能源與水資源是我們生活當中最重要的兩大關鍵基礎架構 (Critical Infrastructure,簡稱 CI)。近年來,這兩大產業皆經歷了一些必要的變革以因應科技的最新發展,同時也改善天然資源開採及輸送的方式。目前,這些變革正朝著連網系統的方向發展 ,尤其開始整合了工業物聯網 Industrial Internet of Things (IIoT) 技術。能源與水資源產業的持續發展,已讓個人和企業獲得更有效率、也更穩定的資源供應。然而,卻也因為如此,想要妥善保護這些關鍵基礎架構背後的系統,也變得更加困難。隨著 CI系統的漏洞不斷增加,尤其是監控與資料擷取 (SCADA) 系統人機介面 (HMI) 的漏洞,我們有必要好好檢視一下這些關鍵產業所面臨的風險。
我們經由公開來源的情報 (OSINT) 即可一窺能源與水資源產業所面臨的一些問題。藉由網際網路搜尋引擎 (主要為 Shodan) 與實體定位技術,趨勢科技找出了許許多多暴露在外且容易遭到攻擊 HMI 系統,這些全都屬於中小企業所有。這顯示了網路資安對整體供應鏈的每一階層以及每一基礎架構產業有多麼重要。
完整的調查結果與相關影像,請參考趨勢科技的完整報告:「暴露在外而可能遭受攻擊的基礎架構:能源與水資源產業」。本文將列舉幾個我們在全球各地一些能源與水資源相關產業發現暴露在外的 HMI 系統,以及這些案例將對基礎架構供應鏈帶來什麼影響。
暴露在外而可能遭受攻擊的 HMI 系統
在水資源產業,我們在全球各地都發現一些暴露在外的 HMI系統。這些系統包括各種水資源系統的監控介面, 例如:水加熱、地熱、抽水、水過濾、海水逆滲透及消毒等等。
圖 1:暴露在外的水處理廠系統操控/設定人機介面 (HMI)。
在能源方面,同樣也有許多產業的系統暴露在外,包括:石油天然氣、生質氣體及電力。除了某個中東地區的鑽油井之外,石油天然氣產業 HMI 暴露在外的案例都在美國境內。經由這些 HMI,我們能夠看到一些資訊,例如即時的產量,甚至一些重要的操控選項,例如系統關機和重設。
我們發現 HMI 暴露在外的生質氣體設施大多位於生質能源發達的國家 (這一點不難理解),例如:德國、法國、義大利和希臘。這些暴露在外的 HMI 都是一些上層選單,底下還有一些幫浦控制、瓦斯氣體混合槽、氣體循環、參數調整等等的子選單。
圖 2:暴露在外的廠房設施人機介面 (HMI),畫面可看到一些上層選單與可用的子選單。
在電力方面,我們在德國、西班牙、瑞典、捷克、義大利、法國、奧地利以及南韓等等皆發現到一些暴露在外的電力系統。這些系統包括太陽能、風力及水力發電廠。如同其他暴露在外的 HMI 一樣,我們也發現了好幾個監控介面、操控介面,甚至發現到一個使用者資料庫。
這項發現意味著,駭客也可監控並利用這些系統的資訊。此外,絕大部分暴露在外的人機介面都包含了一些相當關鍵的操控選項,例如溫度控制以及系統關機。這表示,歹徒只要能夠存取這些介面,便能直接操作這些系統和裝置。根據以下幾點觀察,這些系統遭受攻擊的可能性相當高:(1) 這些介面當中只有少數會要求使用者驗證、(2) 這些介面看起來似乎都屬於上線運作的系統 (根據 Shodan 提供的螢幕擷取畫面)、(3) 地下網路論壇上不時會出現有關攻擊關鍵基礎架構工業控制系統 (ICS) 的討論。所以結論是,前述提到的所有人機介面不僅暴露在外,而且很可能遭受攻擊。
對真實世界及供應鏈的影響
從更大的角度來看,由於能源與水資源重要性非比尋常,因此上述暴露在外的系統一旦遭到攻擊,其影響將相當深遠。一旦某個設施遭到攻擊,其相關供應鏈下游的設施也可能受到影響,或者促使駭客轉而攻擊其他更大的目標。以下詳述三種可能情況:
- 相關產業當中出現供給或服務中斷的情況。例如,當水處理廠或發電廠設施的人機介面上層選單被駭客操縱,就會直接影響其服務地區的水電供給。由於一些較小的企業很可能專門提供原料給大型企業,因此一旦受到攻擊很可能就會影響其供給,連帶導致大型企業的生產受到影響。
- 造成其他 CI 產業營運中斷。由於不同 CI 產業之間可能彼此互相依賴,因此當其中一個系統遭到入侵時,可能會引發骨牌效應,造成其他產業也受到波及。例如,當水淨化廠的系統遭到駭入,很可能連帶影響下游的食品業與醫療業。同樣地,石油與天然氣供給若頓時出現問題,也可能直接衝擊交通運輸產業。
圖 3:供應鏈遭到攻擊可能發生的骨牌效應。
資料來源:「關鍵基礎架構:認識其組成元件、漏洞、營運風險以及依存關係」(Critical Infrastructure: Understanding Its Component Parts, Vulnerabilities, Operating Risks and Interdependencies),第二章,第 100 頁。
- 中小企業成為歹徒準備攻擊大型企業的測試平台。儘管大型企業不太可能有裝置暴露在網際網路上的情況發生,因為他們的網路資安意識較高,但由於小型企業的作業方式及設備與大型企業相似,因此小型企業便成了歹徒用來準備攻擊大型企業的測試平台。
發現這些暴露在外的 HMI 純粹只是我們為了研究而從旁觀察的結果。然而,網路犯罪集團的目的可不會這麼單純,所以造成實際的損失是很可能發生的事。因此對這兩大產業的企業來說,很重要的一點就是在這些威脅還在理論探討階段就預先加以防範。然而中小企業存在著一些暴露在外而容易遭到攻擊的 HMI,也提醒了我們一件事,那就是供應鏈上的所有環節對整體供應鏈的網路資安都非常重要。而大型企業則應注意其配合的供應商是否具備相同等級的安全性,唯有將資安意識延伸至企業外部才能真正確保安全。
如需進一步了解這項議題,請參閱我們的研究報告:「暴露在外而可能遭受攻擊的基礎架構:能源與水資源產業 (Exposed and Vulnerable Critical Infrastructure: Water and Energy Industries)」一文,文中詳細揭露了能源與水資源相關產業當中一些暴露在外的 HMI 系統,以及關鍵基礎架構在網路地下論壇上的討論情況。此外,我們也提供了一些改善工業控制系統 (ICS) 與供應鏈安全的一些資安策略。
原文出處:Disrupting the Flow: Exposed and Vulnerable Water and Energy Infrastructures 作者:Stephen Hilt、Numaan Huq、Vladimir Kropotov、Robert McArdle、Cedric Pernet 與 Roel Reyes