电子政务发展前沿2016年第6期—关于乌克兰国家关键基础设施遭受网络攻击的安全研究报告

来源:公共技术服务部   时间:2016-09-21

    2015年12月23日,乌克兰国家电力公司遭受到前所未有的网络攻击,乌克兰国内一些研究机构和安全厂商对此事件的分析几乎一致认定主要是由“黑暗能量”恶意软件所致。美国派出调查小组到乌克兰,对安全事件做了现场调查取证,结论是“黑暗能量”软件主导本次安全事件的证据不充分,及时纠正了媒体报导可能造成的误导。

    在整个调查过程中,美国调查小组采用的的分析方法是:现场勘测、取样分析,与安全事件相关单位进行深入的调查访谈,根据安全事件的报告和回溯的技术手段,重新梳理了整个安全事件的战术、技术和遭受攻击的过程。对乌克兰国家电力公司采取的安全防御手段进行了及时的纠偏。调查取证结束后,美国国家网络安全及通信一体化中心(NCCIC)与工业控制系统网络应急响应中心(ICS-CERT)共同发布安全事件的内部警报(信息共享等级为“绿色”),并向社会公布了调查结果,即“目前尚没有足够的证据确认‘黑暗能量’恶意软件在网络攻击中的角色和作用,具体情况还需进一步分析”。

    还原整个安全事件,乌克兰国家电力公司网络被攻击的主要方式是通过合法的远程连接通道(如VPN),利用被盗用的内部合法证书,访问电力内部信息系统。攻击过程中,本地工作站操作人员的键盘和鼠标均被死锁,操作人员可在控制屏幕上目击到攻击者的行动,但却无能为力。为此,根据调查结果,美国工业控制系统网络应急响应中心对降低安全风险提出了以下建议:制定可执行、可操作的工控系统安全应急计划,限制远程访问,实施网络监控和证书监管,规范并规划网络体系结构,制定网络业务应用的白名单,对固件驱动程序进行签名及验证,以及加强后门检测和报警等内容。

    没有意识到风险是最大的风险,而面对风险给出可能误判、误导的信息更是不可忽视的风险。

    应对日趋复杂的网络安全态势,必须要重视更全面地分析网络攻击的战术、技术和过程,避免由于仅仅观察局部问题的表象,而得出可能以偏盖全的结论。美国调查小组的方法论,客观认真的现场调查,提出问题的方式及所提供的解决此类安全事件的建议均值得我们学习和借鉴。

 

 责任编译:韩帅

编 译:孟亚平、徐茂、吴伟、石进中、李瞳玲、夏常钧、任飞

译 审:贾一苇

 


附件:
6-关于乌克兰国家关键基础设施遭受网络攻击的安全研究报告(译稿) - v6-6-0919hs

主办单位:国家信息中心 京ICP备05063309号 技术支持:中国经济信息网

地址:北京市西城区三里河路58号 邮政编码:100045 电话:010-68557000 传真:010-68533919