許劍新，還約輝，王　迎

(浙江國(guó)利信安科技有限公司，浙江杭州 310053)

0　引言

近幾年來(lái)，工控和信息等領(lǐng)域逐漸重視工業(yè)控制系統(tǒng)(Industrial Control System, ICS)的信息安全問(wèn)題[1-2]，ICS安全問(wèn)題的產(chǎn)生涉及控制系統(tǒng)產(chǎn)品功能特性、設(shè)計(jì)缺陷以及系統(tǒng)應(yīng)用過(guò)程中的行為操作、業(yè)務(wù)流程、維護(hù)管理等很多方面，甚至存在很多未知問(wèn)題，已知安全問(wèn)題可以通過(guò)一些防御框架和技術(shù)手段解決，而未知問(wèn)題是最危險(xiǎn)的，一些同時(shí)利用已知問(wèn)題和未知問(wèn)題進(jìn)行的未知攻擊則是致命的。

當(dāng)前流行于互聯(lián)網(wǎng)中專門(mén)針對(duì)已具備較高防護(hù)能力的企業(yè)和組織的網(wǎng)絡(luò)攻擊APT(Advanced Persistent Threat)[2]對(duì)ICS來(lái)說(shuō)是一類危險(xiǎn)性極高的攻擊。以往病毒、木馬、蠕蟲(chóng)等惡意程序具有飽和傳播、廣泛殺傷、不計(jì)后果等特點(diǎn)，而APT攻擊是一種定時(shí)、定點(diǎn)、定向的攻擊，APT攻擊發(fā)生前會(huì)有嚴(yán)格的傳播路徑、預(yù)置的攻擊對(duì)象以及明確的傷害程度，尤其是針對(duì)ICS的APT攻擊，已經(jīng)將觸手直接伸向物理實(shí)體對(duì)象，不同于傳統(tǒng)信息系統(tǒng)針對(duì)數(shù)據(jù)的竊取和篡改，ICS-APT攻擊可以造成不可恢復(fù)的損失。

從APT攻擊的定義——高級(jí)的持續(xù)性滲透攻擊，是針對(duì)特定組織的多方位攻擊——可以看出，APT并不是一種新的攻擊技術(shù)，而是多種滲透和攻擊技術(shù)集成在一起所形成的攻擊手段，其產(chǎn)生的驅(qū)動(dòng)力就是大型企業(yè)和組織不斷提升網(wǎng)絡(luò)安全防護(hù)能力，使得一些傳統(tǒng)的攻擊形式已經(jīng)力不從心，攻擊者只能通過(guò)變換策略，通過(guò)遞進(jìn)式滲透，最終實(shí)現(xiàn)對(duì)目標(biāo)的攻擊。從另一個(gè)角度，對(duì)于防御方來(lái)說(shuō)也無(wú)法通過(guò)阻止一次攻擊就讓威脅徹底消失。

目前已經(jīng)被工控領(lǐng)域和信息安全領(lǐng)域廣泛熟知的Stuxnet[4]攻擊就是一種ICS-APT，其傳播滲透手段、藏匿駐留時(shí)間、攻擊目標(biāo)對(duì)象、破壞影響程度等較之傳統(tǒng)信息網(wǎng)絡(luò)中的病毒、木馬以及其他類型惡意軟件在能力上顯示出全新特點(diǎn)和較大提升[5]，后續(xù)出現(xiàn)的Duqu[6]、Flame[7]同樣如此，從接連發(fā)生的安全事件的慣性意義上說(shuō)，ICS-APT會(huì)不斷涌現(xiàn)，其存在是長(zhǎng)期的、絕對(duì)的，并且是不可避免的。

但I(xiàn)CS-APT不會(huì)輕易出現(xiàn)，因?yàn)闃?gòu)造一次完整的ICS-APT需要巨大的時(shí)間和技術(shù)投入，這同樣可以解釋為什么ICS如此不安全，而發(fā)生的安全事件卻很少。所以ICS-APT是一種戰(zhàn)略行為，一旦發(fā)生安全事件都是重大事件，可以說(shuō)ICS安全無(wú)小事，通常ICS-APT是作為攻守雙方間博弈的手段。

由圖1可以看出，APT的成功執(zhí)行是需要建立在對(duì)目標(biāo)ICS系統(tǒng)高度熟知的基礎(chǔ)上的；相對(duì)地，ICS資產(chǎn)所有者并非系統(tǒng)開(kāi)發(fā)者，同樣較難掌握系統(tǒng)的全部安全相關(guān)信息。因此ICS-APT對(duì)于攻守雙方來(lái)說(shuō)都是極大的挑戰(zhàn)，究其原因還要從ICS安全問(wèn)題的獨(dú)特性來(lái)分析。

圖1　APT對(duì)目標(biāo)ICS系統(tǒng)攻擊行為

1　ICS安全問(wèn)題的獨(dú)特性

在過(guò)去幾年探討ICS安全問(wèn)題時(shí)，已經(jīng)從性能需求、可用性需求、體系結(jié)構(gòu)、時(shí)間關(guān)鍵性需求、管理操作、生命周期、資源訪問(wèn)等方面對(duì)比了ICS與傳統(tǒng)信息系統(tǒng)的差異[8]，揭示出了ICS因其具有實(shí)時(shí)通信、長(zhǎng)期不間斷運(yùn)行、環(huán)境和人員安全考量、多平臺(tái)多標(biāo)準(zhǔn)、多種通信網(wǎng)絡(luò)接入通道等特點(diǎn)，而這些特點(diǎn)也隨之造就了ICS安全問(wèn)題有別于傳統(tǒng)信息系統(tǒng)安全問(wèn)題的獨(dú)特性。

而從傳統(tǒng)信息安全的發(fā)展過(guò)程來(lái)看，早期對(duì)安全問(wèn)題的討論經(jīng)常會(huì)脫離于信息系統(tǒng)本身，而造成了信息系統(tǒng)新技術(shù)不斷出現(xiàn)，安全問(wèn)題也越來(lái)越多，促使信息領(lǐng)域逐漸把安全作為信息系統(tǒng)設(shè)計(jì)開(kāi)發(fā)的一部分，出現(xiàn)了安全平臺(tái)系統(tǒng)、可信計(jì)算等概念。將ICS與其安全相結(jié)合，可以繼續(xù)探討ICS安全問(wèn)題的特點(diǎn)。

1.1　ICS安全的整體性

最典型的信息系統(tǒng)網(wǎng)絡(luò)是互聯(lián)網(wǎng)，雖然形態(tài)上呈現(xiàn)出復(fù)雜圖的特性，但其最經(jīng)常受到攻擊的是PC或服務(wù)器，可以理解為終端節(jié)點(diǎn)，因此互聯(lián)網(wǎng)可以抽象成一個(gè)星型網(wǎng)絡(luò)，每個(gè)終端節(jié)點(diǎn)考慮的是自身的主機(jī)安全，整個(gè)互聯(lián)網(wǎng)安全是由相互獨(dú)立的單體組成的一種分布式安全，通過(guò)單體的安全來(lái)保證網(wǎng)絡(luò)整體的安全[9]。

而ICS的各個(gè)組件間不是相對(duì)獨(dú)立的關(guān)系，其間存在大量數(shù)據(jù)交互的組件的集合體，如圖2所示，因此ICS安全是一個(gè)系統(tǒng)整體的安全，這個(gè)整體安全依賴于ICS既定的系統(tǒng)體系架構(gòu)、統(tǒng)一標(biāo)準(zhǔn)的網(wǎng)絡(luò)通信協(xié)議、嚴(yán)格的通信調(diào)度順序以及規(guī)范的行為和業(yè)務(wù)流程等多個(gè)方面，系統(tǒng)的任意環(huán)節(jié)、任意組件出現(xiàn)安全問(wèn)題都可能造成系統(tǒng)整體的故障甚至癱瘓，而對(duì)單個(gè)設(shè)備或通信鏈路進(jìn)行安全防護(hù)同樣不能起到對(duì)整體和自身的有效防護(hù)效果，因此ICS安全是需要從整體對(duì)局部的安全負(fù)責(zé)，這是ICS安全的一個(gè)難點(diǎn)。

圖2　ICS構(gòu)成關(guān)聯(lián)關(guān)系

1.2　ICS漏洞源于功能特性

現(xiàn)代ICS屬于信息化系統(tǒng)，也不可避免地走出一條與傳統(tǒng)信息系統(tǒng)相同的安全發(fā)展之路。傳統(tǒng)工業(yè)信息系統(tǒng)在早期設(shè)計(jì)開(kāi)發(fā)和應(yīng)用中未曾考慮到安全因素，持續(xù)長(zhǎng)達(dá)20多年，直接導(dǎo)致今天的安全威脅現(xiàn)狀。

當(dāng)前ICS在設(shè)計(jì)開(kāi)發(fā)中仍然更多考慮的是功能和性能，所以面對(duì)解決ICS功能和性能需求時(shí)所奉行的“拿來(lái)主義”還是從實(shí)用角度出發(fā)，對(duì)一些安全機(jī)制并不完善的新技術(shù)采取縱容政策，唯一考慮的是能否高效地支持功能特性(Feature)。這些功能特性很容易被攻擊者所利用，所以盡管可以把很多ICS漏洞歸結(jié)為軟硬件開(kāi)發(fā)缺陷，但功能特性仍然是ICS漏洞的主要來(lái)源。

1.3　ICS漏洞的有限性

盡管ICS系統(tǒng)結(jié)構(gòu)及組件間通信行為錯(cuò)綜復(fù)雜，但漏洞源于靜態(tài)的、有限的軟硬件對(duì)象，因此仍然遵守漏洞的有限性原則，所以對(duì)于一個(gè)給定的系統(tǒng)，必然存在一個(gè)有限的漏洞集合，這對(duì)于ICS漏洞分析來(lái)說(shuō)可以通過(guò)有限元素分析建模方法來(lái)進(jìn)行研究，降低了分析難度；但對(duì)于漏洞挖掘工作來(lái)說(shuō)，隨著有限漏洞集的不斷挖掘，漏洞會(huì)越來(lái)越少，挖掘難度也越來(lái)越大。

1.4　ICS的權(quán)限與行為

傳統(tǒng)信息安全問(wèn)題歸根結(jié)底是一個(gè)權(quán)限及其與能夠訪問(wèn)的數(shù)據(jù)間關(guān)系的問(wèn)題，如圖3所示，不安全就是非法權(quán)限的擴(kuò)散，造成數(shù)據(jù)被非法權(quán)限訪問(wèn)，因此傳統(tǒng)的信息安全防護(hù)也是基于對(duì)一個(gè)訪問(wèn)者角色的受信和不受信的限制。ICS除了角色外，還增加了與角色對(duì)應(yīng)的行為，其行為通常與業(yè)務(wù)存在連帶關(guān)系，因此ICS安全要阻止的是在合法權(quán)限角色下所做的非法行為，除了限制不受信角色的權(quán)限，同時(shí)還要限制受限角色的行為，才能保證ICS業(yè)務(wù)的安全。

圖3　ICS權(quán)限及數(shù)據(jù)訪問(wèn)與安全

基于ICS存在的安全問(wèn)題與傳統(tǒng)信息網(wǎng)絡(luò)安全的差異，在針對(duì)ICS的攻擊上也呈現(xiàn)出新的形式，其中一種危害較大的就是ICS-APT[10]。

2　ICS-APT行為及特點(diǎn)分析

伴隨著ICS安全問(wèn)題的產(chǎn)生，出現(xiàn)了ICS-APT為主的新的攻擊形式，這類攻擊的攻擊者主體不是自然人，而是一個(gè)組織或團(tuán)體，對(duì)于復(fù)雜的ICS網(wǎng)絡(luò)結(jié)構(gòu)、設(shè)備組件、通信協(xié)議、工藝流程，即使較為容易地侵入到工控網(wǎng)絡(luò)之中，沒(méi)有專業(yè)的知識(shí)和對(duì)現(xiàn)場(chǎng)環(huán)境的熟悉，也很難有所作為。而一旦掌握了這些信息，便可能造成大的設(shè)備和人員傷害，所以ICS-APT攻擊通常被看作是一種戰(zhàn)略行動(dòng)，而不是簡(jiǎn)單的戰(zhàn)術(shù)行為，也因此ICS-APT需要長(zhǎng)期地、無(wú)傷害地駐留在目標(biāo)系統(tǒng)中，伺機(jī)進(jìn)行致命打擊。但I(xiàn)CS-APT以新穎的攻擊組合形式代替了技術(shù)上的革新，也因此付出攻擊時(shí)間和條件成本上升的代價(jià)。

2.1　ICS-APT攻擊的階段性

如前所述，ICS-APT并不是通過(guò)一次攻擊就能夠完成的，通常不是在同一時(shí)間內(nèi)直接侵入到目標(biāo)系統(tǒng)并實(shí)施攻擊，而是階段性地、借助多種途徑以跳板的形式對(duì)ICS網(wǎng)絡(luò)及與其鏈接的其他有線、無(wú)線網(wǎng)絡(luò)進(jìn)行逐層滲透。

ICS-APT攻擊的未知性體現(xiàn)在滲透路徑、傳播方式、目標(biāo)對(duì)象等多種因素相集合，其一般的攻擊步驟是：尋找突破口、滲透?jìng)鞑ァ㈤L(zhǎng)期貯存、伺時(shí)攻擊，ICS-APT的潛伏期可以長(zhǎng)達(dá)數(shù)年，在這期間不會(huì)對(duì)目標(biāo)系統(tǒng)造成顯著傷害。

對(duì)ICS-APT攻擊步驟進(jìn)行歸并，可以分為滲透(Exploit)和攻擊(Attack)兩個(gè)階段，惡意程序在滲透階段并未顯現(xiàn)出“惡意”，而是友好地與系統(tǒng)各組件共存，而將最終產(chǎn)生效果留在攻擊階段。ICS-APT攻擊可以明確地分成這兩個(gè)階段，這也是有別于傳統(tǒng)攻擊的一個(gè)特點(diǎn)，傳統(tǒng)攻擊往往將滲透和攻擊歸為一個(gè)工作，滲透的過(guò)程中也同時(shí)實(shí)施攻擊，這樣做使得攻擊者自身較早暴露，難以保證攻擊成功率，而ICS-APT卻需要長(zhǎng)期隱蔽，保證對(duì)明確的目標(biāo)攻擊成功。

2.2　ICS-APT攻擊的意識(shí)

傳統(tǒng)攻擊形式并無(wú)明確的攻擊目標(biāo)，對(duì)于可能存在的攻擊對(duì)象，也可能傷及無(wú)辜，造成更大范圍網(wǎng)絡(luò)的破壞，而ICS-APT從設(shè)計(jì)之初就是有的放矢的，在影響范圍最小地前提下對(duì)目標(biāo)造成最大傷害是最終目的，所以ICS-APT與傳統(tǒng)攻擊形式的一個(gè)區(qū)別在于攻擊的有意識(shí)和無(wú)意識(shí)，有目標(biāo)還是沒(méi)有目標(biāo)，定點(diǎn)攻擊還是造成大范圍殺傷。同時(shí)更重要的一點(diǎn)是要保證對(duì)指定目標(biāo)攻擊的成功率。

2.3　ICS-APT攻擊的可靠性與時(shí)效性

傳統(tǒng)攻擊形式注重惡意程序數(shù)量和影響范圍，對(duì)于對(duì)網(wǎng)絡(luò)中單體攻擊的成功率并不關(guān)注，而ICS-APT需要的是可靠性和時(shí)效性，也就是在確定的時(shí)間保證攻擊的一次成功。

攻擊可靠性的保證在于提高ICS-APT攻擊所需條件的滿足率，因此在設(shè)計(jì)ICS-APT攻擊時(shí)首先要確定多種路徑、多個(gè)網(wǎng)絡(luò)層次上的攻擊條件集合，必須滿足一定的條件組合，才能保證ICS-APT攻擊的可靠性。

2.4　ICS-APT攻擊的條件

一個(gè)完整的APT攻擊需要具備充足的攻擊目標(biāo)對(duì)象信息、多條路徑(包括攻擊冗余路徑)、攻擊技術(shù)庫(kù)、時(shí)間窗口等，而ICS自身為攻擊者“創(chuàng)造”的條件集不同于其漏洞集，是一個(gè)時(shí)間相關(guān)的無(wú)限集，會(huì)隨現(xiàn)場(chǎng)應(yīng)用場(chǎng)景、業(yè)務(wù)流程狀態(tài)等生成新的條件集元素，只有ICS-APT攻擊所需條件，在ICS中都能得到滿足時(shí)，才能夠進(jìn)行一次完整的ICS-APT攻擊，而通常狀態(tài)下很可能不能滿足這些約束。因此，只有隨著ICS攻擊條件集不斷變化，到某一時(shí)間窗口時(shí)，其攻擊條件集完全覆蓋ICS-APT攻擊所需條件，攻擊才能發(fā)起并成功時(shí)間，從這個(gè)意義上來(lái)說(shuō)，ICS-APT耗費(fèi)的同樣是時(shí)間成本。

2.5　ICS-APT攻擊的不可復(fù)制性

由上分析可知，ICS-APT攻擊的條件非?？量?，有時(shí)對(duì)攻擊者來(lái)說(shuō)時(shí)間代價(jià)也是巨大的，而且這些條件通常是不可復(fù)制的。

如Stuxnet利用了微軟Windows操作系統(tǒng)至少4個(gè)漏洞，其中3個(gè)是0day漏洞，利用西門(mén)子監(jiān)控軟件WinCC系統(tǒng)2個(gè)漏洞，同時(shí)偽造了RealTek 與JMicron兩個(gè)公司產(chǎn)品驅(qū)動(dòng)程序的數(shù)字簽名，最終通過(guò)修改PLC程序，完成了一次目標(biāo)系統(tǒng)的攻擊?？梢?jiàn)一次攻擊同時(shí)利用了如此之多的漏洞，在傳統(tǒng)信息安全攻擊史上仍屬罕見(jiàn)，也可以看出攻擊者所做的努力和積累，攻擊不是一朝一夕完成的。由前述漏洞的有限性可知，這些漏洞經(jīng)過(guò)一次爆發(fā)便由未知變成已知，從基于特征的靜態(tài)安全防護(hù)理論角度來(lái)說(shuō)，已經(jīng)能夠通過(guò)入侵檢測(cè)等手段阻止相同攻擊的再次發(fā)生，因此可以說(shuō)這次攻擊是不可復(fù)制的，不像傳統(tǒng)信息網(wǎng)絡(luò)中的病毒或木馬，其自身及其變種可能流行于互聯(lián)網(wǎng)中數(shù)年仍然對(duì)某些用戶具有殺傷力。相比于需要苛刻條件的攻擊方來(lái)說(shuō)，對(duì)ICS-APT的防御可能是一個(gè)優(yōu)勢(shì)。

綜合上述特點(diǎn)，對(duì)ICS-APT攻擊的階段間關(guān)聯(lián)、條件約束、網(wǎng)絡(luò)層次成功概率累計(jì)、攻擊可靠性和時(shí)效性、傳播路徑和手段進(jìn)行研究，有助于進(jìn)一步防御ICS-APT。

3　ICS-APT防御需求

無(wú)論是傳統(tǒng)信息安全還是ICS安全，首先要建立對(duì)安全防御的正確認(rèn)識(shí)，不存在絕對(duì)的安全防御，僅僅是給攻擊者增加成本，所以對(duì)ICS-APT的防御而言，同樣是給攻擊者增加滲透或者攻擊成本。

參考傳統(tǒng)信息安全病毒查殺、入侵檢測(cè)、通信過(guò)濾等防御手段，都是在原有系統(tǒng)的基礎(chǔ)上采取“修補(bǔ)”的形式強(qiáng)化安全[11-12]，而ICS安全防御的特殊性在于ICS功能和性能的穩(wěn)定性與安全防御手段的不穩(wěn)定性間的矛盾，同時(shí)“修補(bǔ)”只能是短期行為，而外部添加組件不但對(duì)原系統(tǒng)造成不穩(wěn)定，同時(shí)可能帶來(lái)更多的安全問(wèn)題，這是開(kāi)展ICS安全防御的難點(diǎn)。

3.1　ICS-APT防御要素

正確認(rèn)識(shí)ICS-APT防御一方面是處理好漏洞、威脅和攻擊者三者的關(guān)系，漏洞是必然存在的，威脅是基于存在的漏洞的攻擊手段，而攻擊者是攻擊的實(shí)際操縱主體，前兩者是客觀的，在ICS-APT中，攻擊者并不是自然人，而是作為人的代理的程序行為，因此限制具有關(guān)鍵操作權(quán)限的程序行為，并通過(guò)定義程序行為的正確性，對(duì)包括輸入數(shù)據(jù)、輸出數(shù)據(jù)、算法調(diào)整、參數(shù)校正等行為進(jìn)行抽象，作為判斷ICS安全評(píng)估的指標(biāo)，從而據(jù)此提升ICS安全防御能力。

從ICS-APT攻擊的階段性出發(fā)，按各個(gè)階段的行為特征和攻擊條件分別進(jìn)行要素提取，分階段進(jìn)行防御。而ICS-APT攻擊的成功依賴于這些要素適當(dāng)?shù)慕M合和疊加，防御者只要阻斷一個(gè)或多個(gè)要素的生成，就可以終止攻擊過(guò)程，也就是說(shuō)攻擊實(shí)際上是一個(gè)“與”的關(guān)系，而防御則是一個(gè)“或”的關(guān)系。

3.2　ICS-APT縱深防御

ICS是一個(gè)層次化的網(wǎng)絡(luò)體系結(jié)構(gòu)，ICS-APT等威脅來(lái)自ICS網(wǎng)絡(luò)外部，因此首先不安全也是分層次的，層次間的實(shí)際安全水平不同，縱深防御的目的是解決層次化安全問(wèn)題和應(yīng)對(duì)遞進(jìn)式攻擊。

解決在用在線ICS的現(xiàn)場(chǎng)安全防御，不能單純采用“阻斷”和“修補(bǔ)”策略，因?yàn)榭紤]到上述ICS自成一體的特點(diǎn)，系統(tǒng)內(nèi)呈現(xiàn)異構(gòu)混合網(wǎng)絡(luò)的特點(diǎn)，很難把一些其他安全防御設(shè)備集成進(jìn)去，而另一方面對(duì)ICS進(jìn)行網(wǎng)絡(luò)邊界防御，盡管目前傳統(tǒng)信息安全多采用這種形式，但I(xiàn)CS復(fù)雜的網(wǎng)絡(luò)環(huán)境和多數(shù)據(jù)通道入口都可能成為威脅從內(nèi)部侵入的途徑，因此縱深防御需要分為短期方案和長(zhǎng)期規(guī)劃，長(zhǎng)期規(guī)劃是從ICS各網(wǎng)絡(luò)層次、各個(gè)組件與設(shè)備、各類通信協(xié)議等方面重新進(jìn)行安全整合設(shè)計(jì)，進(jìn)行下一代安全I(xiàn)CS的開(kāi)發(fā)。而短期內(nèi)作為縱深防御的一個(gè)最重要目標(biāo)，是解決ICS-APT在滲透階段的及時(shí)檢測(cè)并阻斷和攻擊階段的預(yù)警。

因此縱深防御的意義在于破壞了ICS-APT在ICS網(wǎng)絡(luò)滲透的過(guò)程中的概率累積過(guò)程，其手段在于延長(zhǎng)了滲透的時(shí)間來(lái)延緩攻擊的發(fā)生，降低了ICS-APT最后的攻擊階段成功的概率。

3.3　ICS-APT“優(yōu)先防御”策略

傳統(tǒng)的攻防對(duì)抗策略通常是先有攻擊，然后根據(jù)攻擊的特征，再開(kāi)發(fā)相應(yīng)的防護(hù)手段，這種“先攻后防”的被動(dòng)防御是一種靜態(tài)的防御方式，所有防御的形式都是基于攻擊類型的，如通過(guò)代理來(lái)防御拒絕服務(wù)攻擊，用基于靜態(tài)特征的入侵防御來(lái)阻斷網(wǎng)絡(luò)滲透等，而ICS-APT攻擊是未知的，其攻擊形式、滲透路徑都是不確定的，導(dǎo)致很難針對(duì)其提出如傳統(tǒng)信息安全中的“專殺”工具。

另一方面，靜態(tài)防御具有明顯的滯后性，只有問(wèn)題出現(xiàn)了之后才意識(shí)到問(wèn)題的存在，所以被動(dòng)的靜態(tài)防御不能解決ICS-APT問(wèn)題。

未來(lái)應(yīng)對(duì)ICS-APT的解決方案應(yīng)該是安全超前的，可以定義為“優(yōu)先防御”策略?！皟?yōu)先防御”策略可以從兩個(gè)方面入手，一方面是通過(guò)ICS安全生命周期提升系統(tǒng)自身安全防護(hù)能力，另一方面是以動(dòng)態(tài)安全狀態(tài)監(jiān)控為主的預(yù)警防御機(jī)制。

3.4　ICS安全生命周期

ICS安全生命周期有兩方面內(nèi)容，一是從上述縱深防御的長(zhǎng)期規(guī)劃出發(fā)，如前所述，ICS-APT的攻擊形式多是對(duì)功能特性的合理利用，因此ICS安全更重要的是完善安全功能，開(kāi)發(fā)集成安全功能的ICS，而本節(jié)需要探討的是如何在現(xiàn)有的非安全的ICS體系結(jié)構(gòu)之下，進(jìn)一步強(qiáng)化ICS自身的安全，不僅僅是要在ICS應(yīng)用現(xiàn)場(chǎng)實(shí)施安全防御策略，而且要貫穿到從產(chǎn)品需求、設(shè)計(jì)、開(kāi)發(fā)、測(cè)試一直到應(yīng)用和維護(hù)等全生命周期中，同時(shí)對(duì)ICS的使用者、使用時(shí)間、使用條件等進(jìn)行限定，從廣義上來(lái)說(shuō)也屬于縱深防御的組成內(nèi)容。

ICS安全生命周期包括安全設(shè)計(jì)、安全開(kāi)發(fā)、安全測(cè)試、安全實(shí)施，其中最重要的一個(gè)環(huán)節(jié)是安全測(cè)試，測(cè)試也是安全防御的一種手段，同時(shí)又是一種模擬攻擊行為，本質(zhì)上屬于漏洞挖掘與檢測(cè)的范疇，其產(chǎn)生的效果可以反饋到其他環(huán)節(jié)，并指導(dǎo)安全生命周期的其他環(huán)節(jié)。ICS安全測(cè)試一是基于功能特性的測(cè)試，二是基于Fuzzing(基于缺陷注入的自動(dòng)軟件測(cè)試技術(shù))的測(cè)試，對(duì)于攻擊的有意識(shí)和無(wú)意識(shí)，這兩類測(cè)試同樣對(duì)應(yīng)的是防御(測(cè)試)的有意識(shí)和無(wú)意識(shí)，其中ICS-Fuzzing測(cè)試是一種未知攻擊模擬形式，不僅僅是信息系統(tǒng)中的對(duì)數(shù)據(jù)段的Fuzzing，而且要對(duì)攻擊行為進(jìn)行Fuzzing，即通過(guò)行為的無(wú)意識(shí)組合來(lái)進(jìn)行測(cè)試，達(dá)到模擬未知攻擊的測(cè)試目的。

3.5　ICS-APT安全動(dòng)態(tài)防御機(jī)制

ICS是時(shí)間和事件關(guān)鍵性系統(tǒng)，通信數(shù)據(jù)和事件行為的延遲或者阻斷都可能造成嚴(yán)重的后果，因此對(duì)于ICS-APT的防御應(yīng)該是監(jiān)控大于阻斷，更注重對(duì)當(dāng)前安全形勢(shì)的判斷以及未來(lái)安全趨勢(shì)發(fā)展的預(yù)測(cè)，并對(duì)尚未發(fā)生的威脅及時(shí)快速地響應(yīng)，形成一種動(dòng)態(tài)的安全防御機(jī)制。

正確判斷ICS當(dāng)前安全形勢(shì)首先要區(qū)分什么是正常狀態(tài)和什么是異常狀態(tài)，可以通過(guò)對(duì)現(xiàn)場(chǎng)通信流量、控制行為、業(yè)務(wù)流程等特征進(jìn)行提取，建立動(dòng)態(tài)ICS安全模型，通過(guò)對(duì)ICS正常狀態(tài)參數(shù)的導(dǎo)入，獲得安全狀態(tài)特征庫(kù)，特征本身是靜態(tài)的，但控制現(xiàn)場(chǎng)狀態(tài)是實(shí)時(shí)變化的，將庫(kù)中特征與ICS實(shí)時(shí)狀態(tài)對(duì)比而實(shí)現(xiàn)對(duì)當(dāng)前安全形勢(shì)的判斷。對(duì)這種方式來(lái)說(shuō)，ICS的行為比較單一，更容易建立安全狀態(tài)特征庫(kù)，因此更適合采用基于正常狀態(tài)的安全監(jiān)測(cè)手段。

ICS運(yùn)行的周期性決定了通過(guò)一段時(shí)間對(duì)其安全狀態(tài)監(jiān)測(cè)獲得的數(shù)據(jù)形成對(duì)未來(lái)安全趨勢(shì)發(fā)展的經(jīng)驗(yàn)集，同時(shí)ICS系統(tǒng)可以通過(guò)辨識(shí)等手段對(duì)其狀態(tài)和狀態(tài)切換行為進(jìn)行預(yù)測(cè)，二者相結(jié)合可以參考實(shí)現(xiàn)對(duì)時(shí)變的未知威脅從安全趨勢(shì)上進(jìn)行預(yù)測(cè)。

最后，ICS安全防御的需求是快速對(duì)威脅進(jìn)行響應(yīng)，既需要保證安全防御的時(shí)效性，又要保證ICS的正確穩(wěn)定運(yùn)行，盡可能保證在ICS非實(shí)時(shí)通信網(wǎng)絡(luò)層能夠減少觸發(fā)ICS-APT發(fā)生的條件，及時(shí)抑制或阻斷威脅。

4　結(jié)論

ICS-APT在形式上有新的特點(diǎn)，但內(nèi)容上仍然可能利用傳統(tǒng)信息安全的攻擊手段，在未來(lái)針對(duì)ICS安全防御理論與技術(shù)的研究過(guò)程中，需要牢牢把握ICS安全問(wèn)題的特點(diǎn)，既要拋棄不適用的安全防御方法，又要從中獲得可復(fù)用技術(shù)和經(jīng)驗(yàn)，從縱深防御、安全生命周期以及動(dòng)態(tài)防御機(jī)制等角度開(kāi)展新的應(yīng)對(duì)ICS-APT攻擊的理論與技術(shù)研究。

[1] CHEMINOD M, DURANTE L, VALENZANO A. Review of security issues in industrial networks[J]. IEEE Transactions on Industrial Informatics, 2013, 9(1): 277-293.

[2] LEITH H M, PIPER J W. Identification and application of security measures for petrochemical industrial control systems[J]. Journal of Loss Prevention in the Process Industries, 2013, 26(6): 982-993.

[3] DALY M K. Advanced persistent threat[Z]. 2009.

[4] https://www.codeproject.com/KB/web-security/StuxnetMalware/Stuxnet_Malware_Analysis_ Paper.pdf (accessed Oct 20, 2017)

[5] LANGNER R. Stuxnet: dissecting a cyberwarfare weapon[J]. Security & Privacy, IEEE, 2011, 9(3): 49-51.

[6] BENCSATH B, PEK G, BUTTYAN L, et al. Duqu: analysis, detection, and lessons learned[C].ACM European Workshop on System Security (EuroSec), 2012.

[7] MILLER B, ROWE D. A survey SCADA of and critical infrastructure incidents [C].Proceedings of the 1st Annual Conference on Research in Information Technology. ACM, 2012: 51-56.

[8] BYRES E, LOWE J. Myths and facts behind cyber security risks for industrial control systems[C].Proceedings of the VDE Kongress, 2004, 116: 213-218.

[9] FABRO M. Control systems cyber security: defense-in-depth strategies[R]. 2007-10-01.

[10] KIM S J, CHO D E, YEO S S. Secure model against APT in m-connected SCADA network[J]. International Journal of Distributed Sensor Networks, 2014, 2014(6):1-8.

[11] BYRES E, ENG P. Cyber security and the pipeline control system[J]. Pipeline & Gas J, 2009, 236(2): 58-59.

[12] WEISS J. Control systems cyber security and nuclear power plants[C]. Fourth American Nuclear Society International Topical Meeting on Nuclear Plant Instrumentation, Controls and Human-Machine Interface Technologies (NPI & HMIT 2004), 2004.