陶耀東,賈新桐,吳云坤

1(中國科學院大學,北京 100049)

2(中國科學院 沈陽計算技術研究所有限公司,沈陽 110168)

3(360企業(yè)安全集團 工業(yè)控制系統(tǒng)安全國家地方聯(lián)合工程實驗室,北京 100015)

E-mail:jiaxintong16@mails.ucas.ac.cn

1 引 言

在信息技術(Information Technology,IT)與操作技術(Operational Technology,OT)趨于一體化的背景下,工業(yè)控制系統(tǒng)(Industry Control System,ICS)中越來越多地采用IT環(huán)境下的設備與技術[1].工業(yè)控制系統(tǒng)長久以來更多地關注于生產功能,但工控安全問題往往因為系統(tǒng)的相對封閉特性而被忽視,甚至部分組件在設計之初就沒有考慮安全問題[2].因此,日漸開放的工業(yè)控制系統(tǒng)暴露出的脆弱性很容易被攻擊者利用.而工業(yè)控制系統(tǒng)涉及電力、石油化工、制造業(yè)、交通運輸?shù)汝P鍵行業(yè),一旦出現(xiàn)安全問題會造成巨大的損害.2010年,伊朗核設施受到“震網”病毒攻擊,伊朗鈾濃縮進程被迫推遲.2015年12月,烏克蘭電網遭到黑客攻擊,導致約140萬人的用電受到影響.眾多工控安全事件表明:傳統(tǒng)的ICS安全被動防御措施難以有效應對日益復雜的網絡安全威脅,必須加強在漏洞、威脅情報、態(tài)勢感知等方面的安全能力,加快發(fā)展積極防御手段來保障工業(yè)控制系統(tǒng)安全[3-8].

工業(yè)控制系統(tǒng)漏洞是攻擊者對ICS安全進行破壞的重要切入點.本文統(tǒng)計分析了2010年以來公共漏洞和暴露(Common Vulnerabilities and Exposures,CVE)、中國國家信息安全漏洞共享平臺(China National Vulnerability Database,CNVD)、中國國家信息安全漏洞庫(China National Vulnerability Database of Information Security,CNNVD)、美國國家漏洞庫(National Vulnerability Database,NVD)四大公開漏洞平臺發(fā)布的工控漏洞.自2010年“震網”事件發(fā)生以來,每年被披露的工控漏洞數(shù)量總體呈增長態(tài)勢.2018年公開工控漏洞數(shù)量(截止至11月1日)為627條,而2010年全年公開工控漏洞數(shù)量僅為77條.

安全人員需要對漏洞進行全面、準確的風險評估,用以指導工控安全防護決策,提升工控安全防護能力.然而目前工控安全領域對漏洞風險的量化評估方法,使用的主要是以通用漏洞評分系統(tǒng)(Common Vulnerability Scoring System,CVSS)為代表的IT、OT通用的方法,并沒有充分考慮ICS安全的特殊性[9-12].本文針對ICS安全的特點,提出一種基于 CVSSv3.0的工控漏洞評分系統(tǒng)(Industrial Vulnerability Scoring System,IVSS).IVSS定義了工控漏洞風險評估過程的基礎指標、生命周期指標、環(huán)境指標,將可見性、可控性、漏洞利用目標服役情況等體現(xiàn)工控安全特性的指標納入量化評估范圍.該方法使用改進的工控漏洞風險評估算法,既可以生成工控漏洞的基礎評分、生命周期評分,也可以用于安全人員結合實際工控安全場景的具體需求以生成環(huán)境評分.本文通過實例分析,展現(xiàn)了使用IVSS計算基礎評分的過程,并對2016年至2018年間的1171條公開工控漏洞的IVSS評分與CVSS評分進行了統(tǒng)計分析,分析結果表明:本文提出的工控漏洞風險評估方法,可以有效地對工控漏洞進行量化評估.本文將IVSS應用到某工業(yè)現(xiàn)場檢查工具中,并對某煙草企業(yè)的工業(yè)安全現(xiàn)狀進行了檢查.檢查結果表明:該方法顯著提高了漏洞評分在工控安全防護中的可用性.

2 相關工作

工業(yè)控制系統(tǒng)漏洞是工業(yè)控制系統(tǒng)整體安全脆弱性的關鍵點[13].已有的相關研究大多關注于系統(tǒng)級的量化風險評估,并將工控系統(tǒng)中的漏洞風險評估納入整體評估范圍[14-17].王作廣等人提出了一種結合攻擊樹與CVSS的工控系統(tǒng)風險量化評估方法[18],建立系統(tǒng)攻擊樹與攻擊者模型,利用CVSS對攻擊樹的葉子節(jié)點進行量化評估,計算得出攻擊序列與目標節(jié)點的風險概率與風險值,可以找到系統(tǒng)最大風險環(huán)節(jié)和最需要防護的組件,但該方法沒有充分考慮工控漏洞的安全特性;黃家輝等人從工控系統(tǒng)中存在的漏洞利用難度和漏洞危害性兩個維度出發(fā),綜合考慮了防御強度、攻擊強度、物理損失、信息損失等方面,提出了一系列脆弱性量化指標,并結合攻擊圖對可能存在的攻擊路徑進行脆弱性分析[19],但該方法側重于系統(tǒng)的實際特性而忽視了漏洞的固有屬性,導致工控漏洞的風險評估結果不具備良好的可移植性;HyunChul Joh等人提出了一種考慮漏洞生命周期的一般隨機風險評估方法[20],將漏洞生命周期納入量化評估范圍,增強了漏洞風險評估結果的時效性,但是沒有考慮工控安全場景下系統(tǒng)、設備、軟件的服役期.

3 評估方法

本文提出的工控漏洞風險評估方法IVSS,可以得到三類評分,分別是基礎評分、生命周期評分、環(huán)境評分.工控漏洞基礎評分反映了工控漏洞的固有屬性,這些屬性貫穿于漏洞整個生命周期并存在于信息系統(tǒng).工控漏洞生命周期評分反映了漏洞屬性隨時間變化的特性.工控漏洞環(huán)境評分反映了與工控環(huán)境深度關聯(lián)的漏洞屬性,漏洞風險評估者可以根據(jù)實際環(huán)境具體地評估該工控漏洞的潛在影響.

3.1 基礎評分

為得到IVSS基礎評分,將工控漏洞風險評估基礎指標作為考量因素,對工控漏洞各方面基礎屬性進行全面、深入地分析.工控漏洞風險評估基礎指標包括漏洞利用指標(攻擊向量、攻擊復雜度、特權需求、用戶交互)、漏洞影響范圍、漏洞影響指標(機密性、完整性、可用性、可見性、可控性).

漏洞利用指標反映了目標的脆弱性.每一個漏洞利用指標的評分都應該根據(jù)其脆弱性和導致成功的攻擊所需的漏洞利用條件而得出.其中,攻擊向量指標反映了漏洞利用的途徑.攻擊者利用漏洞時距離漏洞所在主體距離越遠,則這個指標的得分越高.當攻擊者可以遠程利用該漏洞,證明實現(xiàn)攻擊越容易,該項指標的得分應越高.攻擊復雜度指標體現(xiàn)了攻擊者要實現(xiàn)攻擊是否受到其他外在條件的限制.若要擺脫限制,攻擊者需要付出額外的努力來進行相關調查.若攻擊復雜度越低,該指標得分越高.特權需求指標反映了攻擊者要實現(xiàn)攻擊所需的特權.若所需的特權越少,則該指標得分越高.用戶交互指標反映了攻擊者進行漏洞利用是否依賴用戶的相關行為.若對用戶交互的依賴性越弱,則該指標得分越高.范圍指標反映了漏洞被利用時的影響范圍是否僅局限于存在脆弱性的主體.范圍指標本身沒有得分.它的指標值會影響其他指標的量化分值.例如,若漏洞影響范圍發(fā)生改變,則特權需求指標的得分會相應增加.

漏洞影響指標反映了成功的漏洞利用會對被評估系統(tǒng)或資產產生的安全性影響.其中,機密性指標反映了漏洞利用對目標資產的機密性影響.機密性是指受保護資產信息不被泄露給未授權的用戶、實體或過程.若機密性損失越大,則該項指標得分越高.完整性指標反映了漏洞利用對目標資產的完整性影響.完整性是指受保護資產信息不被未授權的用戶、實體或進程進行未授權的更改.若完整性損失越大,則該項指標得分越高.可用性指標反映了漏洞利用對被攻擊目標的可用性影響.可用性是指系統(tǒng)或資產具備滿足為其他主體提供服務的能力.若可用性損失越大,則該項指標得分越高.

特別地,可見性指標反映了漏洞利用對工業(yè)控制系統(tǒng)的可見性的影響.工業(yè)控制系統(tǒng)中的可見性由兩大功能來體現(xiàn):畫面功能、監(jiān)控功能.畫面功能,即觀察過程的當前狀態(tài)以便做出決策,通常由操作員、管理員,以及為推動業(yè)務決策而需要實時信息的其他業(yè)務功能進行操作.監(jiān)控功能就是監(jiān)視過程的當前狀態(tài),包括液位、溫度、閥位等.監(jiān)控功能還包括安全事件警報屬性.工控漏洞對可見性的影響可以嚴重削弱安全控制能力,并影響相關人員的決策.若可見性損失越大,則該項得分越高.可控性指標反映了漏洞利用對工業(yè)控制系統(tǒng)的可控性影響.控制功能的作用是啟動控制閥門、電動機以及引起機械物理狀態(tài)變化的其他組件并對其加以控制.控制功能可以在操作員的干預下驅動,也可以根據(jù)邏輯狀態(tài)的變化實現(xiàn)自動驅動.這一點正是OT與IT的主要區(qū)別.在IT中,我們用信息來驅動業(yè)務決策并共享信息.而在OT中,我們使用信息來驅動物理設備.可控性,是工業(yè)控制系統(tǒng)安全的命脈所在.若可控性損失越大,則該項得分越高.

參照基礎指標描述表(表1),所述的每一個工控漏洞基礎指標都對應有不同級別的指標值(例如,高、中、低)和對應的指標描述.若漏洞特征滿足某條指標描述,則將對應的指標值記錄.

表1 基礎指標描述表

Table 1 Basic indicators description table

指標類指標名稱指標值指標描述漏洞利用指標攻擊向量(AV)攻擊復雜度(AC)特權需求(PR)用戶交互(UI)網絡遠程利用局域共享網絡或本地網絡本地在本地利用漏洞物理攻擊需要物理接觸低攻擊復雜度低高攻擊復雜度高無未得到特權即可實施攻擊低獲得普通用戶權限可利用漏洞高需要管理員權限才能利用漏洞無無需用戶交互,可獨立完成需要利用需要用戶交互范圍范圍不變存在漏洞主體與受攻擊主體一致(S)改變存在漏洞主體與受攻擊主體不一致漏洞影響指標機密性(Conf)完整性(I)可用性(A)可見性(V)可控性(Cont)高機密性完全喪失低機密性部分喪失無機密性沒有喪失高完整性完全喪失低完整性部分喪失無完整性沒有喪失高可用性完全喪失低可用性部分喪失無可用性沒有喪失高可見性完全喪失低可見性部分喪失無可見性沒有喪失高可控性完全喪失低可控性部分喪失無可控性沒有喪失

根據(jù)表1可以得到各項指標值,參照指標值量化標準表(表4),得出各指標量化分值.將各個分值帶入公式(1)-公式(7).其中,漏洞基礎評分為BS,漏洞影響評分為ISC,漏洞利用評分為ESC,漏洞影響基礎評分為ISCBase.

ISCBase=1-((1-Conf)×(1-I)×(1-A)×(1-V)×(1-Cont))

(1)

若范圍指標為不變,則

ISC=6.42×ISCBase

(2)

若范圍指標為改變,則

ISC=7.52×(ISCBase-0.029)-3.25×(ISCBase-0.02)15

(3)

ESC=8.22×AV×AC×PR×UI

(4)

若ISC<0,則

BS=0

(5)

若范圍指標為不變,則

BS=RoundUp(Min((ISC+ESC),10))

(6)

其中,RoundUp函數(shù):保留數(shù)值的一位小數(shù),進行向上舍入,例如RoundUp(8.13)=8.2;Min函數(shù):取兩者最小值.

若范圍指標為改變,則

BS=RoundUp(Min(1.08×(ISC+ESC),10)

(7)

至此,得出工控漏洞的IVSS基礎評分.

3.2 生命周期評分

計算IVSS生命周期評分,需要從漏洞利用代碼成熟度、修復水平、漏洞報告置信度、漏洞利用目標服役情況四個指標分析工控漏洞.

漏洞利用代碼成熟度指標反映了在現(xiàn)有漏洞利用技術和漏洞利用代碼的條件下,漏洞被利用的可能性.公開的漏洞利用代碼和技術會增加潛在攻擊者的數(shù)量,增大漏洞被利用的可能性.漏洞利用代碼的成熟度越高,則該項指標得分越高.修復水平指標反映了針對該漏洞的修復方案的發(fā)布情況.若修復越初級,并且非官方公布的修復方案,則該項評分越高.報告置信度指標反映了已有漏洞報告的置信程度.有的漏洞報告只公開了漏洞的存在,并且沒有公布漏洞的技術細節(jié).隨著對漏洞的調查逐步深入,漏洞的詳細信息會逐漸完善,進而報告的置信度提高,該項指標得分也越高.

特別地,漏洞利用目標服役情況指標反映了漏洞利用的目標設備、協(xié)議、系統(tǒng)、軟件等在工業(yè)控制系統(tǒng)中的服役情況.工業(yè)控制系統(tǒng)中的各類組件往往服役周期長短不一,一些工業(yè)設備有10年以上服役期,也有一些新興設備(例如,工業(yè)無線網絡設備)的服役期比較短,甚至很多工業(yè)控制系統(tǒng)環(huán)境中還沒有采用這樣的新興設備.將漏洞利用目標服役情況納入生命周期指標的考慮范疇,若漏洞利用目標仍非常廣泛地服役于現(xiàn)用的生產環(huán)境,則該項指標得分越高.

參照生命周期指標描述表(表2),每個工控漏洞生命周期指標都對應有不同級別的指標值(例如,未定義、高、中、低)和對應的指標描述.若漏洞特征滿足某條指標描述,則將對應的指標值記錄.

根據(jù)表2中得到的各項指標值,參照指標值量化標準表(表4),得出各指標量化分值.由于生命周期評分是在漏洞基礎評分的基礎上的進一步修正,而不能獨立計算分值.所以表4中生命周期指標的量化數(shù)值變化范圍較小,且相近于1.

將各個分值帶入公式(8).其中,漏洞生命周期評分為TS.

TS=RoundUp(BS×E×RL×RC×SS)

(8)

至此,得出工控漏洞的IVSS生命周期評分.

3.3 環(huán)境評分

若計算工控漏洞環(huán)境評分,從安全需求(機密性需求、完整性需求、可用性需求、可見性需求、可控性需求)、修正基礎指標(修正攻擊向量、修正攻擊復雜度、修正特權需求、修正用戶交互、修正范圍、修正機密性、修正完整性、修正可用性、修正可見性、修正可控性)等指標來分析工控漏洞.

環(huán)境指標允許安全研究人員根據(jù)實際場景內不同層面安全需求的重要性,得出適用于該實際場景的漏洞風險得分.例如,某工業(yè)企業(yè)涉及國家關鍵信息基礎設施安全,其安全控制與人員安全息息相關,那么其可控性需求就比較突出,因而可控性需求的評分相對較高.

參照環(huán)境指標描述表(表3),每個工控漏洞環(huán)境指標都對應有不同級別的指標值(例如,未定義、高、中、低)和對應的指標描述.若漏洞特征滿足某條指標描述,則將對應的指標值記錄.

表2 生命周期指標描述表

Table 2 Life cycle indicators description table

指標名稱指標值指標描述漏洞利用代碼成熟度(E)未定義該指標不納入評估高漏洞利用代碼存在,漏洞利用細節(jié)被廣泛傳播,代碼可在多種條件下工作功能性功能性漏洞利用代碼存在POC概念驗證代碼存在,但不具備功能性無代碼無漏洞利用代碼,漏洞利用只是理論性的修復水平(RL)未定義該指標不納入評估無沒有可用的修復方案,或修復方案不可用臨時方案非官方、非供應商的可用修復方案暫時解決官方發(fā)布的臨時修復方案官方修復官方發(fā)布的正式修復方案報告置信度(RC)未定義該指標不納入評估無報告沒能指出漏洞的產生原因或漏洞細節(jié),不能確認漏洞真實存在,報告不可信合理的報告對漏洞的部分細節(jié)和產生原因做出了合理的披露已證實報告已證實漏洞的詳細細節(jié)和產生原因,可以通過代碼驗證、分析漏洞或供應商官方證實其漏洞詳細狀態(tài)漏洞利用目標服役情況(SS)未定義該指標不納入評估非常普遍漏洞利用目標,如設備、協(xié)議、系統(tǒng)、軟件等,仍然非常普遍地服役于工控系統(tǒng)中普遍漏洞利用目標比較普遍地服役于工控系統(tǒng)中,部分受影響設備、協(xié)議、系統(tǒng)、軟件等已經不再使用少數(shù)漏洞利用目標很少服役于工業(yè)控制系統(tǒng)中,大部分過于陳舊的受影響設備、協(xié)議、系統(tǒng)、軟件等已經被淘汰

根據(jù)表3中得到的各項指標值,參照指標值量化標準表(表4),得出各指標量化分值.將各個分值帶入公式(9)-公式(15).公式中各變量為對應原變量修正之后的結果,在原變量名前加上M_前綴來表示.其中,漏洞環(huán)境評分為ES,機密性需求為ConfR,完整性需求為IR,可用性需求為AR,可見性需求為VR,可控性需求為ContR.

M_ISCBase=Min(1-((1-M_Conf×ConfR)×(1-M_I×IR)×(1-M_A×AR)×(1-M_V×VR)×(1-M_Cont×ContR)),0.915)

(9)

若范圍指標為不變,則

M_ISC=6.42×M_ISCBase

(10)

若范圍指標為改變,則

M_ISC=7.52×(M_ISCBase-0.029)-3.25×(M_ISCBase-0.02)15

(11)

M_ESC=8.22×M_AV×M_AC×M_PR×M_UI

(12)

若M_ISC<0,則

ES=0

(13)

若范圍指標為不變,則

ES=RoundUp(RoundUp(Min((M_ISC+M_ESC),10))×E×RL×RC×SS)

(14)

若范圍指標為改變,則

ES=RoundUp(RoundUp(Min(1.08×(MISC+MESC),10))×E×RL×RC×SS)

(15)

表3 環(huán)境指標描述表

Table 3 Environmental indicators description table

指標名稱指標值指標描述安全需求未定義該指標不納入評估高該項安全需求的損失會對組織或個人造成十分嚴重的影響中該項安全需求的損失會對組織或個人造成嚴重的影響低該項安全需求的損失會對組織或個人造成一定程度的影響修正攻擊向量修正攻擊復雜度修正特權需求修正用戶界面修正范圍修正機密性修正完整性修正可用性修正可見性修正可控性與前文基礎指標的描述相同,除此之外,左側任一指標均為非必選項,默認為未定義,即不參與評估

至此,得出工控漏洞IVSS環(huán)境評分.

對于以上得到的工控漏洞基礎評分、生命周期評分、環(huán)境評分,根據(jù)工業(yè)控制系統(tǒng)漏洞風險等級劃分表(表5),可以為該漏洞定級,共分為無、低危、中危、高危、極高五個等級.根據(jù)CVSSv3.0標準以及國際范圍內廣泛使用的其他漏洞風險評估方法,將漏洞風險等級劃分為四級或五級是更為有效的等級劃分手段.隨著漏洞量化分值的提高,不同等級的區(qū)間長度遞減.該方法可以為高風險漏洞提供更細粒度的區(qū)分.

4 實例分析

本章以CVE編號為CVE-2016-5787的工控漏洞為例,計算IVSS基礎評分,分析IVSS在工控漏洞風險評估中的有效性.

CVE-2016-5787漏洞的影響設備是美國通用電氣(General Electric,GE)公司的一套基于客戶端/服務器的人機界面(Human Machine Interface,HMI)、監(jiān)控和數(shù)據(jù)采集(Supervisory Control And Data Acquisition,SCADA)的應用程序.該漏洞源于程序沒有正確處理自由訪問控制列表(Discretionary Access Control List,DACL).本地攻擊者可利用該漏洞修改服務配置,提升用戶權限.

計算該漏洞的IVSS基礎評分.首先,分析漏洞特性,得到該漏洞在漏洞利用指標和漏洞影響指標的分值.漏洞利用指標方面,攻擊者需要在本地才能利用此漏洞進行服務配置的修改,所以攻擊向量指標值為本地,量化分值為0.55;利用受影響設備在DACL處理方面存在的訪問控制問題,即可實現(xiàn)漏洞的成功利用,所以攻擊復雜度指標值為低,量化分值為0.77;存在漏洞的主體是HMI/SCADA應用程序,漏洞被成功利用后攻擊者的權限提升,可以在系統(tǒng)級別進行一些服務配置的修改,所以存在漏洞的主體與受攻擊主體不完全一致,范圍發(fā)生改變;攻擊者以普通用戶登錄即可利用漏洞完成提權,所以特權需求指標值為低,因范圍發(fā)生改變,量化分值為0.68;漏洞的成功利用需要用戶交互,所以用戶交互指標值為需要,量化分值為0.62;漏洞的成功利用會對被攻擊主體的機密性、完整性、可用性造成一定的影響,但不會完全喪失,所以機密性、完整性、可用性指標值為中,量化分值為0.18;對于可見性、可控性指標,HMI/SCADA應用程序主要提供的是數(shù)據(jù)的采集、監(jiān)視、控制功能,攻擊者利用漏洞進行攻擊后,HMI/SCADA應用程序的功能會嚴重喪失,例如數(shù)據(jù)采集準確性明顯降低、監(jiān)視狀態(tài)失真、控制指令篡改等,所以可見性、可控性指標值為高,量化分值為0.46.

表4 指標值量化標準表

Table 4 Quantification of indicator value table

指標名稱指標值量化標準攻擊向量/修正攻擊向量網絡0.85局域0.62本地0.55物理0.2攻擊復雜度/修正攻擊復雜度低0.77高0.44特權需求/修正特權需求無0.85低0.62(0.68范圍改變)高0.27(0.50范圍改變)用戶交互/修正用戶交互無0.85需要0.62漏洞影響/修正漏洞影響高0.46中0.18低0漏洞利用代碼成熟度未定義1高1功能性0.97概念驗證代碼0.94無0.91修復水平未定義1無1臨時方案0.97暫時解決0.96官方修復0.95報告置信度未定義1已證實1合理的0.96無0.92漏洞利用目標服役情況未定義1非常普遍1普遍0.95少數(shù)0.92安全需求未定義1高1.5中1低0.5

將上述量化分值帶入公式(1)-公式(7),得出該漏洞的IVSS基礎評分為8.0,屬于高危漏洞.而該漏洞的CVSSv3.0評分為5.7,屬于中危漏洞.漏洞風險等級的提升,會促使安全研究人員更加重視漏洞的潛在影響,進而提高響應速度,并采取更有效的應對措施.對比可見,若使用CVSS v3.0等通用漏洞風險評估方法對工控漏洞進行評估,則難以把握漏洞對OT領域安全需求的影響,不能準確體現(xiàn)漏洞在OT環(huán)境中的危害程度.本文提出的IVSS對工控漏洞的量化風險評估更加全面、準確、有效.

表5 工業(yè)控制系統(tǒng)漏洞風險等級劃分表

Table 5 ICS vulnerability risk classification table

等級評分無0.0低危0.1～3.9中危4.0～6.9高危7.0～8.9極高9.0～10.0

5 統(tǒng)計分析

本文收集了2016年1月1日至2018年11月1日間CVE、CNVD、CNNVD、NVD四大公開漏洞平臺發(fā)布的1171條工控漏洞,并計算得出這1171條工控漏洞的IVSS評分.本章從評分分布、平均分、中位數(shù)、風險等級分布等層面,將IVSS評分與CVSSv3.0評分進行對比分析.分析結果表明,本文提出的工業(yè)控制系統(tǒng)風險評估方法可以有效地對工控漏洞進行量化評估,提高漏洞評分在工控安全防護中的可用性.

5.1 評分分布

在評分分布方面,如圖1、圖2所示,IVSS評分與CVSS v3.0評分的分布情況總體一致,高危漏洞和極高危漏洞居多.對比來看,IVSS評分分布更加均勻,只有評分為10的漏洞數(shù)量較多,其他評分的漏洞數(shù)量較為均勻地分布在3.0至9.9區(qū)間內.而CVSS v3.0評分分布集中于7.5、8.8、9.8這三個評分.評分分布較為均勻的IVSS,更加有利于區(qū)分不同漏洞間的危害程度的差異性,有助于工控安全防護過程中確定優(yōu)先級.

圖1 CVSSv3.0評分分布

圖2 IVSS評分分布

5.2 平均分與中位數(shù)

在平均分與中位數(shù)方面,如表6所示,IVSS評分的平均分與中位數(shù)分別比CVSS v3.0的評分高出0.3和0.6.數(shù)據(jù)表明,從總體表現(xiàn)上看,在工控漏洞風險評估過程中深度結合工控安全特性而得出的IVSS評分普遍高于通用的CVSSv3.0評分.這說明IVSS體現(xiàn)了工控漏洞的特殊性.因為工控安全不僅涉及信息安全,更與人的生命和財產安全以及國家安全息息相關.工控漏洞的量化風險評估結果直接影響到其受重視程度,進而影響工控安全防護決策.所以IVSS評分在平均分與中位數(shù)這兩項數(shù)據(jù)上的提高可以有效提升工控漏洞受重視程度.

表6 平均分與中位數(shù)

Table 6 Average score and median score

統(tǒng)計指標CVSSIVSS平均分7.88.1中位數(shù)7.88.4

5.3 風險等級分布

在風險等級分布方面,如表7所示,IVSS評分的低危漏洞與中危漏洞占比相對減少,高危和極高危漏洞占比有所提升.如前文所述,這種變化有利于提升工控漏洞的受重視程度.漏洞風險等級的變化會對工業(yè)控制系統(tǒng)的安全防護工作產生一定的影響.但這種影響是積極的.一方面,部分漏洞的風險等級會發(fā)生提升.這表明,這些漏洞在工業(yè)控制系統(tǒng)中的風險被低估了,以IT領域的漏洞風險評估手段不能真實地反應其安全風險.另一方面,部分漏洞的風險等級會發(fā)生下降.這表明,這些漏洞在IT領域內的安全風險要高于在OT領域內的安全風險.等級的降低有利于安全防護人員聚焦于真正有價值的高風險漏洞.

表7 風險等級分布

Table 7 Risk grade distribution

風險等級CVSSIVSS低1.8%1.1%中24.8%21.5%高47.4%47.7%極高26.0%29.7%

6 應用案例

6.1 工業(yè)現(xiàn)場檢查工具

本文將IVSS應用到某工業(yè)現(xiàn)場檢查工具中,以測試IVSS在工業(yè)安全防護過程中的實際應用效果.該工業(yè)現(xiàn)場檢查工具是一款應用于工業(yè)互聯(lián)網安全檢查、風險評估的一款軟硬一體便攜式設備.主要有工控項目管理、工控合規(guī)性檢查、工控資產發(fā)現(xiàn)、工控漏洞掃描、工控協(xié)議深度解析、工控流量分析、安全事件統(tǒng)計、威脅情報分析、行為日志審計、協(xié)議流量分析、報告自動生成等功能.

其中,工控漏洞掃描模塊的核心功能是檢測已知的安全漏洞,采用被動方式接收流量,與工控漏洞庫進行特征匹配,發(fā)現(xiàn)工控設備漏洞.360企業(yè)安全工業(yè)控制系統(tǒng)安全國家地方聯(lián)合工程實驗室對工控漏洞庫中的每一條漏洞進行分析、評估,并得到其IVSS評分.在工業(yè)控制系統(tǒng)中,生產業(yè)務的穩(wěn)定性、可靠性、連續(xù)性是至關重要的,尤其是對一些核心的生產系統(tǒng)、控制設備.所以漏洞掃描采用被動的、非破壞性的方式對工控系統(tǒng)、工控設備、工控網絡進行檢查,及時發(fā)現(xiàn)漏洞,避免影響正常的生產業(yè)務.

此外,現(xiàn)場檢查報告是體現(xiàn)工控漏洞風險評估能力的重要載體.報告以本文所述方法對漏洞進行深入地分析,幫助安全人員了解系統(tǒng)內存在的漏洞在各個量化評估指標上的具體表現(xiàn),以及漏洞對工控系統(tǒng)安全可見性、可控性、機密性、完整性、可用性需求的影響.報告會綜合分析系統(tǒng)內各個漏洞的風險等級、補丁情況與修復難度,提供一個全面的漏洞修復建議,既抓住核心的安全問題,又涵蓋所有暴露出的脆弱點.

6.2 某企業(yè)漏洞檢查結果

本文使用集成了IVSS的工業(yè)現(xiàn)場檢查工具,對某煙草企業(yè)進行現(xiàn)場檢查.該煙草企業(yè)的整體網絡拓撲圖,如圖3所示.工業(yè)現(xiàn)場檢查工具可以部署在生產執(zhí)行層入口的核心交換機,也可以部署在工業(yè)控制層中各核心區(qū)域入口的匯聚交換機,以旁路方式部署,被動接收網絡流量.本文選取在工業(yè)控制層中制絲集控系統(tǒng)的匯聚交換機部署工業(yè)現(xiàn)場檢查工具的方式,進行漏洞檢查結果的分析.

圖3 某煙草企業(yè)網絡拓撲圖

在制絲集控系統(tǒng)中,進行了為期62分35秒的檢查,累計流量248.12MB.漏洞檢查結果方面,共發(fā)現(xiàn)工控漏洞24條,其中15條來自西門子S7系列PLC,9條來自羅克韋爾自動化ControlLogix系列PLC.這些漏洞的風險等級分布情況如表8所示.對比可見,將工控特性相關指標納入量化評估范圍之后,不同風險等級的漏洞數(shù)存在一定變化.極高危漏洞數(shù)量由4條減少為1條,高危漏洞和中危漏洞數(shù)有少量增長.

工業(yè)現(xiàn)場檢查工具采用的漏洞風險評估標準由CVSSv3.0轉變?yōu)镮VSS,顯著提升了檢查報告在實際工控安全防護工作中的可用性.一方面,檢查報告中體現(xiàn)了漏洞對工控安全需求的影響.報告分析了漏洞在可見性、可控性指標的量化評估結果,準確地體現(xiàn)了工業(yè)企業(yè)最關心的安全問題.在實際應用中,該煙草企業(yè)安全人員通過漏洞的可見性、可控性指標分析結果,結合企業(yè)自身安全需求,迅速定位了需要首先解決的關鍵問題.另一方面,報告中的IVSS風險等級有助于確定安全防護優(yōu)先級.該煙草企業(yè)制絲集控系統(tǒng)中檢查到的極高危漏洞數(shù)由4條減少為1條.這說明3條漏洞在工控安全環(huán)境中并沒有非常嚴重的危害,IVSS評分降低,進而導致了風險等級降低.因此在確定安全防護優(yōu)先級的過程中,不必消耗過多的資源對這3條漏洞進行處理,應當聚焦于可能造成嚴重危害的極高危漏洞.

表8 現(xiàn)場檢查漏洞風險等級分布

Table 8 On-site inspection vulnerability risk grade distribution

風險等級CVSSIVSS低22中1214高67極高41

7 總 結

本文提出了一種工業(yè)控制系統(tǒng)漏洞風險評估方法.該方法定義了工控漏洞風險評估過程的基礎指標、生命周期指標、環(huán)境指標,將可見性、可控性、漏洞利用目標服役情況等體現(xiàn)工控安全特性的指標納入量化評估范圍.該方法使用改進的工控漏洞風險評估算法,既可以生成工控漏洞的基礎評分、生命周期評分,也可以用于安全人員結合實際工控安全場景的具體需求以生成環(huán)境評分.本文以CVE-2016-5787漏洞為例進行分析,展現(xiàn)了使用本文提出的方法計算基礎評分的過程,并對2016年至2018年間的1171條公開工控漏洞的IVSS評分與CVSS評分進行了統(tǒng)計分析.分析結果表明,本文提出的工控漏洞風險評估方法,可以有效地對工控漏洞進行量化評估.將本文提出的方法應用在某工業(yè)現(xiàn)場檢查工具中,使用該工具對某煙草企業(yè)進行現(xiàn)場檢查.檢查結果證明該方法可以顯著提高漏洞評分在工控安全防護中的可用性,提升工控安全防護水平.