从我们信息安全工作者的角度了解,黑客工具集成化程度越来越高,也为黑客攻击难度不断降低提供了可能。如今,针对工业控制系统(ICS)的攻击明显呈上升趋势,得益于黑客工具的集成化降低了攻击难度,也得益于公用的黑客工具集越来越普及,自然也为企业的信息资产带来了更多的风险。乌克兰两次停电事件以及伊朗的“震网”蠕虫病毒,无不是针对工业控制信息系统的“杰作”。我们虽然谈论的是攻击工业信息系统的难度,其实渗透测试工具的不断发展,当然也降低了常规信息系统的攻击难度,我们之所以在此强调工控系统,原因是在过去工控系统是天然封闭的,有其特殊性。黑客攻击相对常规系统,确实需要更多的专业技能,才能展开。由此,部分安全厂商此前真的是不断警告企业,黑客对OT系统的认知不是太高,真正攻击工业系统通常需要黑客具备较高专业技能,但随着安全研究人员不断发布的各类公开可用渗透测试工具和漏洞利用模块,使得越来越多的脚本小子也可以染指工业信息系统的攻击。
据国外某安全企业对有关攻击工具进行的一个统计显示,其中网络发现工具占比28%和软件开发工具24%,还有针对特定供应商如西门子等大的工控软件企业的产品,这些渗透测试工具集(攻击工具)拥有自动化模块,为攻击工业控制系统的攻击者提供了吸引力。开发渗透测试工具集是为了自动执行针对特定漏洞的渗透测试攻击,将其添加到诸如Metasploit(这个工具是渗透测试师的香饽饽,若想要了解更多可以参阅电子工业出版社出版的的《Metasploit 渗透测试指南》)和Core Impact(这款工具价格不菲,供土豪使用)的合法漏洞利用框架中,或添加到Autosploit(据说是一款高效与争议并存的渗透工具)工业利用框架(ICSSPLOIT)和工业安全利用框架等ICS特定的框架中。专业的渗透测试人员很乐意使用的免费的Metasploit框架,工具本身没有善恶,专业渗透测试人员可以帮助企业,然而攻击者也可以利用这些工具,进行一些不为人知的非法勾当。在以往以至于现在,安全企业常常告诫企业组织,应确保了解黑客滥用渗透测试工具集框架对工业控制系统平台构成的威胁,以及威胁的程度。对企业信息系统做充分的风险评估,组织需要利用经验丰富的渗透测试团队的丰富经验,以期先于破坏者找出安全薄弱点,及时进行安全整改加固。
在我国信息化发展过程中,网络安全等级保护的开展,极大的促进了我国整体的安全意识提升,极大的提升了我国网络空间安全防护能力,安全的网络空间环境为我国的各行各业的有序健康发展提供了坚实保障。最后,我们在整理有关知识和安全动态的过程中,本着加强我们的信息系统安全为出发点,我们在传递知识的过程中,以期望我们的IT资产所有者、运营者(从业者)能够不断的提升安全意识,在此我们不提倡、不鼓励任何人学习技术从事非法勾当,我们期望能够让更多的人对信息安全技术感兴趣,进而为我国的网络安全作出贡献,以最真诚的善意服务社会。
外媒报道称英国印刷公司暴露军事文件
安全研究人员在Pwn2Own 2020上破解Windows、Ubuntu、macOS等系统
安全研究人员在Pwn2Own 2020上针对Oracle 、Adobe 、Windows产品进行攻击验证
美国国家标准与技术研究院(NIST)发布SP 800-53新修订版,关注安全和隐私控制
本站仅提供存储服务,所有内容均由用户发布,如发现有害或侵权内容,请
点击举报。
