DDoS会危害关键基础设施吗？ “安全加”认为媒体搞错了方向 APT攻击才是杀手锏-阿里云开发者社区

近期发生的一系列分布式拒绝服务（DDoS）攻击已经严重影响了互联网的正常运作。于是，“安全加” 总是接到媒体的需求（特别国外媒体）要求说一说DDoS对工控领域的威胁，这让安全加小编有些哭笑不得。1到目前为止，大多数对关键基础设施，尤其是涉及国家命脉的工控领域，都是通过木马渗透内网，然后实施APT攻击；2涉及国家命脉的工控领域，大多都不会直接暴露在外网，这包括国外也是一样的；3DDoS大多是攻击外围网络，然后瘫痪它，你把外网打瘫了，自己不也进不去了吗？为了让大家了解更多的相关信息，小编整理了安全加近期发布的关键基础设施攻击的相关文章。

在下面的内容中，安全专家认为，类似电网和天然气管道等关键基础设施不太可能会遭到大规模的DDoS攻击。但是他们也承认，目前大量的关键基础设施中仍然存在严重的安全问题。

近期的DDoS攻击关键基础设施事件

就在上个月，美国新罕布什尔州的域名系统（DNS）服务商Dyn经历了一次大规模DDoS攻击，而此次攻击也给北美地区的大量用户的工作和生活带来了很大的不便。此次事件不仅使大量热门网站被迫下线，而且还导致广大网民好几个小时都无法正常访问互联网。此次事件中没有人员死亡，也没有人员受伤，只有财产损失，但是却吸引了全国新闻媒体的争相报道。

鉴于此次事件的严重性和影响力，很多人开始担心这种由数百万台物联网设备所组成的僵尸网络在将来会做更加恐怖的事情，甚至还会影响国家的关键基础设施。像国家电网这样的关键基础设施一旦遭到了攻击，那么带来的影响可就不只是“不方便”这么简单了。如果没有电的话，企业、家庭、应急服务、金融行业以及互联网根本就无法正常运转。

其实现实中也发生过类似的事件。就在 这个月的月初，芬兰拉彭兰塔市（芬兰东部的一个城市）的两处供暖设备因遭到了DDoS攻击而无法正常为市民提供暖气。 虽然此次供暖中断是暂时性的，但是当地媒体指出，由于当地气温低于零度，所以暖气的长期中断会导致供暖设备和传输线路的出现物理损伤，因此受影响的市民不得不搬到其他的地方过冬。

近期，安全研究专家在一篇题为《物联网中的核链反应》论文中表示，他们可以使用飞利浦Hue智能灯泡和ZigBee协议来构建大规模的僵尸网络。这是一种新型的安全威胁，如果一台物联网设备感染了蠕虫，那么与该设备临近的物联网设备也会交叉感染，蠕虫将会迅速传播开，这就类似于一种核链反应了。

研究人员表示：

“攻击者可以在城市中的任何一个地方接入一个使用ZigBee无线通信协议的智能灯泡，此时该蠕虫就会像生化危机里的“T病毒”一样在几分钟之内感染大量的物联网设备。攻击者将可以随意地开关城市中的电灯，或者利用它们来进行大规模的DDoS攻击。”

如果攻击者可以使用这项技术来对城市的供暖、供水、污水处理和交通管制等基础服务系统进行攻击的话，那么后果将不堪设想。Resilient Systems的首席技术官Bruce Schneier 表示：“这些关键基础设施中存在的安全漏洞不仅会导致财产的损失，而且甚至会引起人员的伤亡。”

但是，负责监控和管理国家大部分关键基础设施的工业控制系统在受到DDoS攻击之后，真的会引起长时间的服务中断吗？

DDoS攻击对关键基础设施的影响有多大？

安全专家们对这一问题持有很多不同的观点。有的人认为，国家的工业控制系统与普通的物联网设备有着明显的区别，它们没那么容易受到DDoS攻击。但是有些人却认为，这些系统也是物联网中的一部分，所以它们同样有可能遭到DDoS攻击。

某些业内专家认为，对于关键基础设施而言，DDoS攻击并不是直接的威胁。因为工业控制系统与消费者手中的物联网设备并不相同。拿温度控制器来打个比方，从表面上看也许它们很相似，但是工控系统所使用的温度控制器与用户家中墙上挂着的恒温器相比，它所采用的是不同的技术，使用场景和性能也完全不同。而工控系统处理信息的过程也并不依赖于互联网服务。

FusionX的CEO Matt Devost也持有类似的观点，他表示：

“对于那些极度依赖网络通信的设备来说，DDoS攻击是非常有效的。但是ICS和SCADA这样的工业环境并不具备对网络服务的依赖性。”

Spirion公司产品战略副总裁Gabe Gumbs认为：

“物联网设备应该被严格定义为消费级设备。虽然大多数关键基础设施接入了互联网，但是这些设备采用的并非消费级通信技术。企业会在SCADA系统的安全性上投入大量资金，这与消费级终端有着显著的区别。”

Dragos的CEO Robert M.Lee认为：

“虽然目前有的工控系统需要依赖互联网，但是绝大多数工控系统并非如此，这些设备的网络数据和终端节点所使用的技术是十分复杂的。因此，DDoS攻击并不足以干扰关键基础设施的运作。”

但是SCADAfence的CTO Yoni Shohet却表示：

“工控系统绝对是物联网的一部分，因为整个行业正在从物理系统转变成网络物理系统。在过去的几年里，工业环境和外部网络之间的联系正在加强。所以随着技术的不断发展，这些环境遭受外部攻击的可能性也会越来越高。”

Full Spectrum的CEO Stewart Kantor同样认为：

“关键基础设施正在逐渐趋于自动化，而这种自动化需要依赖基于IP的通信方式。从某种程度上来说，这将不可避免地使用到公共蜂窝数据网络。这样一来，这些设备与消费级产品将共同组成我们的物联网。”

不过他还补充说到：“某些组织的私有物联网使用的是软件定义无线电技术，这与公共设施所使用的专用技术是有区别的。”

工控系统和关键基础设施安全性的发展

Robert M.Lee也承认，现在越来越多的企业开始关注关键基础设施的安全性了。对于工控设备的制造商而言，他们面对的是一个全球化的市场，安全方面的压力不容小觑。而现实就是，工控设备制造行业还有很长的一段路要走。

Gabe Gumbs认为：

“在此之前，信息安全并不是这些厂商首要考虑的因素。因为他们既没有能够与攻击者抗衡的技术，也没有聘请并留住安全技术人才的实力。实际上，检测复杂的网络攻击是有难度的，这需要投入大量的人力资源和物质资源。虽然这个行业现在已经开始逐渐关注安全因素了，但是如果想要抵御复杂的网络攻击，那需要很长的一段时间。”

当然了，虽然DDoS攻击并不算是十分复杂的网络攻击，但是它仍然会给我们带来非常大的困扰。Matt Devost认为：“如果商业建筑中数百万的家用智能恒温设备和智能电网设备遭到攻击并同时消耗大伏交流电的话，电网将会因超额负载而发生故障。”

不过Gumbs表示，他认为DDoS攻击并不会给美国的关键基础设施带来灾难性的破坏，因为这些设备有足够的能力去应对这样的攻击。他说到：

“我们也许可以将这种大规模的网络攻击与自然灾害进行比较。在面对飓风、洪水、以及地震等自然灾害时，我们可以沉着应对。所以我认为，在面对网络攻击时，我们也同样能够妥善处理。但是，这种攻击给金融系统带来的影响可能会更加严重。在遭受攻击之后，用户在ATM机上的取款操作以及各大商场的刷卡支付操作都将会受到影响。”