工业控制网络中远程控制工具应用风险研究与应对
前言
远程控制工具通常是指让使用者可以通过网络远程操作目标的程序,实现远程控制功能的程序根据设计目的可分为合法远程控制工具和木马程序,合法远程控制工具可为用户实现随时随地的操作需求提供便利,提高工作效率和突发事件的响应速度,与木马程序(Remote Access Trojan)有明确区别,木马程序的设计目的是允许来自恶意攻击者的非法访问,通常还会隐藏自身活动,属于明确需要打击的信息安全威胁。
合法远程控制工具通常带有数字证书
合法远程控制工具通常不会被安全产品查杀拦截
合法远程控制因其便利性在包括工业领域在内的各行各业有着广泛应用,由于合法远程控制工具本身并非恶意软件,因此大多数杀毒软件、网络防护产品均不会将其视为威胁进行主动告警查杀,这也为工业控制网络引入了更多攻击面(环境中可能被攻击者利用的位置)。近年来攻击者利用合法远程控制工具进行网络攻击的事件呈明显增长态势,因工业控制网络的特殊性,出现非法访问的后果更加严重,在关键信息基础设施面临的威胁与日俱增的背景下,若对合法远程控制工具应用监管不足,可能引入严重的信息安全风险。
01 工业控制网络远程控制工具应用现状
在如“工业4.0”、“工业互联网”等热点概念的带动下,工业领域正在向智能互联的方向发展,通过远程控制对工业控制网络中的设施进行监控和操作的需求大量存在,远程控制工具的应用有扩大的趋势。
工业控制网络的下列特点促进了远程控制工具应用:
1. 设备在现场分布相对分散,运行状态需要监管。
2. 生产设备运行中的诊断调试工作需要外部技术支持。
3. 工业控制网络往往处于大型局域网中,对外互联受限。
2019年开始流行的新冠病毒限制了人员流动,进一步推动了远程控制工具应用,远程控制工具从原理上主要分为客户端-服务端架构和点对点直连架构两种,部分产品兼容两种架构的连接方式:
客户端-服务端架构的远程控制工具通常具备部署在互联网上的服务端和安装在被控设备上的客户端,当客户端启动后主动连接服务端,告知服务端被控客户端已经在线,远程用户通过服务端连接被控客户端,这种连接方式不需要控制端与被控端直接连接,常见于外部用户登录局域网内的系统,例如技术支持人员从远程登陆提供支持服务,比较有代表性的产品有向日葵、toDesk等。
点对点直连架构的远程控制工具需要控制端和被控端之间直接建立网络连接,控制端输入被控端的IP地址、登陆所需的账号密码等认证信息后,通过网络直接连接被控端进行远程操作,由于NAT网关等因素的存在,这种连接方式通常无法从外部直连局域网内部的被控端,常见于局域网内部互联,如运营人员登录本地局域网内的设备进行监控操作,比较有代表性的有微软远程桌面协议RDP、AT&T开发的VNC等。
在安全运营实践中发现,两种架构的远程控制工具在工业控制网络中均有使用。
02 工业控制网络远程控制工具应用风险
随着运营能力的成熟,相应的安全监管是一项必不可少的能力,向互联网及远程用户无序开放远程控制能力已证实存在极大安全风险。美国佛罗里达州Oldsmar水处理厂,工厂员工一直在使用TeamViewer(一款全球流行的远程控制工具),2021年初网络攻击者成功通过TeamViewer登录水处理厂系统,并且通过被远程控制的计算机获得了操作权限,随后大幅增加水处理过程中氢氧化钠的投放量,所幸这一操作被及时发现,没有造成人员受伤。远程控制工具的风险复杂多样,用户名密码泄露造成的未授权登录事件仅是其中一种。选择、部署、使用等过程都可能存在被攻击者利用的弱点,常见安全隐患有以下几点:
1. 不同的远程控制工具在自身安全性、认证方式、合规性上存在差异,在未经许可的情况下部署远程控制工具可能会成为安全管控的盲区。
2. 远程控制工具自身也有可能出现安全漏洞,攻击者可能通过利用漏洞直接取得控制相关资产的能力。
3. 在远程控制工具部署过程中可能存在供应链攻击风险,如运营人员在互联网上随意搜索下载安装,存在直接安全风险。
4. 远程控制相关服务端口暴露在互联网上,极易受到漏洞利用、暴力破解等形式的网络攻击发生意外。
5. 远程控制工具使用的账户密码等认证凭据有泄露风险,攻击者可能利用暴力破解、键盘记录、社会工程学手段等方式进行攻击,造成凭据意外泄露。
6. 远程控制工具的使用需要有效监控,相同的远程控制登录动作在不同时间发生性质也可能完全不同,如维护工作时间使用和深夜凌晨登录,同时也需要关注登陆后的操作是否存在安全风险。
当前合法远程控制工具数以百计,其中大多对于安全产品都处于白名单状态,通常不会主动拦截告警,这一特性正被许多网络攻击者利用,例如利用社会工程学欺骗受害者安装远程控制工具从而获得远程访问能力,甚至直接将远程控制工具打包在恶意软件中,利用合法远控的身份绕过安全产品的检测。对此类威胁既要有技术手段监控防御,也要加强对一线运营人员的培训引导,确保有效控制风险。
03 应对远程控制工具风险的建议
根据当前安全运营实践经验,为应对相关风险有下列安全建议:
1. 建议对工业控制网络中所有远程控制工具识别标记,形成基本监管数据。
2. 建议运营者明确远程控制工具使用种类、范围和限制条件。
3. 建议通过数字证书等方法,确保远程控制工具的来源可信,同时采用只读储存介质部署避免程序被感染或篡改。
4. 建议使用双因素身份验证和可靠的密码进行登录验证。
5. 建议对远程控制工具的使用活动进行记录和监管。
6. 建议及时对工业控制网络中的资产进行安全更新。
7. 建议对参与工业控制网络运营的人员进行相关安全培训。
8. 不建议在不安全的网络中使用远程控制工具。
9. 不建议在具有直接操作权限的资产上使用远程控制工具。
10. 不建议在敏感资产上使用客户端-服务端架构的第三方远程控制工具。
11. 不建议将远程控制工具相关服务直接暴露在互联网上。
12. 不建议在特殊时期使用远程控制工具。
工业控制网络本身具有一定复杂性,人工完成清查管理工作量大,效率较低,对于大型企业资产数量庞大、分布分散,因此安全产品的支持能力非常关键。
在长扬科技的安全产品中,除了对于网络攻击等恶意行为的检测与防护外,对于工业控制网络中资产的识别始终是一项重要能力,主机探针与流量传感器协同工作,不断对资产信息进行识别完善,其中就包括对于远程控制工具的识别和活动监控。
长扬科技态势感知平台可根据网络流量活动、文件指纹等信息,自动化发现网络中部署了远程控制工具的资产,为客户排查安全风险、建立相关监管政策提供有力支持。这一能力已经为客户实现了多次真实风险的及时识别防护。
2022年2月国家信息安全漏洞共享平台披露国内某流行远程控制工具,长扬科技安全团队借助资产识别能力,在极短时间内便完成排查内网风险资产,并对相关漏洞利用行为进行持续监控。
对于工业控制网络中远程控制工具的应用,运营者需要及时跟进监管,根据自身实际情况和业务需求制定合理的管控策略,在监管下的使用或者禁用都是合理的选项之一,但无序的使用对整个工业控制网络的稳定运行将是一大隐患,当前,关键信息基础设施领域面临的威胁多种多样,甚至已经非传统印象中的非黑即白,长扬科技安全团队将持续为各位伙伴提供有力支持,共同应对挑战。
