ACME特种化学国际有限公司的车间出了严重的问题。
液体从大桶中溢出,电源不断关闭,首席执行官杰夫·哈恩不知道发生了什么。他身后是一台用来控制工厂的电脑。不祥的是,光标在屏幕上移动,好像它有了自己的生命。“我无法控制我的鼠标,”候机楼的女士说。
事实证明,杰夫·哈恩才是罪魁祸首。像许多ceo一样,他会点击电子邮件收件箱中任何有趣的链接。这一次,他点击了竞争对手Barney Advanced Domestic Chemical Co.的黑客发送的链接。
幸运的是,ACME化学不是真的。这是美国国土安全部(DHS)和爱达荷国家实验室(INL)开展的培训演习的一部分。杰夫·哈恩并不是真正的CEO。他是国际实验室的一名训练主管,参加了周五在爱达荷州爱达荷福尔斯的实验室训练设施举行的一场网络训练。
运行工业系统的人,比如ACME Chemical的人,传统上最关心的是一件事:他们希望自己的机器能够不间断地运行,任何东西——甚至重要的安全补丁或操作系统更新——都不能妨碍他们。这些鲜为人知的系统是由西门子(Siemens)、霍尼韦尔(Honeywell)和罗克韦尔自动化(Rockwell Automation)等大公司建造的,但它们一直保持低调。
去年的Stuxnet蠕虫病毒改变了一切,表明这类机器可以被攻击,甚至可以被网络攻击摧毁。
这使得国土安全部资助的INL安全项目成为人们关注的焦点,因为它们构成了政府保护工业系统计划的支柱。“在很多方面,我们是连接设备,从未被连接在这个全球网络之前,当我们这样做,我们有潜在的问题,”格雷格·谢弗说:代理副部长与美国国土安全部国家保护项目指挥部,INL在新闻发布会上对记者说。“他们正在敲开这些系统的大门,在某些情况下已经出现了入侵。”
大约有75人从事INL项目,统称为控制系统安全项目。它们每年的预算仅略高于2500万美元,构成了抵御工业系统攻击的第一道防线。
为了媒体的利益,星期五的演习被推迟了。但是,每个月都会有大约40名工程师和计算机安全专业人士被邀请参加这些为期一天的演习,在演习中,一个名为红队(Red Team)的黑客组织的成员试图闯入由蓝队保卫的一个测试网络。
根据哈恩的说法,好人通常会赢,但并不容易。测试网络布满了漏洞,蓝队成员事先都不知道这些漏洞,而且在红队绘制出网络并扰乱工厂车间之前,通常会匆忙地保护系统。
该控制系统是美国政府试图加强发电厂、化工厂和工厂的计算机安全的主要武器之一。为大型工业机器制造硬件和软件的公司可以来国际实验室对其产品进行严格的安全评估。这对供应商来说是一笔好交易,因为他们的部分测试成本由纳税人支付,这对实验室也有好处,因为它的工程师可以了解到未来可能爆发的安全问题。
尽管INL已经悄悄开展这项工作近10年了——去年它评估了75家供应商的产品——但围绕Stuxnet的宣传让它前所未有地受到了关注。
世界躲过了Stuxnet的一劫。尽管它在全球蔓延,但几乎所有被感染的系统都无法正常运行。这是一场针对伊朗纳坦兹核反应堆铀浓缩离心机的网络狙击。
不过,许多安全专家担心可能出现第二种工业系统蠕虫病毒。Stuxnet病毒感染了数以万计的系统,包括许多包含西门子可编程逻辑控制器的系统。如果它的设计初衷是破坏每一个被感染的西门子系统,那么它不仅会破坏纳坦兹的离心机,还会造成大范围的破坏。
美国国家信息安全审查委员会(National Board of Information Security Examiners)首席执行官、工业安全问题知名专家迈克尔·阿桑特(Michael Assante)表示,既然Stuxnet已经证明这些机器可以被攻击,另一场针对工业系统的网络攻击将不可避免。“这只是时间问题,”他说。
但是,美国国土安全部的ICS-CERT(工业控制系统)团队,在INL成立,以应对这类事故,准备好应对严重的问题了吗?批评人士称,国土安全部对Stuxnet病毒威胁反应迟缓,并对其共享的信息吝啬。
在训练演习中,国土安全部官员为他们对Stuxnet病毒的处理进行了辩护,但ICS-CERT的负责人表示,还有改进的空间。“我认为,我们应该发布多少信息,什么时候发布,以及如何发布,总是会有一个评估,”ICS-CERT主任马蒂·爱德华兹(Marty Edwards)说。“因此,随着我们不断评估这些系统,Stuxnet是我们如何执行的一个非常好的案例研究,我们将继续微调流程,为行业提供他们需要的工具来保护这些系统。”
爱德华兹解释说,国土安全部有意比赛门铁克(Symantec)等供应商发布更少的问题细节。他说:“我们还没有全面公布(震网病毒)的技术细节,因为我仍然相信它们是敏感的。”“你不会看到我们把这些细节发布到一个完全开放、公开的网站上,因为我们不想鼓励幼稚的剧本或模仿者。”
在距离周五训练基地仅几个街区的地方,INL有一个“监视层”工业系统。这是一座保密的大楼,如果下一个Stuxnet病毒出现,电话就会在这里响起,这里也是IT和工业系统专业人员的家。它很小——只有四个分析师周四——但它看上去像安全操作中心,你会看到大公司如思科和赛门铁克:人坐在电脑面前,大屏幕实时显示任何需要处理的情况。当Stuxnet病毒在2010年7月首次出现时,美国的反应就集中在这里。该蠕虫病毒很快被移交给一个特殊的恶意软件分析实验室,该实验室也由爱达荷福尔斯的INL管理,在那里,安全专家和工业工程师对其进行了分析。
爱德华兹的老板Greg Schaffer说,这个团队“对我们必须处理的复杂的新情况做出了适当的反应。”尽管他认为知识产权的流失是美国目前面临的最大网络问题,但精心策划的针对发电厂或核设施的攻击有可能导致世界末日,这使得爱达荷国家实验室正在进行的工作变得重要。
“这是一个正在演变的问题,可能会对我们产生重大影响,”他说。“这个项目的目的是让我们提前解决这些问题。”
罗伯特·麦克米伦报道计算机安全和一般技术突发新闻IDG新闻服务.在Twitter上关注罗伯特@bobmcmillan.罗伯特的电子邮件地址是robert_mcmillan@idg.com