信息化觀察網(wǎng)

在過去的二十年間，各行業(yè)或多或少地從電信技術(shù)的進(jìn)步中受益，當(dāng)前5G時(shí)代的到來催化了工業(yè)環(huán)境的變革，讓越來越多的企業(yè)選擇加大對(duì)非公共網(wǎng)絡(luò)（NPN，通常也稱為園區(qū)網(wǎng)絡(luò)）的投資。4G/5G園區(qū)網(wǎng)絡(luò)有助于滿足各行業(yè)不斷增長的需求，以實(shí)現(xiàn)更高的可用性、更低的延遲、更好的隱私安全，但同時(shí)也伴隨著各類安全問題的產(chǎn)生。安全公司Trendmicro深入研究了部署4G/5G園區(qū)網(wǎng)絡(luò)所涉及到的安全風(fēng)險(xiǎn)和影響，通過模擬實(shí)際環(huán)境來測(cè)試不同的攻擊情形，并總結(jié)了如何針對(duì)這些威脅進(jìn)行防御。

4G/5G園區(qū)網(wǎng)絡(luò)

園區(qū)網(wǎng)絡(luò)限于一個(gè)地理區(qū)域內(nèi)，并且還受到光纖電纜和移動(dòng)網(wǎng)絡(luò)的限制。

在我們的研究中，我們僅使用了園區(qū)網(wǎng)絡(luò)中最小數(shù)量的設(shè)備。它的核心網(wǎng)絡(luò)為本地實(shí)施的園區(qū)網(wǎng)絡(luò)或與外部移動(dòng)服務(wù)提供商的連接。它有一個(gè)基站，其他組件包括工業(yè)路由器、控制網(wǎng)絡(luò)、現(xiàn)場(chǎng)網(wǎng)絡(luò)和多個(gè)可編程邏輯控制器(PLC)。本篇研究論文對(duì)我們所建立的園區(qū)網(wǎng)絡(luò)和使用的核心網(wǎng)絡(luò)進(jìn)行了更詳細(xì)的描述，下文所述的所有攻擊場(chǎng)景也基于此。

風(fēng)險(xiǎn)因素

我們演示的攻擊場(chǎng)景源自受感染的核心網(wǎng)絡(luò)，因此需要首先展示攻擊者滲透到核心網(wǎng)絡(luò)的流程。我們確定了可以使攻擊者攻陷核心網(wǎng)絡(luò)的四個(gè)切入點(diǎn)：

·托管核心網(wǎng)絡(luò)服務(wù)的服務(wù)器：由于園區(qū)網(wǎng)絡(luò)使用標(biāo)準(zhǔn)服務(wù)器（COTS x86服務(wù)器），因此攻擊者可以利用服務(wù)器中一些已披露的漏洞。

·虛擬機(jī)（VM）或容器：定期補(bǔ)丁的VM和容器會(huì)縮小此選項(xiàng)的攻擊面，但虛擬機(jī)和容器不會(huì)常打補(bǔ)丁，常見的錯(cuò)誤配置也可能導(dǎo)致無法預(yù)料的風(fēng)險(xiǎn)和威脅。

·網(wǎng)絡(luò)基礎(chǔ)設(shè)施：未打補(bǔ)丁的基礎(chǔ)設(shè)施設(shè)備可被用于滲透公司網(wǎng)絡(luò)，攻擊者可以使用托管路由器、交換機(jī)、防火墻甚至網(wǎng)絡(luò)安全設(shè)備來攔截?cái)?shù)據(jù)包。

·基站：基站中可能存在的漏洞，讓攻擊者滲透到核心網(wǎng)絡(luò)。

受損核心網(wǎng)絡(luò)的常見攻擊情形

通過這四個(gè)入口點(diǎn)，攻擊者無需高深的技術(shù)就能從IP網(wǎng)絡(luò)發(fā)起攻擊。下文討論了一些可測(cè)試的常見攻擊情形。需要注意的是，這些場(chǎng)景表明，一個(gè)被破壞的核心網(wǎng)絡(luò)可能成為影響工業(yè)控制系統(tǒng)（ICS）或造成后續(xù)破壞的關(guān)鍵突破口。

MQTT劫持

現(xiàn)代ICS支持通過MQTT協(xié)議向云發(fā)送讀數(shù)。為了保障安全性，可以使用密碼和TLS保護(hù)MQTT，不過在實(shí)際使用中很少這樣做。如果攻擊者成功地改變了向云發(fā)送的遙測(cè)技術(shù)或信息，那么就能夠影響分析算法和統(tǒng)計(jì)數(shù)據(jù)。攻擊者還可以攔截MQTT來暫時(shí)隱藏他們?cè)谶h(yuǎn)程站點(diǎn)中的舉動(dòng)。

我們?cè)谡撐闹醒芯恐心M的對(duì)鋼鐵廠的攻擊能說明了這一點(diǎn)，我們對(duì)該鋼鐵廠的溫度傳感器讀數(shù)的MQTT消息進(jìn)行了截取和修改，讓顯示溫度變得實(shí)際溫度不一致，且這一變化不會(huì)反映在外部審計(jì)日志中。

Modbus/TCP劫持

VPN通常用于遠(yuǎn)程站點(diǎn)和控制網(wǎng)絡(luò)之間，但在不使用VPN，或者將Modbus服務(wù)器直接連接到園區(qū)網(wǎng)絡(luò)的情況下，攻擊者可以編寫Modbus解析器來更改數(shù)據(jù)包中的Modbus函數(shù)代碼和數(shù)據(jù)值。

這將導(dǎo)致類似MQTT劫持的場(chǎng)景。在模擬攻擊場(chǎng)景中，發(fā)送到鋼鐵廠控制人機(jī)界面的數(shù)據(jù)是利用這種手法來操縱的。即使在壓力、氣流、溫度都超過正常水平的情況下，控制室的操作人員也發(fā)現(xiàn)不了任何問題，從而對(duì)影響后續(xù)的工業(yè)制造。

遠(yuǎn)程桌面攻擊

遠(yuǎn)程桌面廣泛用于遠(yuǎn)程施工，工業(yè)環(huán)境中主流系統(tǒng)是VNC或Microsoft遠(yuǎn)程桌面。雖然遠(yuǎn)程桌面會(huì)話通常通過密碼進(jìn)行身份驗(yàn)證，但這并不意味著它們是加密的。根據(jù)配置的加密選項(xiàng)，位于入口點(diǎn)的攻擊者有機(jī)會(huì)嗅探RDP端口3389或VNC端口5900，以便記錄擊鍵和密碼。

例如，攻擊者可以通過對(duì)核心網(wǎng)絡(luò)中的RDP執(zhí)行降級(jí)攻擊來嗅探擊鍵。至于VNC，帶有連接密碼的未加密VNC可以被強(qiáng)行使用，并且仍然可以記錄擊鍵。

在對(duì)鋼鐵廠的模擬攻擊場(chǎng)景中，此情形下的攻擊者將能夠通過VNC獲得訪問權(quán)。這為他們提供了許多不同的選擇，例如可以選擇直接攔截PLC或安裝勒索軟件。

這些只是我們能夠在園區(qū)網(wǎng)絡(luò)上測(cè)試的幾個(gè)常見攻擊場(chǎng)景中的示例。我們的研究論文給出了更多攻擊場(chǎng)景的技術(shù)性描述，除了前面描述的三種外，還討論了只能通過蜂窩網(wǎng)絡(luò)傳輸?shù)姆涓C特定攻擊方案，了解蜂窩特定的攻擊場(chǎng)景是縮小IT、OT和電信技術(shù)領(lǐng)域之間知識(shí)差距的良好起點(diǎn)。

安全建議

在未來兩三年內(nèi)，可預(yù)見會(huì)有更多的工業(yè)系統(tǒng)部署4G/5G園區(qū)網(wǎng)絡(luò)。4G園區(qū)網(wǎng)絡(luò)也將在不久的將來過渡到5G。這些變化會(huì)對(duì)安全性產(chǎn)生巨大的影響，并進(jìn)一步影響了IT和OT專家在工業(yè)系統(tǒng)中所扮演的角色。這些專家需要根據(jù)新的三重技術(shù)（IT，OT和現(xiàn)在的通信技術(shù)（CT））的融合來擴(kuò)展自己的知識(shí)。以下是4G/5G園區(qū)網(wǎng)絡(luò)的一些常規(guī)安全建議：

·使用應(yīng)用程序?qū)蛹用?，例如HTTPS，MQTTS，LDAPS或任何設(shè)計(jì)良好的工業(yè)協(xié)議。

·依靠適當(dāng)?shù)木W(wǎng)絡(luò)隔離，VLAN和IPsec來保護(hù)運(yùn)行園區(qū)網(wǎng)絡(luò)的工業(yè)設(shè)施。

·補(bǔ)丁程序可用后，立即為操作系統(tǒng)、路由器和基站應(yīng)用最新的補(bǔ)丁。

·由于LTE和5G不能自動(dòng)滿足加密需求，請(qǐng)使用VPN或IPsec幫助保護(hù)遠(yuǎn)程通信信道，包括遠(yuǎn)程站點(diǎn)和基站。