面对模块化能力日益增强的恶意软件 国内安全厂商如何应对

近日，新发现的被称为“Pipedream”模块化恶意软件可以破坏工业控制系统，例如电网、工厂、水务公司和炼油厂内的控制系统。安全专家用“瑞士军刀”来形容该恶意软件的模块化能力，并称其为有史以来针对工业控制系统的最强大的恶意软件。

Pipedream是一套新的恶意软件模块化工具包，在多家网络安全公司的协助下，美国能源部（DOE）、网络安全和基础设施安全局（CISA）、国家安全局（NSA），联邦调查局（FBI）上周联合发布了相关安全咨询（CSA），从而警告具有针对性的对关键基础设施实施的APT攻击。

据称，Pipedream工具包可能会危害多个工业控制系统（ICS）/监控和数据采集（SCADA）设备，包括：施耐德电气可编程逻辑控制器（PLC）、欧姆龙Sysmac NEX可编程逻辑控制器、开放平台通信统一架构（OPC UA）服务器。

评论称，Pipedream 恶意软件超越了任何以前的工业控制系统黑客工具包的复杂性，包括旨在破坏设备功能的各种组件，包括施耐德电气和 OMRON 销售的可编程逻辑控制器（PLC）。这些 PLC 通常设置为传统计算机与工业环境中普遍存在的执行器和传感器之间的接口。

研究人员称Pipedream是已知的第七个针对ICS的恶意软件，在对工具包进行详细分析之后，他们认为Pipedream尚未作出任何实质性物理破坏性攻击行为。但威胁真实存在，这些工具可以与嵌入在多个行业中使用的不同类型机器中的特定工业设备进行交互，对使用目标设备的组织构成了严重风险。

工控安全厂商Dragos的研究发现是CHERNOVITE Activity Group（AG）开发了Pipedream，指出可能与俄乌冲突有关。最近有外媒援引乌克兰官员语述报道指出，“俄罗斯黑客于四月初试图对乌克兰电网发起破坏性网络攻击”，但随后遭到俄方否认。

有评论称，Pipedream工具包虽然是少数针对工业控制系统（ICS）软件的恶意软件样本，但首款该类恶意软件仍然是臭名昭著的Stuxnet（又名震网病毒），它由美国和以色列共同创建，是用于对伊朗的首款电子战实战武器，被用于销毁伊朗重要核设施，同时对全球造成连带影响，并引发了针对重要设施网络安全的全面思考。

国内工控安全厂商立思辰安科安全专家对该事件评价称，近些年在全球范围内工控网络安全事件频发，尤其是对关键基础设施，涉及天然气、运输、制造、核设施以及汽车等众多行业，工业控制系统的安全威胁已经来临，甚至已经进入APT2.0时代。

立思辰安科基于自身的安全研究进一步给出了防御攻击方法论，认为传统的实时检测与防御已不能胜任工控系统中威胁或异常行为的甄别。对于工控系统而言，通过对工控协议的深度解析，有效识别网络流量中工控设备的关键操作事件，如漏洞利用、PLC操控指令、组态数据下装等，对工控设备网络安全防护非常有价值。

另外一家国内工控安全厂商威努特也同样认为传统网络安全的防护对于工控安全的弊端，他们指出，面向恶意文件检测（工业网络环境文件传输少）和普通对象（如数据库、Web、邮件系统等）的行为规则或模型在工业网络环境下失效，故需要一套监测对象、检测方法全面适用于工业环境下的APT检测与防范产品。

威努特认为，工业控制网络的安全防护，应从生产业务本身去寻找一个时机，这个时机需要两种规范来进行约束，一种是以工控资产为基线的工控网络环境规范，一种是以工控网络业务行为为基线的工控网络行为规范。通过以上两条规范线路建立行为准则，提取工控网络的行为特征，建立更贴近业务的安全防护基线。

针对Pipedream的报道还指出，该工具的模块化架构使网络参与者能够对目标设备进行高度自动化的攻击。这些工具具有一个虚拟控制台，带有一个反映目标ICS/SCADA设备接口的命令界面。模块与目标设备交互，使攻击者无需具备高技术能力，显然世界不愿看到的是，如果他们愿意，这种攻击能力将会进一步泛滥。