难以置信！隐藏在众目睽睽之下的1700多万个控制系统网络事件

国际知名自动化和网络安全专家JoeWeiss19日在其博客上发文称，控制系统网络事件的数量和影响比大多数观察家预期的要多 - 超过1700万直接导致超过 34,000人死亡。

虽然已经发生了1,200多起与电网相关的事件，但这并不能充分反映对客户和经济的真正影响。在超过1700万起控制系统网络事件中，大多数是恶意而非无意的。从事件数量来看，大多数控制系统网络事件都是基于工程的攻击，用于掩盖产品设计中的缺陷或造成物理损坏。这些攻击不涉及Internet、Windows或OT网络来执行攻击。因此，这些事件无法通过网络取证来识别，也不属于现行CISO的工作范围。这意味着大多数此类事件不会被现有的政府和行业网络安全指南解决，也不会作为网络事件提交给相关委员会。现今网络防御者不会将这些视为恶意网络攻击，因为这些事件并不是他们预期的攻击类型。在以OT网络为中心的监管机构和从业者愿意解决基于工程的事件和攻击之前，关键基础设施的保护几乎就是无从谈起。

Weiss始终认为，控制系统网络事件比大多数安全专家和行业领导者认为的更为普遍和危险，它们也隐藏在众目睽睽之下。Weiis也一直在推动工业界和网络安全行业对控制系统网络事件的认知和重视，倡导利用非IP网络数据的手段解决此类风险。

尽管这位老先生关于控制系统网络事件及其损失的统计数字的真实性无法考证，但此类基于工程的事件，或者是目前基于网络数据的安全解决方案无法应对的事实，的确一直存在。

Joe Weiss称自2000年帮助启动电力公司的控制系统网络安全计划以来，他一直在积累控制系统网络事件的数据库。起初，建立数据库的目的是：

1. 证明控制系统网络事件是真实的，而且数量不小。
2. 表明大多数事件在多个部门都很常见。
3. 为培训工程师和网络人员提供输入，让他们知道控制系统网络事件不仅仅是互联网协议 (IP) 网络异常时会发生。
4. 确定网络安全缓解技术是否可以解决实际事件。
5. 在新控制系统的设计中使用，以确保解决无意或恶意的威胁。
6. 帮助保险业和信用评级机构了解这种存在的风险。

就此而言，他已经与安全厂商一起使用了数据库，以帮助验证安全厂商的安全技术是否可以解决特定的实际案例。 

Weiss选择事件入库的标准是它们是事件而不仅仅是漏洞，并且事件必须直接或间接地影响控制系统或它们管理的物理过程。如果事件只影响IT系统（大多数勒索软件就是这种情况），就没有将它们收录在内。（这使其数据库与大多数其他以勒索软件案例为主的数据库有明显区别）。他也没有对受通用恶意软件影响的组织进行详细统计和列表，例如Slammer、Blaster、Confiker、Not-Petya、WannaCry以及似乎每天都在激增的各种勒索软件版本。尽管无人机是“网络工具”，但该数据库不包括任何用于军事行动的案例。

因此，就确定的案例数量而言，他的数据库还是非常保守。该数据库包含的事件类型非常广泛，因为它包括“传统”IP 网络网络事件以及失相事件、基于工程的攻击、电磁干扰 (EMI) 和射频干扰 (RFI) 案例禁用的控制系统和其他特殊情况。Weiss还将这些案例与RISI和SCIDMARK等现有数据库进行了比较，以确保数据库是完整的。

Weiss采纳了美国政府问责局 (GAO) 21-477对网络事件定义，即“危害信息系统或系统处理、存储或传输的信息的网络安全的事件；或违反安全政策、程序或可接受的使用政策的事件，无论其是否由恶意活动引起。包括网络攻击在内的网络事件可能会损坏信息技术资产，造成与业务中断和盗窃相关的损失，泄露敏感信息，并使实体面临客户、供应商、员工和股东的责任。”

该数据库不公开，因为该数据库包含许多机密案例。该数据库也不包括已分类的事件。该数据库包括以下行业的事件统计：

• 飞机
• 电力T&D/SCADA（输电、配电和微电网）
• 设施（建筑物、实验室、数据中心等）
• 食品与饮料
• 陆路交通（铁路、汽车、交通信号灯等）
• 制造业（所有类型的制造业）
• 海事（船舶、港口、船闸等）
• 医疗（医疗设施和医疗设备）
• 矿业
• 核电站
• 石油/天然气/化学品
• 流水线
• 发电厂（化石、水力和可再生能源）
• 太空（火箭、卫星）
• 水/废水

国家和地区包括：

• 非洲
• 亚洲
• 澳大利亚/新西兰
• 加拿大
• 欧洲
• 中东
• 南美洲
• 美国

该数据库偏向于收集美国和加拿大的事件。然而，许多设施和控制系统供应商都是全球性的。因此，无论事件发生在何处，大多数事件都直接适用于每个地区。由于维护数据库不是他的全职工作，它基于发现或获悉的事件，这意味着它并不涵盖已发生的所有事件。显而易见的是，控制系统网络事件继续在所有类别中发生，尽管它们被勒索软件事件的数量“淹没”了。这可以解释为有网络取证来识别 IT/勒索软件事件，但通常不是用于控制系统网络事件。

网络安全的重点一直放在电力、水、化学品、管道、石油/天然气和制造业等关键基础设施上。然而，基础设施中发生了重大网络事件，这些事件意料之外地容易受到网络攻击，例如对公路隧道设备造成物理影响的网络相关影响。还有一些网络事件涉及模拟系统。

对于制造业和管道等行业，计算事件相对简单，因为它适用于受影响的每个设施，但不会产生乘数效应。然而，与电网网络相关的事件会产生多重影响。例如，一次导致区域电网关闭数日的网络相关事件影响了5000万人。把那个事件算作1，而不是5000万。根据该统计，自 1990年代后期以来，美国发生了 6次与网络相关的停电，至少影响了96,000名客户。还发生了许多重大的国际电网网络相关中断，涉及大量人口。因此，尽管发生了1,200多起与电网网络相关的事件，这并不能充分反映每起事件对客户和经济的真正影响。在某些情况下，电网网络事件并未对电网造成影响。在其他情况下，电网会关闭数小时至数天，影响无法获得备用电源的人口和企业。同样的乘数效应也适用于化工厂等设施，这些设施与网络相关的有毒物质释放影响了数万人，或者飞机失事导致数百人死亡。

控制系统网络事件的直接和间接经济影响可能是巨大的，但没有进行过详细的经济分析。例如，结果并未反映影响 5000 万人的区域停电的经济影响。控制系统网络事件直接导致企业破产的案例已有数起。此外，控制系统事件的经济影响非常保守，因为Weiss没有对经济影响进行净现值计算。相反，Weiss使用了事件发生时的影响值。举个例子，1999年奥运输油管道破裂，按1999年的美元计算，那次事件的影响是4500万美元，按2022年的美元计算，显然要多得多。

Joe Weiss最后给出了相关建议：

制定适当的控制系统网络安全培训，以识别可能与网络相关的事件。

制定与组织所有受影响部分共享控制系统网络事件信息的流程。

制定与行业和政府共享经过净化的控制系统网络事件信息的流程。

在网络安全政策和程序开发中使用控制系统网络事件信息。

开发一种具有CVE类型流程的方法来解决控制系统网络事件。

在网络安全缓解开发中使用控制系统网络事件信息。

在控制系统设备开发中使用控制系统网络事件信息。

在安全分析中使用控制系统网络事件信息。

在事件响应培训中使用控制系统网络事件信息。

在物理层面使用过程传感器监控来识别无意和恶意的网络事件。

Joe Weiss是控制系统和控制系统电子安全方面的行业专家，在能源行业拥有40多年的经验。Weiss先生是众多与控制系统安全相关的组织的成员。其中包括北美电力可靠性公司 (NERC) 控制系统安全工作组 (CSSWG)、国际电工委员会 (IEC) 技术委员会 (TC) 第57工作组 - 数据和通信安全、过程控制安全需求论坛、CIGRÉ WG D2.22–电力公用事业 (EPU) 和其他行业工作组的信息安全处理。还担任审查信息安全对IEEE标准影响的工作组负责人。他还是ISA标准与实践委员会的董事，ISA工业自动化和控制系统安全 (ISA99) 的常务董事，Ponemon 研究所Fellow，IEEE高级会员。

来源：网空闲话

| 往期推荐：

2022年数据泄露事件盘点

央行等八部门联合印发重磅改革方案，持续推进网络安全保险产品，推动科创金融业务创新

中美俄首次参与网安演习 明年将面对面对抗

卫星互联网系统遭网络攻击，乌克兰数百个星链终端关闭

Log4j漏洞难修补！美国联邦政府遭入侵，FBI称黑手为伊朗黑客

原文始发于微信公众号（内生安全联盟）：难以置信！隐藏在众目睽睽之下的1700多万个控制系统网络事件