查看原文
其他

关于以色列电网遭网络攻击的背景信息

2016-01-28 E安全

*最新消息*

一位以色列网络分析师(Eyal Sela)向笔者提供消息,表示截至目前各媒体在围绕这一事件做出报道时始终未能确切表述其背景信息。“以色列电力局”局长提到此次攻击与以色列电力企业、传输乃至供电站网络并无直接关联。以色列电力局是一个由约30名员工组成的监管机构,而此次“网络攻击”仅仅是借用了其网络。本篇微信文章的初衷在于针对当前的各类报道做提醒,但并非像以色列国家基础设施、能源与水力资源部部长所言,认为现有报道给出的结论与事实不符。然而,亦有新的报道指出此次“网络攻击”仅仅只是通过面向监管机构办公室网络的钓鱼邮件所引发,而没有真正触及任何基础设施。总之,这再次强调各个人及媒体应当认真评估与网络攻击及基础设施相关的安全性议题,从网络层面重视这些关乎国计民生的关键性资产。


*分析报道*

以色列国家基础设施、能源与水力资源部部长Yuval Steinitz博士今天在于特拉维夫召开的CyberTech大会上指出,一次“严重的网络攻击”正在侵袭以色列国家电力设施。他在会议发言的声明中强调称,目前以色列电力部门中已经有相当一部分计算机切换至离线模式,旨在应对日前发生的紧急事故。

目前虽然已经出现了一些具体线索,但还远不足以作为依据作为我们的分析素材。不过今天的博文旨在向大家介绍更多相关背景信息,包括此前曾经出现过的同类恶意攻击行为。

首先,Steinitz博士提到大量计算机设备已经处于离线状态。防御一方采取的这种系统离线举措属于紧急响应与恶意软件遏制工作中的标准规程。组织此次攻击的肇事方的真实意图当前尚无法确定,不过已经选择的应对方案能够将恶意软件从受感染系统当中清除出去,同时将其进行隔离以避免更多系统受到传染。另外,Steinitz博士指出,一种“病毒”已经被安全人员所发现,其作用是记录受移除系统的相关信息。虽然系统离线绝不是最理想的应对方式,但事实上这些被从网络中移除的系统并不一定会进一步加重事故严重性。恰恰相反,这表明紧急响应小组有能力及时采取措施,利用制定好的规程对抗由恶意活动产生的影响。

第二,目前还没有任何报道称此次攻击活动引发了停电或者其它可量化“攻击”影响。因此根据目前的报道内容分析,各媒体使用“网络攻击”这种字眼似乎有些轻率。恶意软件对工业控制系统(简称ICS)网络进行感染的情况并不普遍。大多数此类环境所使用的都是传统信息技术系统,具体包括Windows操作系统、人机界面(简称HMI)等主机应用程序以及历史数据库。这类系统当中包含有比传统信息技术系统更严重(至少是同样严重)的安全漏洞,而恶意软件感染亦不是新鲜事。根据历史案例来看,由常见恶意软件造成的系统故障在数量上要远高于针对性攻击活动。举例来说,Slammer恶意软件据报道曾于2003年严重拖慢了戴维斯-贝瑟核电站的网络体系,甚至摧毁了该设施的监控与数据采集(简称SCADA)网络。然而,在面对这些针对性/有计划宕机入侵活动时,我们只有三个切实有效的研究案例:Stuxnet、德国钢厂设施与乌克兰电网。只有这些由于针对性恶意活动而导致宕机的事件才能够被称为“网络攻击”。人们往往会在不经意间滥用了“网络攻击”这一表述,实际上其更适合指代敌方入侵、违规或者间谍活动等。要确切理解实际攻击活动的具体定义,大家不妨阅读《ICS网络杀伤链》以获取更为详尽的说明。

第三,由于涉及国家基础设施之网络安全,以色列国内对于网络安全议题的关注度正在逐步提升,亦有一系列技术企业积极参与并帮助新型安全保护方案获得必要资助。去年1月,以色列总理内塔尼亚胡在世界经济论坛上就网络安全方面的观点做出了发言。而在2月,以色列内部发布公告称其已经批准了建立综合性网络防御体系的计划。随着针对网络安全之重视程度的逐步提高,我们完全可以期待以色列采取更加积极的态度,并通过自身基础设施网络实现威胁感知能力。在这一推进过程当中,其可能已经发现了某些靶向或者附带性恶意软件。无论恶意软件的出发点如何,根据目前的报道内容来看,此次事故恐怕并不属于实际攻击活动——而更像是种恶意行为发现。不过我们仍然需要留意后续报道中披露的一切内容,从而更为全面地认知这次事故。


以色列已经意识到其必须立足于日常严肃对待安全议题。关键性基础设施正日益成为安全威胁的重点目标,而且虽然缺乏有效的个案研究结论,但整个安全社区仍然认为围绕基础设施展开的恶意活动正不断增加。然而必须强调的是,网络攻击报告必须符合严谨态度与举证要求,也只有这样我们才能够切实解决ICS安全领域所面临的技术与文化层面的挑战。简单来讲,我们还缺少必要的专业知识在相关事件数量有限的情况下,切实验证相关数据类型并对针对基础设施的真实攻击做出量化评估。考虑到目前ICS业界所面临的攻击形势,我们当然应该对其给予高度关注——但同时也需要认真对待当前障碍,从而确保各类处理与调查工作遵循谨慎的执行态度。

E安全/文 转载请注明E安全

新朋友请关注「E安全」

微信搜公众号EAQapp

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存