关键基础设施真实威胁及应对之道

社会工程攻击可以引发停电，网络攻击直接导致电力供应中断的首个案例，当属2015年圣诞夜前夕的乌克兰大断电事件。

2015年12月23日，当地时间下午3:35，伊万诺-弗兰科夫斯克州(乌克兰西南部，与罗马尼亚接壤，靠近匈牙利、斯洛伐克和波兰)，7个110千伏(kV)和23个35kV的变电站断线3个小时。

这起事故影响到3家能源输送公司，导致22.5万客户断电。之后不久，乌克兰国家安全局(SBU)指称是俄罗斯干的。鉴于这种行动需要大量时间进行部署，乌克兰的断言也不无道理。

这是怎么发生的?

社会工程!所有的一切，都从假冒乌克兰议会(Rada)邮件地址的鱼叉式网络钓鱼攻击开始的。任何雇员通常都不会拒收这样的邮件，在某些社会结构中，无视来自议会的邮件甚至会带来不幸。

于是，雇员打开邮件，点开附件，允许宏编译;然后，恶魔放出，一切失控。

BlackEnergy恶意软件的变种开始感染系统。该社会工程步骤是攻击者在系统中建立桥头堡的重要一步。而这正是接下来6个月里发生的事。

一旦该恶意软件进入系统，授权用户就开始失去对管理口令和特权的控制，引发更大的问题：比如任由攻击者染指不间断电源(UPS)、人机交互界面(HMI)等关键监督控制系统。

保险起见，系统中还安装了KillDisk恶意软件的变种，可能是作为隐藏恶意黑客踪迹的一种手段。

一、最简单的解决方案可能是最有效的

乌克兰断电事件对ICS/SCADA系统的意义何在?或许就是提醒我们：威胁近在眼前，有时候这就是个简单的问题：我到底该不该点击里面的链接或打开其中附件?

普遍的观点是，如果有疑虑，别打开!猫有9条命可以做个好奇宝宝东摸西摸，你的计算机系统和设备可没有!

如果你能挫败最初的网络钓鱼、鱼叉式网络钓鱼或假冒攻击，攻击成功的可能性就会大幅减小。

威瑞森《数据泄露调查报告》(DBIR)显示，网络钓鱼和假冒，代表了涉社交活动数据泄露事件的绝大部分——近98%。而88%的假冒攻击，是通过电子邮件进行的。

所以，有理由相信，保护电网的关键第一步，就是对员工进行社会工程攻击防范和社交媒体使用的培训。其他应该注意的地方还有几点，但若缺了员工培训，一切都是白搭。这就像是想仅凭超远距离三分就赢下篮球赛一样。

当然，撞大运来一波三分雨是有可能，但为什么要放弃得分更稳固更容易的三分线内呢?坚持错误的战略，失败只是时间问题。

二、赢下安全保卫战

以下建议将给您带来打赢安全保卫战的机会：

1. 建立贴合实际且持续的员工培训项目

利用10分钟下午茶时间就搞定的“一次性”在线课程，对供应商来说当然再好不过。但对公司来说就不那么美妙了。识别可疑邮件是一项需要反复训练的技能。应找寻可根据自家工厂或设施特别定制培训项目的提供商，并要让培训成为长期持续的过程。有大把证据证明该策略可有效减小公司面临的风险。

2. 见疑必报

看到可疑邮件，或感觉自己已经陷入社会工程攻击，请立即通知IT部门。要具备感觉情况不对时跟踪日志的能力，因为日志信息是威胁情报收集的重要一环。让IT部门知晓情况不对，就可以调整过滤规则，轻松将威胁挡在门外。其他情况下，你的通报也可帮助IT部门封锁潜在恶意IP地址，令其无法染指整个企业。

3. 共享即关照

罪犯会在垂直行业流窜，所以，即便与竞争对手合作，也能令整个行业更加安全。竞争归竞争，威胁情报还是可以在《网络安全信息共享法案》框架下共享的。

4. 拿起电话

如果不确定电子邮件是否合法，不妨花30秒时间给你的同事、朋友或亲人打个电话，问问“你真的给我发了这个?”一个电话，可能为你省下数百万美元，保住你的工作，或成功避免掉一次公关危机。

5. 经常对员工进行红队测试

有良好的学习经历并作出相应调整，总比面对政府质询时说：“我们知道这种威胁存在，只是真没计划过这个”，要好得多。

以上几点的共通之处是什么?一切以人为本。社会工程就是以人为目标，从个人层面上俘获你。仔细想想就能知道，复杂计算机攻击和用心理压力诱骗别人就范，哪个更容易?罪犯肯定会挑阻力最小的那条路走。

不难看出，这些建议都是投入小产出高且易于实施的。

三、其他建议：

1. 审查ICS/SCADA安全架构

聘用经验丰富的专业ICS安全人员审查网络架构、科学配置、防火墙设置、路由器控制和所有其他你可能不理解但确实很重要的技术事项。其中就可能留有需修复的漏洞。

2. 加强网络安全监测能力

诚然，有些攻击确实复杂、谨慎、隐秘。你得有健壮的日志收集和网络流量监测。做不好这些基本工作，你就得不到及时的检测、预防性响应和准确的事件调查。随时间进程，人工智能和机器学习可能会扮演越来越重要的角色，但你依然需要人类分析师来掌控全局。

3. 审查并更新事件响应、业务持续性和危机沟通计划

公共事业部门经常遭遇服务中断，很善于响应因天气或设备故障导致的此类事件。这方面的实践和经验教训已经很多了，但网络威胁是个新生事物，需要我们将之当成正常业务过程投入更多关注。我们制定的计划需要覆盖一些噩梦般的场景，比如应对擦除器恶意软件和勒索软件的预案等。