Schneider Exec 谈为什么 Triton 恶意软件仍然很重要

去年，一个神秘的网络攻击者组织发起了一场恶意软件活动，后来被称为 Triton 或 Trisis，以破坏中东设施的安全关闭系统。网络安全公司 Dragos 于 2017 年 11 月中旬发现的 Triton 恶意软件可能会造成灾难性破坏——可能会造成人员伤亡和大规模污染。然而，该恶意软件并未实现其目标，因为它无意中触发了 Triconex 安全系统试图抑制的紧急系统关闭程序，从而导致其被发现。

因此，Triton 成为现代工业组织面临的网络安全威胁的切实警告。 Dragos 的一篇文章称，这次攻击背后的黑客集体，被 Dragos 称为 Xenotime，可能会继续“造成潜在的、未来的破坏性——甚至破坏性——事件”。这家网络公司表示，它对这种可能性有“中等信心”，同时还指出，这次攻击为其他网络犯罪分子提供了一个蓝图，可以将整个安全仪表系统作为目标。

虽然一些设备被黑客入侵的制造商已经驳回、淡化甚至试图向黑客隐瞒此类攻击在公开场合，施耐德电气采取了相反的做法。 “我们知道需要一定程度的透明度，”该公司网络安全和系统架构总监 Andrew Kling 说。 “一旦了解了袭击的真实性质，我们就意识到了这种袭击的独特性以及这种袭击的严重性。我们当然知道这将成为整个行业的行动号召，”Kling 说，他最近撰写了一篇题为《Triton 一年后：构建持续的全行业网络弹性》的文章。

[ 物联网安全峰会 是您学习保护从云到边缘再到硬件的完整物联网堆栈的会议。 立即获取门票。 ]

Triton 与大多数恶意软件的不同之处在于，它是少数专门针对工业控制系统的恶意软件类型之一，也是第一个针对安全仪表系统的已知恶意软件。 Kling 说：“这不仅仅是一个产品的旧版本受到攻击的一次性事件，而是一种有人认为攻击安全系统是实现其目标所必需的攻击。” “而试图将我们的头埋在沙子里根本就不是一种可以接受的行为。”

您认为业内人士在多大程度上了解 Triton 恶意软件 以及更广泛的工业安全系统攻击威胁？

安德鲁·克林 :这是一个很好的问题。作为一名网络安全专业人士，我认为它应该是 100% 和绝对的。每个人都应该立即坐起来，采取行动解决这种情况。

我们一直在为 Triconex 产品线的客户运行恶意软件检测服务。我们知道我们生产了多少这些 Triconex 安全控制器。我们知道如何检测这些设备中是否存在此恶意软件。我们已经为所有客户提供了这项服务。我们现在有很多客户与我们合作，以检测他们的设备中是否存在恶意软件，并且没有其他任何网站受到威胁的迹象。但我们将继续运行该计划，因为我们相信这对我们的客户来说是一项重要的服务。我要指出它也是独一无二的。据我所知，这是第一个直接检测此类安全设备中恶意软件的服务。

您认为施耐德电气在帮助业界了解这一威胁方面扮演什么角色？

克林： 这是一个行动号召，不仅仅是让我们的客户站起来说：“嘿，我们必须像关注我们的过程控制系统和业务系统一样关注我们的安全系统。”但这是对服务提供商、网络提供商和像我们这样的 OEM 的号召。

我在标准委员会工作，在那里我与其他公司的同行互动，他们同意这与他们相关。施耐德电气成为攻击目标，因为当该客户受到攻击时，我们恰好是现场的安全系统，但它也很容易成为我们的竞争对手之一。他们很欣赏我们是透明的，我们正在解释攻击是如何发生的，以及他们在这次攻击中对这个特定客户使用了哪些技能。

此时我们对攻击背后的攻击者了解多少？

克林： 你可能和我一样知道。

就归因而言，我们对它可能是谁知之甚少。有很多关于民族国家的猜测和新闻。最近，有一家恶意软件公司推测，这些技能可能比原先想象的要少。虽然我不知道攻击者是谁，但我确实知道需要某些非常重要的技能。攻击者必须了解此类安全系统的工作原理以及所涉及的处理器和协议。在这次攻击中，分布式控制系统和过程控制系统都受到了损害。这些都是您不常见的技能。必须有人有很大的动机才能获得这些技能才能进行这次攻击。

那么攻击者可能对这种机器的经验有限？
是的，或者他们有广泛的智慧并且能够迅速适应。

这是猜测，但很可能他们有一些设备。但是他们的恶意软件有多个错误——我们必须修复这些错误才能真正弄清楚恶意软件应该做什么。当遇到这些错误之一时，它会触发安全系统。该系统做了它应该做的事情，并且表明他们可能没有我们想象的那么多设备。他们正在使用该站点开发恶意软件

我们知道该恶意软件是安装在内存中的 RAT。它们具有读写执行功能，但我们从未真正恢复安装到该 RAT 中的最终有效载荷是什么？

对于担心其设施面临网络风险但不确定在保护这些设施时应优先考虑什么的工业组织，您有什么建议？

顺便说一下，世界各地的政府都向我提出了这个问题，现在我们向客户提出了这个问题。

我有一个答案：作为 ISA99 工作组的成员，我们制定了 IEC 62443 网络安全标准。这一系列部件解释了什么是安全的过程控制系统：从组件到网络再到系统，再到系统的交付，再到系统的维护。因此，如果您是一位试图说“我要出价为我的工厂购买新安全系统或新过程控制系统”的客户，您应该首先在他们的投标规范中说明。您的产品应通过此标准的认证。全球有数百名专业人士投入该标准来定义安全对工业自动化控制系统空间的意义。您应该利用在那里完成的所有工作并寻找符合该标准的产品。他们应该寻找符合它的产品和符合它的系统以及符合它的交付组织。这就是他们如何避免必须成为网络安全博士才能了解该领域的方法。相反，他们可以利用为标准倾注心血的博士。

还有美国政府正在通过 NCCIC/ICS-CERT 制作的文件。我们与这些人合作制定标准。 OT 网络安全社区是一个紧密结合的社区。我们彼此认识并定期合作。