委内瑞拉遭遇全球最大规模停电,是管理不善还是网络攻击?

委内瑞拉,一个在近些年频频登上各大国际媒体的国家,经济崩溃,通胀严重,百万人民背井离乡……自3月7日起,委内瑞拉发生了持续了6天的大规模停电事故,刷新了迄今为止全球最大规模的停电记录。停电的原因是支撑着委内瑞拉国内约超过一半电力的古里水电站突然出现运行问题。

一、是管理不善还是网络攻击

针对本次大规模停电事故存在两种不同观点:

观点一:以“临时总统”胡安·瓜伊多为代表的观点,认为本次事故是“委政府多年来对电力系统的管理不善”,古里水电站送出线路廊道发生火灾引起送出三回765千伏线路(San Geronimo B ~Malena段)跳闸,国家中心变电站失压所致。

观点二:以委内瑞拉官方为代表的观点,认为本次事故是美国精心策划的“电磁和网络攻击”的结果,是古里水电站受到反对派和美国网络攻击所致,并表示“我们成为了一场“电力战争(a power war)”的目标。

观点一:管理不善

委内瑞拉目前的电力供应逾六成来自水力发电,其中绝大部分都由古里水电站提供。古里水电站1986年底竣工,经过30多年的运行,大坝上的基础设施和发电输电设备出现老化在所难免,出现短时间停电的事件时有发生。

我国前几年发生过变电站火灾事故均在短时间内恢复供电。可此次大规模停电时间发生后委内瑞拉当局恢复了该国“许多地区”的电力供应后,该国的电网再次遭受打击,许多恢复的系统再次瘫痪。在当前的国际形势下的大范围、长时间停电事件可见一斑。

观点二:网络攻击

停电事件发生后,针对网络攻击的指责就不绝于耳。虽然是否为网络攻击目前还未盖棺定论,但从各种迹象都无法排除其可能性。

3月9日,委内瑞拉总统公开指责“国家的敌人”使用高技术武器攻击能源供应系统。

3月11日,委内瑞拉总统宣布拘留两名涉嫌企图破坏国家电力系统的嫌疑人。

3月12日,委内瑞拉总统表示任命了调查网络攻击的特别委员会,并请求国际专家的合作。

目前委内瑞拉没有公开美国及反对派的破坏手法详情,从公开指责、拘捕嫌疑人到成立调查网络攻击特别委员会矛头指向了网络攻击,我们可以从工控风险评估中风险场景构建的模型要素(威胁源、威胁向量、脆弱性)进行分析。

1、威胁源——反对派直接“注入”攻击代码

“考虑到美国政府对委内瑞拉局势的长期关注,美国势力已很可能渗透进了委内瑞拉关键的基础设施网络中。委内瑞拉陈旧的网络和电力设施对这种干扰操作毫无抵抗之力。”美国华盛顿大学网络安全研究中心专家卡利乌·李塔鲁毫不讳言地说,而现代电磁战技术的进步,可以使得攻击痕迹得以遁形无踪。从宣布拘留两名涉嫌企图破坏国家电力系统的嫌疑人来看,完全可能是反对派直接“注入”攻击代码。

2、威胁向量——多种途径,网络屏障被戳成筛子

公开支持委内瑞拉政权更迭的美国参议员马可卢比奥开玩笑说,马杜罗“一定是按错了我从苹果(公司)下载的‘电子攻击’应用程序上的按钮”。这似乎是一种暗示,却指明了电力瘫痪实现的途径。

第一、预先植入恶意代码。在设备采购的供应链环节植入病毒,适时诱导病毒发作,致使工控系统严重受损。

第二、通过无线入口进行渗透。电子战飞机已经具备无线注入能力,攻开WiFi密码然后以此为入口,进行目标渗透。

第三、利用互联网通道直接攻击。目前电网和互联网有着千丝万缕的链接,完全可以通过最常规、典型的网络攻击步骤,攻击进入委内瑞拉电力系统。

3、脆弱性——工业系统网络安全漏洞

30多年过去了,大坝上的基础设施和发电输电设备电力设施网络防护能力较弱也是现实问题。针对工业系统的网络安全,归纳出几种可能导致安全事故的漏洞:

(1)病毒与恶意代码

电脑病毒,是目前网络世界中最广泛,也是最常见的安全隐患之一。相比于电脑病毒,各种新型的恶意代码更是层出不穷,如逻辑炸弹、特洛伊木马、蠕虫等,它们往往具有比病毒更强的传播能力和破坏性。

(2) 工控系统漏洞

截止2018年5月,根据我国国家信息安全漏洞共享平台(CNVD)统计,信息安全漏洞总数为6730个,其中工业控制系统漏洞总数为190 个。在CNVD工业控制系统子漏洞库中,新增的高危漏洞有95个,占该子漏洞库新增数量的50%,漏洞涉及20多个工业相关产品,包括西门子、施耐德、研华科技等工控系统产品。

(3)网络通信协议安全漏洞

TCP/IP协议簇最初的设计是互相信任的,并未考虑来自网络中和网际间的大量安全问题。随着TCP/IP协议被控制网络普遍采用,网络通信协议漏洞问题变得越来越突出。

(4)安全策略和管理流程漏洞

追求可用性而牺牲安全,是很多工业控制系统存在的普遍现象,缺乏完整有效的安全策略与管理流程,也给工业控制系统信息安全带来了一定威胁。

“电力战”从伊朗到乌克兰

我们翻翻历史就能知道,这不是人类史上第一个实施 “电力战”,这种打击形式已经玩出了不同花样。

(1)U盘传播的震网病毒,破坏了伊朗的核计划。震网病毒是一种首次发现于2010年的恶性蠕虫电脑病毒,攻击的目标是伊朗的核工厂使用的PLC。震网病毒的感染途经是通过U盘传播,然后修改PLC控制软件代码,使PLC向用于分离浓缩铀的离心机发出错误的命令,摧毁了伊朗浓缩铀工厂五分之一的离心机。

(2)乌克兰电网遭黑客攻击事件。2015年12月23日下午,乌克兰首都基辅部分地区和乌克兰西部的140万名居民突然发现家中停电。据网络间谍情报负责人表示,本次攻击来自俄罗斯黑客组织Black Energy(黑暗力量),该组织开发并广泛使用在BOTNET,主要用于建立僵尸网络,对定向目标实施DDoS攻击。经过数年的发展,Black Energy逐渐加入了Rootkit技术,插件支持,远程代码执行, 数据采集等功能,已能够根据攻击目的和对象,由黑客来选择特制插件进行APT攻击。

绿盟科技安全专家表示:电力系统作为现代社会和经济运行的神经中枢、动力之源,保障电力系统的基本安全,就是保证国家正常运转的基本安全。工控安全包括物理安全、功能安全、信息安全三个方面。物理安全方面,近几年来委内瑞拉陷入内忧外困的局面,反对派的破坏行动持续的存在。功能安全方面,经过30多年的运行,大坝上的基础设施和发电输电设备出现老化在所难免。信息安全方面,电力设施国产化程度较低,网络防护能力较弱。在这种情况下,基于电力系统的业务特征,前期敌对势力长期潜伏对物理安全、功能安全造成缺陷,为后期网络攻击营造条件,采用三者结合的方式往往能达成更大的攻击效果。

二、居安思危才是上上策

委内瑞拉为此次停电事故付出了惨痛的代价。网络攻击已经成为现代战争的一个重要作战手段。我们应该居安思危,从这些正在发生的事件中引以为鉴。在调查结果尚未公布之时,我们不妨从建立安全防护体系的角度思考问题。

1、防护思路

信息安全体系设计总体思路:针对企业防护对象框架,通过企业组织体系、管理体系、技术体系的建设,逐步建立企业风险识别能力、安全防御能力、安全检测能力、安全响应能力与安全恢复能力,最终实现风险可见化,防御主动化,运行自动化的安全目标,保障企业业务的安全。

2、IPDRR防护模型

绿盟科技作为信息安全领域的安全服务商,在企业安全能力框架设计上参考了NIST Cybersecurity Framework的核心内容,简称为IPDRR模型。

IPDRR能力框架模型包括风险识别(Identify)、安全防御(Protect)、安全检测(Detect)、安全响应(Response)和安全恢复(Recovery)五大能力。IPDRR框架实现了”事前、事中、事后”的全过程覆盖,从原来以防护能力为核心的模型,转向以检测能力为核心的模型,支撑识别、预防、发现、响应等,变被动为主动,直至自适应(Adaptive)的安全能力。

3、绿盟工控系统安全服务

绿盟科技始终致力于提供基于自身核心竞争力的企业级网络安全解决方案,为提升工业企业网络安全整体防护能力助力。基于IPDRR安全防护模型,绿盟科技从管理人员、生产人员和IT人员的不同视角,将工业控制系统信息安全服务产品化(包括:工控全面梳理服务、工控渗透测试服务、工控安全评估服务、工控安全检查服务、工控风险评估服务、工控总体安全规划、工控详细方案设计、工控安全管理咨询、工控安全运维服务、工控安全应急服务、工控安全培训服务等),为工业企业提供全方位的服务。

 

中国是全球最大的发电国、更是全球最大的基础设施国,保障电力系统的基本安全,就是保证国家正常运转的基本安全。

目前一些工业企业的安全意识在逐渐提升,安全在其整个业务的价值链中一定要体现出自身存在的价值,国家层面也在驱动这种需求,推进现代化网络强国建设。

事件背景

2019年1月23日委内瑞拉反对党成员、议会主席胡安·瓜伊多自立为“临时总统”,美国第一个宣布承认其身份,随即马杜罗在总统府附近举行的群众集会上表示,由于美国不断策动委国内政变,委内瑞拉政府决定彻底中断与美国的外交和政治关系。

3月7日下午5点,委内瑞拉发生大规模停电事故,包括委内瑞拉首都加拉斯加在内的23个州中约有22个州都出现了电力供应中断。

3月8日,停电进入第二天,委内瑞拉政府发布全国停工、停课的通知,加拉加斯部分地区陆续恢复供电。

3月9日,停电进入第三天,加拉加斯和全国大部分地区再次停电,电力和通信网络仍未完全恢复。

3月11日,停电进入第五天,委内瑞拉总统马杜罗宣布,全国将继续延长停课和停止商业活动24小时。

3月13日,委内瑞拉政府宣布,鉴于委全国范围内的供水、供电已基本恢复,将从14日起复工、15日起复课。

至此,委内瑞拉大规模停电已经持续了6天,刷新了迄今为止全球最大规模的停电记录。停电的原因是支撑着委内瑞拉国内约超过一半电力的古里水电站突然出现运行问题,停电导致的缺电、缺水以及持续40摄氏度的高温几乎把委内瑞拉带到崩溃的边缘。大规模停电给委内瑞拉带来了重大损失,全国交通瘫痪、网络通讯中断、供水系统瘫痪、医院手术中断、加油站无法加油、机场停运,政府已经暂停了学校及商业活动。

 

Spread the word. Share this post!

Meet The Author

Leave Comment