Positive Technologies最新报告:73%的IC
用于控制制造、能源和其他行业设备的工业控制系统(Industrial control system,ICS)与普通的办公室网络不同,它对于工业基础设施的正常运作来说至关重要,但在网络安全方面却通常缺乏保障。黑客对ICS设备的成功攻击可能会给此类工业企业带来无法估量的损失,如未经授权的修改或中断可能会导致停电、机械事故,甚至可能导致重大灾难和危及生命。
全球领先的安全公司Positive Technologies在上周四(5月3日)发布的一份题为《工业企业攻击向量(INDUSTRIAL COMPANIES ATTACK VECTORS)》的测试报告中指出,在所有参与网络安全测试的工业企业中,有73%的企业网络都容易遭受黑客攻击。导致这种状况出现的原因更多的是来自于系统管理员,而非系统本身。
Positive Technologies表示,报告中的统计数据来源于他们在2017年针对11家工业企业所使用的ICS系统所进行的安全性评估和渗透测试。其目的是帮助企业明确自身的安全状况,并协助企业系统管理员及时发现和修复可能存在的安全漏洞。
报告指出,企业员工所使用的企业信息系统(Corporate Information Systems,CIS)会是黑客攻击的一个重要突破口,因为这些CIS系统普遍存在安全漏洞,如外部攻击者可用的管理接口(SSH、TELNET、RDP)、特权用户的字典密码、外部攻击者可用的DBMS连接接口、易受攻击的软件版本、不安全协议的使用、任意文件上传、用户和软件权限过大以及在明文或公众中存储敏感数据等等。具体的漏洞存在情况和漏洞等级评定如下:
Positive Technologies发现,他们可以利用这些漏洞侵入这些CIS系统,并且在73%的企业身上取得了成功。更糟糕的情况是,如果黑客侵入成功,便有很大可能能够利用这些CIS系统来访问用于控制ICS设备的更广泛的工业网络,即ICS系统。Positive Technologies表示,这种可能性很大,因为他们在82%的测试者身上实现了这种攻击模式。
根据Positive Technologies的说法,访问工业网络最简单方法之一就是利用RDP远程桌面访问。工业企业的系统管理员通常会这样做,以便他们从办公室就能够远程管理ICS设备,而无需去现场进行操作。在64%的案例中,攻击的成功都得益于远程桌面访问。
毫无疑问,这种潜在的安全风险是由于系统管理员在创建远程管理机制的过程中引入的,而并非来自系统本身的脆弱性。不仅如此,Positive Technologies还发现,在18%的受测试企业中,ICS设备甚至都没有被隔离在单独的网络段上,而这一责任似乎也应该由系统管理员来承担。
此外,还需要着重提出的便是使用弱密码的问题,这种情况几乎在所有受测试企业身上都存在。而这往往会使得攻击升级,因为密码破解的成功会授予攻击者足够大的特权来对整个企业基础设施的进行控制。
报告指出,最常见的密码组合是一串长达八个字符的数字,有82%的受测试企业都采用了此类密码,但并非应用于所有软件、系统或设备。在55%的案例中,密码都被设置为“123456”。更令人惊讶的是,大量的企业仍在使用默认密码,甚至没有设置密码,仅需输入用户名便可进行访问。具体的密码使用情况如下:
需要提出的一种情况是,即使企业系统管理员使用了较长字符串的密码,但这些密码通常表现为易于猜测的键盘组合。这将允许黑客通过密码字典并配合密码破译软件来暴力破解密码,以获得访问权限。密码字典里包含了许多人们习惯性设置的密码,这样可以提高破解密码的成功率,以及缩短破解密码所需的时间。
Positive Technologies的这份测试报告还包含了更多的测试细节和统计结果,完整的报告副本已经上传到了其官方网站,感兴趣的读者可以去那里进行下载和阅读。