企業情報セキュリティ
13.Oct.2020
サービス拒否攻撃(DoS)は世界の機器メーカーにチャレンジ をもたらした
物聯網的多元化發展為各行業帶來了明顯的商機。各行業都在紛紛推出產品。除了智慧家電、智慧攝影機等消費性產品外,工控、醫療、通訊、交通等非消費產業也在部署設備。在這股熱潮中,駭客是最尋找機會的人。難以攻擊的物件開始連接到互聯網,因此任何連接互聯網的設備都成為目標。
DoS 攻擊對關鍵基礎設施的影響
2019 年,美國一家 sPower 電力供應商遭受了典型的 DoS 攻擊。 sPower 是美國最大的私營太陽能供應商。 2019年3月,駭客利用電力系統已知漏洞,在長達12小時的攻擊中中斷了操作人員與12家發電廠之間的通訊。結果,10多個風電場和太陽能發電場暫時停電[1]。
鑑於關鍵基礎設施遭受攻擊頻繁,美國政府對資訊安全事件也高度重視。為此,美國政府問責辦公室(GAO)應美國國會要求,在2019年8月發布的關鍵基礎設施保護措施中提出了聯邦電力網路安全戰略。其中,能源部(DOE)定義了電力網路安全風險評估的程度,美國聯邦能源管理委員會(FERC)批准的網路安全標準定義了電力網路安全風險解決的程度。美國審計總署也詳細定義了各種攻擊。定義對電力網路的潛在威脅,例如國家、犯罪集團和恐怖分子。 DoS 攻擊被視為恐怖攻擊。 [2]
物聯網帶來的便利性已將連接設備從消費性產品擴展到國家基礎設施。美國許多地區的錶箱(水錶、電錶、瓦斯表)已被具有網路連線的智慧電錶所取代。台灣幾年前也開始建造智慧電網,可以快速檢索用戶的能源使用信息,準確估算能源使用情況,並向用戶計費。傳統電錶正逐漸被具有網路連線功能的智慧電錶所取代。然而,物聯網帶來的便利性已成為駭客攻擊能源公司基礎設施的弱點。在頻繁發生的攻擊中,不乏以癱瘓設備為目的的DoS攻擊。 消費品安全性不足引發的攻擊可能會導致消費者暫時無法使用該產品。當發電或供水設施遭到攻擊時,能源公司無法了解其客戶。嚴重時可能導致大面積停電、停水或威脅國家安全的災害。
2018年,德國奧格斯堡大學和柏林自由大學發表的論文《You Snooze,You Lose:Measurement PLC Cycle Times Under Attacks》描述了洪水對可程式邏輯控制器(PLC)的影響。工控設備的實體控制過程中斷或失效,達到拒絕服務(DoS)攻擊的效果。 ICS-CERT 於 2019 年 12 月 12 日發布了一份關於此類可能導致 PLC 週期時間影響的攻擊技術的報告。由於具有「遠程攻擊」、「技術要求低」的特點,該漏洞被歸類為CVE-2019-10953漏洞,CVSSv3評分為7.5分,被歸類為高風險漏洞(CVSS向量為. AV:N/AC :L/PR:N/UI:N/S:U/C:N/I:N/A:H),受影響的設備包括ABB、Phoenix Contact、包括Schneider Electric、Siemens 和WAGO。 [3][4]
在製造業,台灣近年來也積極推動智慧製造,將工業設備連網並提供完整的生產歷史,以提高產品良率。過去,由於工廠設備沒有上網,資訊安全的概念非常薄弱。如果工廠安全與現代防護機制不相容,很容易受到DoS攻擊,生產線很可能被關閉,對製造業和相關供應鏈造成重大損害。因此,有必要盡快提高工控設備的安全性,並降低DoS攻擊的風險。
Onward Security的「HERCULES SecDevice物聯網裝置漏洞測試工具」提供測試環境配置、連網產品安全評估等自動化功能。超過120個測試項目幫助產品在開發過程中偵測已知和未知的漏洞。模擬功能中的DoS攻擊測試項目可讓產品在測試過程中模擬從資料鏈結層到傳輸層協定的DoS攻擊,讓產品製造商可以偵測到適當的拒絕服務攻擊的效果並進行測試。強度。HERCULES SecFlow產品資訊安全管理系統可讓開發團隊檢查在軟體設計和開發階段使用的第三方開源軟體包是否有授權問題或關鍵資訊安全漏洞。在開發過程中審查並提高安全性。產品安全和符合監管要求可降低資訊安全風險。
參考文獻:
[1] 美國電網首次遭受風能、太陽能網路攻擊,
https://www.eenews.net/stories/1061421301
[2] 關鍵基礎設施保護,解決電力面臨的重大網路安全風險所需的行動Grid ,
https://www.gao.gov/assets/710/701079.pdf
[3] 你打瞌睡,你就輸了:測量攻擊下的PLC 週期時間,德國奧格斯堡奧格斯堡大學和柏林自由大學,德國柏林, https://www.usenix.org/system/files/conference/woot18/woot18-paper-niedermaier.pdf
[4] ICS Advisory (ICSA-19-106-03) PLC 週期時間影響(更新A),https: //us-cert.cisa.gov/ics/advisories/ICSA-19-106-03
[5]今年揭露的大多數 ICS 漏洞都可以遠端利用,
https://www.helpnetsecurity. com/2020/08/20 /ics-vulnerability-exploited-remotely/
[6] 2018 年下半年工業自動化系統的威脅態勢,
https://securelist.com/threat-landscape-for-industrial-automation-systems- in-h2-2018/90041/
[7] 工業自動化和控制系統的安全 - 第 4-2 部分:IACS 組件的技術安全要求,https://webstore.iec.ch/publication/34421
鑑於關鍵基礎設施遭受攻擊頻繁,美國政府對資訊安全事件也高度重視。為此,美國政府問責辦公室(GAO)應美國國會要求,在2019年8月發布的關鍵基礎設施保護措施中提出了聯邦電力網路安全戰略。其中,能源部(DOE)定義了電力網路安全風險評估的程度,美國聯邦能源管理委員會(FERC)批准的網路安全標準定義了電力網路安全風險解決的程度。美國審計總署也詳細定義了各種攻擊。定義對電力網路的潛在威脅,例如國家、犯罪集團和恐怖分子。 DoS 攻擊被視為恐怖攻擊。 [2]
DoS攻擊對工控設備造成損害
研究表明,工業控制系統(ICS)中70%的已知漏洞可以遠端利用,其中49%可以利用遠端程式碼執行(RCE)控制系統漏洞被遠端利用。後續 DoS 攻擊的百分比為 39% [5]。同時,卡巴斯基2018年的統計調查顯示,工業控制系統的大部分漏洞都處於嚴重風險等級。它還可能導致拒絕服務 (DoS) 攻擊,估計成功率為 50%。 [6]2018年,德國奧格斯堡大學和柏林自由大學發表的論文《You Snooze,You Lose:Measurement PLC Cycle Times Under Attacks》描述了洪水對可程式邏輯控制器(PLC)的影響。工控設備的實體控制過程中斷或失效,達到拒絕服務(DoS)攻擊的效果。 ICS-CERT 於 2019 年 12 月 12 日發布了一份關於此類可能導致 PLC 週期時間影響的攻擊技術的報告。由於具有「遠程攻擊」、「技術要求低」的特點,該漏洞被歸類為CVE-2019-10953漏洞,CVSSv3評分為7.5分,被歸類為高風險漏洞(CVSS向量為. AV:N/AC :L/PR:N/UI:N/S:U/C:N/I:N/A:H),受影響的設備包括ABB、Phoenix Contact、包括Schneider Electric、Siemens 和WAGO。 [3][4]
在製造業,台灣近年來也積極推動智慧製造,將工業設備連網並提供完整的生產歷史,以提高產品良率。過去,由於工廠設備沒有上網,資訊安全的概念非常薄弱。如果工廠安全與現代防護機制不相容,很容易受到DoS攻擊,生產線很可能被關閉,對製造業和相關供應鏈造成重大損害。因此,有必要盡快提高工控設備的安全性,並降低DoS攻擊的風險。
物聯網安全的監管要求
物聯網設備的安全問題逐漸增多,越來越多的國家要求設備製造商提高設備本身的安全性。例如,美國於2016年11月公佈了《物聯網安全戰略原則》。在工業控制領域,工業自動化與控制系統(IACS)也是工業控制安全的網路安全標準。 2019年2月27日,國際電氣設備安全標準合格測試體系(IECEE)發布了關於工業自動化和控制系統安全的4-2(IEC 62443-4-2:2019),被列為基礎標準中的第七項。需要組件來防止拒絕服務攻擊(組件要求 7.1:拒絕服務保護)。這樣做的目的是確保當工業控制設備遭受拒絕服務攻擊時,組件在受到影響的同時仍能維持其基本功能。因此,設備製造商必須在開發過程中驗證其產品對拒絕服務攻擊的抵抗能力,並提高對拒絕服務攻擊的防護能力。 [7]設備製造商對 DoS 攻擊的回應
企業始終關注如何將網路連線的便利性與安全性結合。對於互聯設備製造商來說,新的挑戰是如何提高物聯網產品的安全性。然而,有一些方法可以解決物聯網資訊安全問題。首先,建立符合標準的產品開發流程,並落實各階段的安全設計優先級,確保Secure by Design的理念。在測試階段,可以使用自動化工具來檢測安全測試。在產品上市前降低資訊安全風險。Onward Security的「HERCULES SecDevice物聯網裝置漏洞測試工具」提供測試環境配置、連網產品安全評估等自動化功能。超過120個測試項目幫助產品在開發過程中偵測已知和未知的漏洞。模擬功能中的DoS攻擊測試項目可讓產品在測試過程中模擬從資料鏈結層到傳輸層協定的DoS攻擊,讓產品製造商可以偵測到適當的拒絕服務攻擊的效果並進行測試。強度。HERCULES SecFlow產品資訊安全管理系統可讓開發團隊檢查在軟體設計和開發階段使用的第三方開源軟體包是否有授權問題或關鍵資訊安全漏洞。在開發過程中審查並提高安全性。產品安全和符合監管要求可降低資訊安全風險。
參考文獻:
[1] 美國電網首次遭受風能、太陽能網路攻擊,
https://www.eenews.net/stories/1061421301
[2] 關鍵基礎設施保護,解決電力面臨的重大網路安全風險所需的行動Grid ,
https://www.gao.gov/assets/710/701079.pdf
[3] 你打瞌睡,你就輸了:測量攻擊下的PLC 週期時間,德國奧格斯堡奧格斯堡大學和柏林自由大學,德國柏林, https://www.usenix.org/system/files/conference/woot18/woot18-paper-niedermaier.pdf
[4] ICS Advisory (ICSA-19-106-03) PLC 週期時間影響(更新A),https: //us-cert.cisa.gov/ics/advisories/ICSA-19-106-03
[5]今年揭露的大多數 ICS 漏洞都可以遠端利用,
https://www.helpnetsecurity. com/2020/08/20 /ics-vulnerability-exploited-remotely/
[6] 2018 年下半年工業自動化系統的威脅態勢,
https://securelist.com/threat-landscape-for-industrial-automation-systems- in-h2-2018/90041/
[7] 工業自動化和控制系統的安全 - 第 4-2 部分:IACS 組件的技術安全要求,https://webstore.iec.ch/publication/34421
