵基礎設施的保護幾乎就是無從談起。Weiss始終認為，控制系統網絡事件比大多數安全專家和行業領導者認為的更為普遍和危險，它們也隱藏在眾目睽睽之下。Weiis也一直在推動工業界和網絡安全行業對控制系統網絡事件的認知和重視，倡導利用非IP網絡數據的手段解決此類風險。

盡管這位老先生關于控制系統網絡事件及其損失的統計數字的真實性無法考證，但此類基于工程的事件，或者是目前基于網絡數據的安全解決方案無法應對的事實，的確一直存在。

Joe Weiss稱自2000年幫助啟動電力公司的控制系統網絡安全計劃以來，他一直在積累控制系統網絡事件的數據庫。起初，建立數據庫的目的是：

a. 證明控制系統網絡事件是真實的，而且數量不小。

b. 表明大多數事件在多個部門都很常見。

c. 為培訓工程師和網絡人員提供輸入，讓他們知道控制系統網絡事件不僅僅是互聯網協議 (IP) 網絡異常時會發生。

d. 確定網絡安全緩解技術是否可以解決實際事件。

e. 在新控制系統的設計中使用，以確保解決無意或惡意的威脅。

f. 幫助保險業和信用評級機構了解這種存在的風險。

就此而言，他已經與安全廠商一起使用了數據庫，以幫助驗證安全廠商的安全技術是否可以解決特定的實際案例。?

Weiss選擇事件入庫的標準是它們是事件而不僅僅是漏洞，并且事件必須直接或間接地影響控制系統或它們管理的物理過程。如果事件只影響IT系統(大多數勒索軟件就是這種情況)，就沒有將它們收錄在內。(這使其數據庫與大多數其他以勒索軟件案例為主的數據庫有明顯區別)。他也沒有對受通用惡意軟件影響的組織進行詳細統計和列表，例如Slammer、Blaster、Confiker、Not-Petya、WannaCry以及似乎每天都在激增的各種勒索軟件版本。盡管無人機是“網絡工具”，但該數據庫不包括任何用于軍事行動的案例。因此，就確定的案例數量而言，他的數據庫還是非常保守。該數據庫包含的事件類型非常廣泛，因為它包括“傳統”IP 網絡網絡事件以及失相事件、基于工程的攻擊、電磁干擾 (EMI) 和射頻干擾 (RFI) 案例禁用的控制系統和其他特殊情況。Weiss還將這些案例與RISI和SCIDMARK等現有數據庫進行了比較，以確保數據庫是完整的。

Weiss采納了美國政府問責局 (GAO) 21-477對網絡事件定義，即“危害信息系統或系統處理、存儲或傳輸的信息的網絡安全的事件；或違反安全政策、程序或可接受的使用政策的事件，無論其是否由惡意活動引起。包括網絡攻擊在內的網絡事件可能會損壞信息技術資產，造成與業務中斷和盜竊相關的損失，泄露敏感信息，并使實體面臨客戶、供應商、員工和股東的責任。”

該數據庫不公開，因為該數據庫包含許多機密案例。該數據庫也不包括已分類的事件。該數據庫包括以下行業的事件統計：

● 飛機

●?電力T&D/SCADA(輸電、配電和微電網)

●?設施(建筑物、實驗室、數據中心等)

●?食品與飲料

●?陸路交通(鐵路、汽車、交通信號燈等)

●?制造業(所有類型的制造業)

●?海事(船舶、港口、船閘等)

●?醫療(醫療設施和醫療設備)

●?礦業

●?核電站

●?石油/天然氣/化學品

●?流水線

●?發電廠(化石、水力和可再生能源)

●?太空(火箭、衛星)

●?水/廢水

國家和地區包括：

●?非洲

●?亞洲

●?澳大利亞/新西蘭

●?加拿大

●?歐洲

●?中東

●?南美洲

●?美國

該數據庫有一種無意但自然的偏向于收集美國和加拿大的事件。然而，許多設施和控制系統供應商都是全球性的。因此，無論事件發生在何處，大多數事件都直接適用于每個地區。由于維護數據庫不是他的全職工作，它基于發現或獲悉的事件，這意味著它并不涵蓋已發生的所有事件。顯而易見的是，控制系統網絡事件繼續在所有類別中發生，盡管它們被勒索軟件事件的數量“淹沒”了。這可以解釋為有網絡取證來識別 IT/勒索軟件事件，但通常不是用于控制系統網絡事件。

網絡安全的重點一直放在電力、水、化學品、管道、石油/天然氣和制造業等關鍵基礎設施上。然而，基礎設施中發生了重大網絡事件，這些事件意料之外地容易受到網絡攻擊，例如對公路隧道設備造成物理影響的網絡相關影響。還有一些網絡事件涉及模擬系統。

對于制造業和管道等行業，計算事件相對簡單，因為它適用于受影響的每個設施，但不會產生乘數效應。然而，與電網網絡相關的事件會產生多重影響。例如，一次導致區域電網關閉數日的網絡相關事件影響了5000萬人。把那個事件算作1，而不是5000萬。根據該統計，自 1990年代后期以來，美國發生了 6次與網絡相關的停電，至少影響了96,000名客戶。還發生了許多重大的國際電網網絡相關中斷，涉及大量人口。因此，盡管發生了1,200多起與電網網絡相關的事件，這并不能充分反映每起事件對客戶和經濟的真正影響。在某些情況下，電網網絡事件并未對電網造成影響。在其他情況下，電網會關閉數小時至數天，影響無法獲得備用電源的人口和企業。同樣的乘數效應也適用于化工廠等設施，這些設施與網絡相關的有毒物質釋放影響了數萬人，或者飛機失事導致數百人死亡。

控制系統網絡事件的直接和間接經濟影響可能是巨大的，但沒有進行過詳細的經濟分析。例如，結果并未反映影響 5000 萬人的區域停電的經濟影響。控制系統網絡事件直接導致企業破產的案例已有數起。此外，控制系統事件的經濟影響非常保守，因為Weiss沒有對經濟影響進行凈現值計算。相反，Weiss使用了事件發生時的影響值。舉個例子，1999年奧運輸油管道破裂，按1999年的美元計算，那次事件的影響是4500萬美元，按2022年的美元計算，顯然要多得多。Joe Weiss最后給出了相關建議：

A. 制定適當的控制系統網絡安全培訓，以識別可能與網絡相關的事件。

B. 制定與組織所有受影響部分共享控制系統網絡事件信息的流程。

C. 制定與行業和政府共享經過凈化的控制系統網絡事件信息的流程。

D. 在網絡安全政策和程序開發中使用控制系統網絡事件信息。

E. 開發一種具有CVE類型流程的方法來解決控制系統網絡事件。

F. 在網絡安全緩解開發中使用控制系統網絡事件信息。

G. 在控制系統設備開發中使用控制系統網絡事件信息。

H. 在安全分析中使用控制系統網絡事件信息。

I. 在事件響應培訓中使用控制系統網絡事件信息。

J. 在物理層面使用過程傳感器監控來識別無意和惡意的網絡事件。

Joe Weiss是控制系統和控制系統電子安全方面的行業專家，在能源行業擁有40多年的經驗。Weiss先生是眾多與控制系統安全相關的組織的成員。其中包括北美電力可靠性公司 (NERC) 控制系統安全工作組 (CSSWG)、國際電工委員會 (IEC) 技術委員會 (TC) 第57工作組 - 數據和通信安全、過程控制安全需求論壇、CIGRé WG D2.22–電力公用事業 (EPU) 和其他行業工作組的信息安全處理。還擔任審查信息安全對IEEE標準影響的工作組負責人。他還是ISA標準與實踐委員會的董事，ISA工業自動化和控制系統安全 (ISA99) 的常務董事，Ponemon 研究所Fellow，IEEE高級會員。

原文鏈接

1、https://www.controlglobal.com/blogs/unfettered/blog/21438102/more-than-17-million-control-system-cyber-incidents-are-hidden-in-plain-sight

2、https://iiotday.com/event-speakers/joe-weiss/

來源：網空閑話