許多國家包括油、水、電、瓦斯及核電廠等,都是重要的關鍵基礎設施,一旦受駭,將為國家帶來很大的風險。而美國國土安全部(DHS)所屬的工業控制系統緊急應變小組(Industrial Control Systems Cyber Emergency Response Team,ICS-CERT)日前對外揭露,從今年1~4月,美國重要關鍵基礎設施單位已經發生二類、共3起資安事件,探究事件發生最主要的原因,都和工控設備連網或者允許遠端登入等網路行為有關係。

ICS-CERT表示,今年1~4月以來,發現二類與關鍵基礎建設有關的資安事件,第一類與事件與脆弱的網路設定有關,第二類則是非經授權的第三方入侵造成的風險,「但事件發生的核心都與這類工控設備連網有關係。」ICS-CERT說。

資安專家經由受駭主機的資安鑑識結果發現,部分關鍵基礎設施單位遭遇到複雜的攻擊手法,駭客以未經授權的方式,取得相關的工業控制系統的權限。進一步分析發現,上述受駭工業控制系統都有對外連網,允許使用者進行遠端存取,甚至於密碼設定都是屬於弱密碼。也因此,駭客便透過暴力破解的方式,取得工控設備上的弱密碼,藉此獲得受駭主機的存取權限。

另外一類受駭事件,駭客同樣透過複雜的攻擊手法,經由數據機連上SCADA(監測控制和資料獲取)通訊埠,入侵一臺毫無防護的工控系統,不僅沒有防火牆的基本防護,甚至連登入系統權限也都沒有進行嚴謹的存取控管,更直接連接對外網路。也因此,當駭客取得該工控系統的主控權後,意味著這臺不設防的連網機臺已經被駭客全權掌控,不僅和內部所有的定期維護計畫脫節,包括弱點更新或者是升級與否,都是駭客決定的。

ICS-CERT強烈的建議,所有關鍵基礎設備的單位在資安防禦上,都應該採取縱深防禦的資安策略,定期稽核所有連網的裝置與設備,首先,應該要徹查所有採用脆弱認證機制的工控系統,例如脆弱密碼等,並且找出存在這些設備元件上的系統弱點以進行修補或升級,以降低這些工控設備被駭客控制的機會。

不過,ICS-CERT也提醒,不論多嚴謹的資安政策或程序,使用多麼精良的防禦工具,強化對於所有連網裝置的警覺性,才是最重要的資安措施。


Advertisement

更多 iThome相關內容