顶象：工控设备被远程瞬间摧毁 企业该怎么防

2019年9月17日-21日，第21届中国工博会在上海召开。本届工博会主题是“智能、互联——赋能产业新发展”。吸引了来自美国、德国、法国、以色列等27个国家和地区的2610家企业参与。

在“工控安全&工业互联网”主题论坛上，顶象洞见安全实验室负责人董阳演示某个高危漏洞的危害，只用了一秒钟，就远程摧毁了正在运行中的某主流工控PLC设备。

“漏洞是黑客发动攻击的重要源头。随着智能化、网联化的推进，从“封闭单机”向“开放联网”推进的工控系统，将面临不法黑客的各类攻击。企业需要随时掌握工控系统的安全现状，了解系统内存在什么漏洞、这些漏洞分布在哪里、该怎么去防御”。董阳表示，顶象洞见安全实验室提供立体的风险感知和威胁预警服务，帮助企业提前做好安全防护。

被恶意攻击盯上的工控设施

工控系统(ICS)是一个通用术语，它包括多种工业生产中使用的控制系统，包括监控和数据采集系统(SCADA)、分布式控制系统(DCS)和其他较小的控制系统，如可编程逻辑控制器(PLC)，广泛应用在石油石化、烟草、电力、核能等工业生产领域，以及航天、铁路、公路、地铁、水务等公共服务领域，堪称关键生产设施和基础设施运行的“神经中枢”。统计显示，我国超过80%的涉及国计民生的关键基础设施依靠工业系统来实现自动化作业。

近年来，针对工控系统的攻击事件日益增多。2015年，乌克兰电力系统被恶意软件攻击，导致数小时的大规模停电，波及约140万人；2018年，台积电多个芯片制造厂遭遇Wannacry的变种病毒攻击，多条生产线暂时停产，损失超2.5亿美金；2019年，委内瑞拉的发电站被网络攻击， 23个州大规模停电。

由单机转向联网，工控风险呈现四大特征

由于工业系统的本质目标是控制，而互联网的核心目标是交换。相较于传统互联网采用平等关系的点对点传输模式，工控系统多采用基于主从关系的非对等网络。尤其随着智能化、网联化的推进，暴露出越来越多的风险。

顶象洞见安全实验室负责人董阳表示，联网的工控系统大多处于“裸奔”的状态，任何不怀好意的黑客都可以发动攻击。他认为，工控风险主要呈现以下四个特征：

1、工控系统的设计主要是专用的相对封闭可信的通信线路，也就是封闭的“单机系统”，原本没有考虑联网需求，系统和联网设备也未配置防护系统，存在很多安全缺陷和漏洞。

2、工业设备资产分布广、设备类型繁多，攻击行为难以察觉。

3、攻击门槛低，数行代码即可造成严重后果。

4、工业设备的协议、设备、系统设计复杂，潜在漏洞多，系统更新升级慢、修复维护成本高；而且大量的系统设备需要7×24小时不间断运转，没有机会及时修复补丁。

联网工控设备一秒钟即被远程摧毁，三类漏洞值得警惕

漏洞是风险的爆发源头，无论是病毒攻击还是黑客入侵大多是基于漏洞。

据国家工业信息安全发展研究中心《工业信息安全态势白皮书》显示，截至2017年11月，全球范围内暴露在互联网上的工控系统及设备数量已超10万个，相比2016年年底上升了43%。据CNVD（国家信息安全漏洞共享平台）数据显示，截至2018年12月31日，2018年新增工控系统行业漏洞125个，其中高危漏洞19个，中危漏洞2个，低危漏洞104个。国家工业信息安全发展研究中心监测去年发布预警，3000余个暴露在互联网上的工业系统，95%以上有漏洞，可以轻易被远程控制，约20%的重要工控系统可被远程入侵并完全接管。

会议现场，董阳演示某个高危漏洞的危害，只用一秒钟就远程摧毁了正在运行中的某主流工控PLC设备。“利用这个漏洞，一行python源码就能远程操控这个设备。只需要几分钟，就能让数百上千台联网的工控设备瘫痪。”

他说，洞见安全实验室上月挖出100余个漏洞，其中近一半是高危漏洞，“像这样的高危漏洞还有很多，主要出现在操作系统、信息协议及管理流程上”。