兩週前,愛爾蘭電網遭受了網路攻擊。上個月,美國能源公司,包括一家核電站,遭受了數字攻擊。去年 12 月,俄羅斯對佛蒙特州一家公用事業公司的駭客攻擊鋪天蓋地。從媒體的喧囂中,人們可能會得出結論,電網基礎設施正處於駭客引發的崩潰邊緣。
然而,真實情況更加複雜。《大眾科學》採訪了電網網路安全專家 Robert M. Lee,他是工業網路安全公司 Dragos, Inc.的執行長,以區分事實與炒作。Dragos 致力於保護關鍵基礎設施免受網路攻擊,最近從投資者那裡籌集了 1000 萬美元,以進一步推進其使命。在創立這家公司之前,Lee 曾在美國政府工作,分析和防禦針對基礎設施的網路攻擊。在他軍事生涯的一部分中,他還從事政府的進攻前沿工作。他的工作使他對基礎設施網路安全的雙方都獲得了第一手的瞭解。
[以下是採訪的編輯稿。]
關於支援科學新聞
如果您喜歡這篇文章,請考慮透過以下方式支援我們屢獲殊榮的新聞報道: 訂閱。透過購買訂閱,您正在幫助確保未來出現關於塑造當今世界的發現和想法的具有影響力的故事。
我們應該對電網和基礎設施網路安全有多擔心?我們最應該擔心什麼?
實際上,我們的電網和大多數基礎設施在可靠性和安全性方面都構建得相當好。幾十年來,我們在工業工程領域一直有著強大的安全文化。這種安全性和可靠性從未從網路安全的角度考慮過,但它為我們提供了一個非常易於防禦的環境。
例如:如果美國電網的一部分出現故障。我們通常會為颶風或冬季風暴預測這些情況。我們很擅長擺脫計算機並進行手動操作,只需操作基礎設施即可使其恢復。通常是幾個小時,也許幾天;從不超過一週左右。
許多這些網路攻擊都與計算機技術和基礎設施的互連性有關。因此,當他們以這種方式攻擊它時,您談論的是幾個小時,也許一天,最多一週的破壞。對於合理的場景,我們談論的不是長時間的停電,我們談論的也不是損害安全。
現在,可怕的一面是[雙重的]。首先,我們的對手變得更具侵略性。他們正在從工業工程的角度,而不僅僅是從計算機技術的角度,瞭解有關我們工業系統的很多資訊,思考如何破壞甚至可能破壞裝置。這是您開始觸及一些特別令人擔憂的場景的地方。
第二件事是,我們恢復手動操作的能力,我們基礎設施的堅固性——很多都在發生變化。由於商業原因,由於缺乏人手來勝任這項工作,我們開始看到越來越多的基於計算機的系統。我們開始看到更多通用的作業系統平臺。這為對手提供了他們以前無法獲得的規模。
當您說我們的對手變得更具侵略性時,您指的是什麼?
關鍵事件是 2015-2016 年的烏克蘭攻擊,[其中網路攻擊導致烏克蘭電網部分癱瘓],以及 2013-2014 年的兩次不同攻擊,BlackEnergy2 和 Havex,[兩個針對能源部門公司部署的惡意軟體程式]。基本上,一年對工業設施進行廣泛的間諜活動;第二年進入工業環境;然後在 2015-2016 年達到攻擊的高潮。這本身就具有侵略性。
對於我自己的公司,我們在[整體]活動中所看到的是,它正在增長。在過去的十年中,我看到對手的活動在某種程度上有所增加,然後在 2013-2014 年左右開始激增。
在這些攻擊中,對手實際上在做什麼?
[攻擊分為兩大類。]第一階段入侵旨在獲取資訊。這些是我們已經習慣聽到的傳統間諜活動,其中資訊被盜或刪除。第二階段攻擊可能會導致臨時停電、裝置物理損壞或我們經常聽到的其他型別的場景。重要的是要注意,這些並非易事。如果攻擊者想發展到第二階段攻擊,在第一階段入侵期間,他們必須竊取特定於[該]工業環境的資訊。
我提到的 2013-2014 年的活動正是您想要用於轉向第二階段活動的這類第一階段活動。因此,他們把我們所有人都嚇壞了。但是我們最近聽到的事情——核站點和大約十幾個在新聞中報道的,在網路釣魚活動中受到攻擊的能源公司——所有這些聽起來都不像是為了轉向第二階段而量身定製的。
一旦對手侵入用於電子郵件、文件等的“業務網路”,他們要訪問用於控制和監控工業裝置的工業控制系統 (ICS) 網路有多大的飛躍?
在核環境中,由於安全法規,[業務網路和控制網路]是氣隙隔離的——[即,一個網路上的計算機無法與另一個網路上的計算機通訊]。因為您進入了業務網路,您就可以輕鬆進入 ICS 網路的想法是荒謬的。在其他工業基礎設施中並非如此——電力、石油和天然氣、製造業等。您絕對擁有互連的 [ICS] 網路。
這裡的細微之處在於,我們在社群中有一個笑話:您會遇到不太瞭解 ICS 的安全人員帶著滲透測試人員進來,說:“天哪,我發現了這麼多漏洞!” 因此,笑話是,我為什麼不直接讓您坐在終端前?我將給您 100% 的訪問許可權。現在讓燈閃爍。那裡存在很大的差距。[因此,挑戰]不是那麼容易獲得訪問許可權。一旦您獲得訪問許可權,您是否知道該怎麼做,而不僅僅是會讓人感到尷尬?
這些對手攻擊美國電網的動機是什麼?
我認為,除了衝突情景之外,對手沒有正當理由破壞或摧毀工業基礎設施。烏克蘭和俄羅斯就是一個很好的例子。我並不一定指的是宣戰,但在我們看到衝突的地方,我認為我們會看到工業攻擊:朝鮮-韓國、中國-臺灣。
但是,有一些情況讓我擔心,我們可能會被強迫,並且不清楚發生了什麼。我至少知道一個案例,其中一個熟練的對手侵入了工業環境,並且在情報行動的過程中,他們意外地撞倒了一些敏感系統,導致了可見的破壞,幾乎造成了多人傷亡。最糟糕的是,我們實際上在一個月後才意識到這是一次失敗的行動,因為取證和分析需要時間。因此,可能會出現這種情況,即美國、俄羅斯、中國、伊朗等大國正在互相進行情報行動,正在進行預先部署以進行威懾或政治槓桿,並且以一種看起來像是我們一段時間內都無法透明瞭解的攻擊的方式搞砸了該行動。我們沒有關於如何處理這種情況的國際規範。
但是,在衝突情景之外,我看不到[蓄意]破壞性或破壞性攻擊的優勢。我認為我們沒有看到它並不是因為他們不想這樣做,而是因為投資回報率很低。真正有利的是讓美國國會議員和政策制定者害怕工業基礎設施可能發生的事情。這種恐懼比實際關掉燈然後讓他們意識到[它們將在]六小時後恢復原狀更能推動政策。
我們應該採取哪些措施來提高對網路攻擊的健壯性?
您可以投資的[安全措施]有一個滑動比例。您擁有架構——從一開始就正確構建它。接下來是被動防禦:供應商工具和位於架構之上的安全工具。在此之上是主動防禦——人們在環境中搜索威脅。在此之上是情報,即分析對手的活動,甚至可能侵入他們的網路。然後是進攻,這顯然是一種攻擊,可能是為了摧毀惡意基礎設施。
我一直認為,安全社群傾向於規模的進攻方面,因為它聽起來更酷。但是,對組織來說最有價值的是另一面。
我們的法規和行業趨勢已經使我們的架構達到了相當不錯的水平。被動防禦可能還需要一些改進,但我們正在逐步完善。完全缺失的部分是主動防禦。全球工業控制系統 (ICS) 網路安全專業人員不到 1000 人。我們必須專注於人員培訓。對抗靈活且資金充足的人為對手的唯一方法是,讓訓練有素的防禦人員在可防禦的環境中工作。
在烏克蘭的攻擊事件中,甚至在 “震網”病毒(2010年對伊朗鈾濃縮廠的攻擊)中,攻擊在網路上都非常明顯。我們只是處於一種人們不關注或者沒有技術來提供洞察的環境中。一旦我們擁有能夠促進人們提問的環境,並且我們有(能夠)提出正確問題的人員,我們就會發現防禦者實際上在這個領域中佔據相當大的優勢。