近日，美國知名網(wǎng)絡安全公司FireEye(火眼)發(fā)布了一份調(diào)查報告。報告中指出：在過去15年的時間里，全球范圍內(nèi)共發(fā)現(xiàn)了1500余個工業(yè)控制系統(tǒng)(ICS)漏洞;而現(xiàn)在，仍有一些漏洞未得到修復。

　　近年來，全球各國政府已經(jīng)將維護國家工業(yè)系統(tǒng)網(wǎng)絡安全放在了首要地位，因為工業(yè)系統(tǒng)的網(wǎng)絡安全是整個國家網(wǎng)絡安全的基石，具有十分重要的戰(zhàn)略地位。同時，近期歐盟通過的NIS(Network Information Service)條例，以及在波蘭召開的北約峰會(Warsaw NATO summit)都再一次強調(diào)了維護工業(yè)系統(tǒng)網(wǎng)絡安全的重要性，進一步提高安全級別，防止工業(yè)系統(tǒng)遭到黑客攻擊。

　　FireEye近期發(fā)布了一份名為《Overload：Critical Lessons From 15 Years of ICS Vulnerabilities》(總結(jié)過去15年中，ICS漏洞帶來的經(jīng)驗教訓)的調(diào)查報告。從2000年至今，F(xiàn)ireEye公司對123家工業(yè)設備制造商出產(chǎn)的工業(yè)設備進行了跟蹤調(diào)查，從中發(fā)現(xiàn)了總計1552個能夠影響工控設備正常使用的安全漏洞。而2010年，是全球安全專家曝出ICS安全漏洞數(shù)量最多的一年。這其中最引人注目無疑就是網(wǎng)絡攻擊武器—Stuxnet震網(wǎng)病毒了(該病毒又名Stuxnet蠕蟲病毒，或超級病毒工廠)。

　　FireEye公司在報告中指出：2010年，全球范圍內(nèi)總計發(fā)現(xiàn)了149個ICS漏洞;2011年，這一數(shù)量呈現(xiàn)了爆發(fā)式的增長，增幅達到300%。在2012-2014年間，增幅有所放緩，平均每年為5%。而2015年則被相關安全專家稱做“ICS史上災難性的一年”。在這一年中，僅僅兩家工業(yè)設備制造商就曝出了92個ICS漏洞。這一情況也引起了全球網(wǎng)絡安全領域內(nèi)專家和學者的高度關注。

　　報告中提到：“自從2010年發(fā)現(xiàn)了Stuxnet震網(wǎng)病毒之后，ICS系統(tǒng)網(wǎng)絡安全問題就引起了相關安全專家的關注�！痹�2000年2月到2010年12月的10年時間里，F(xiàn)ireEye公司總計發(fā)現(xiàn)了149個ICS漏洞。而從2011年到2016年4月，ICS漏洞的數(shù)量進一步增長，達到1552個。我們預言：這一增長趨勢將會延續(xù)下去。”

　　那么，ICS網(wǎng)絡安全的未來將會怎樣?

　　來自FireEye公司的安全專家表示，在接下來的幾年時間里，ICS漏洞數(shù)量的增長趨勢將不會改變。他們預計，漏洞的數(shù)量將以平均每年5%的幅度繼續(xù)增長，而在這期間，也會出現(xiàn)偶然的爆發(fā)或衰落。

　　回顧2013年2月至2016年4月期間出現(xiàn)的801個ICS漏洞，我們不難發(fā)現(xiàn)，在受到漏洞影響的設備中，有50%的設備采用了ICS Purdue工業(yè)設備設計模型。這種工控系統(tǒng)能夠允許操作人員監(jiān)督、控制設備的工作過程。一旦黑客對此類采用2級控制系統(tǒng)的設備發(fā)起攻擊，后果不堪設想。原因正是在于，在實施攻擊過程中，黑客可以控制設備的操作流程，隨意更改設備的初始設置參數(shù)，進而可能會產(chǎn)生一些無法預想的嚴重后果。

　　“在對這801個漏洞做了進一步的研究之后，F(xiàn)ireEye公司的安全人員發(fā)現(xiàn)：這其中大多數(shù)(58%)的設備都采用的是ICS Purdue 2級工控架構(gòu)模型。這種模型的主要功能是建立設備與工控中心計算機之間的接口�！蔽覀兺茢啵�這是因為相較于1級模型軟件來說，2級模型軟件更便于監(jiān)測，同時，研究人員也更為熟悉2級模型軟件。然而，這種2級模型軟件也是一把雙刃劍，攻擊者也可以很輕易地就拿到訪問權限，進而能夠控制設備的操作過程。

　　這其中有多少個零日漏洞(Zero-Day Vulnerabilities)呢?

　　據(jù)FireEye公司的調(diào)查報告顯示，在1552個漏洞中，有33%的漏洞屬于零日漏洞。不幸的是，僅僅在2016年的一年時間里，全球就曝出了400個零日漏洞，而其中的100余個漏洞至今仍未得到修復。

　　“對相關漏洞進行修復，這對很多網(wǎng)絡安全公司來說，無疑是一個巨大的挑戰(zhàn)。黑客的攻擊技術正日趨成熟，因而增加了修復的技術難度�！痹谖覀儗�這1552個ICS漏洞進行研究之后發(fā)現(xiàn)，有516個漏洞(占比為33%)至今仍未得到修復。由于缺乏制造商的補救措施以及未能及時地推出軟件安全補丁，使得大多數(shù)的ICS設備軟件仍舊處在危險之中，這同時也給黑客留下了大量的攻擊機會�！�