目前很多企業(yè)數(shù)據(jù)上云,孤島聯(lián)網(wǎng),數(shù)據(jù)集中管控,遠(yuǎn)程訪問(wèn)與維護(hù),逐漸實(shí)現(xiàn)了互聯(lián),但是聯(lián)網(wǎng)后隨之而來(lái)的網(wǎng)絡(luò)安全問(wèn)題也越來(lái)越多......企業(yè)既擔(dān)心網(wǎng)絡(luò)被攻擊,又擔(dān)心數(shù)據(jù)被竊取。那么,怎樣抵御工業(yè)控制系統(tǒng)網(wǎng)絡(luò)攻擊呢?
工業(yè)控制系統(tǒng)網(wǎng)絡(luò)攻擊中工控人重點(diǎn)需要保護(hù)的設(shè)備是:PLC、上位機(jī)、交換機(jī)。
針對(duì)PLC、上位機(jī)、交換機(jī)的網(wǎng)絡(luò)攻擊
1、PLC是如何被網(wǎng)絡(luò)攻擊的?
首先,昌暉儀表告知大家的是PLC并不是只有對(duì)應(yīng)的編程軟件才可以讓PLC啟動(dòng)和停止;通過(guò)很多HACK類工具均可對(duì)PLC進(jìn)行停止,寫(xiě)值等等。
2、上位機(jī)是如何被攻網(wǎng)絡(luò)擊的?
那對(duì)于上位機(jī)就簡(jiǎn)單多了,比如通過(guò)U盤(pán)傳播,比如如下路徑:
①某工程師打開(kāi)一封郵件,該郵件內(nèi)容再正常不過(guò),但是有一個(gè)木馬程序已經(jīng)進(jìn)到你的操作系統(tǒng)。
②當(dāng)操作系統(tǒng)監(jiān)測(cè)到計(jì)算機(jī)有U盤(pán)插入,自動(dòng)復(fù)制一份副本到U盤(pán)。
③當(dāng)這個(gè)U盤(pán)拷貝了一個(gè)文件到現(xiàn)場(chǎng)工控機(jī)的時(shí)候,該文件自動(dòng)復(fù)制了一份到工控機(jī)系統(tǒng)。
④開(kāi)始搜索注冊(cè)表,該系統(tǒng)是否安裝了Wincc。
⑤如果安裝:利用wincc漏洞SQL漏洞和S7otbxdx.dll進(jìn)行攻擊。
⑥讀取函數(shù)HOOK,修改Timer時(shí)間為無(wú)限長(zhǎng)。
⑦通過(guò)Step7自動(dòng)下裝到PLC。
這個(gè)過(guò)程大家是不是覺(jué)得很熟悉?Yes,它就是著名的STUXNET(震網(wǎng)),該病毒只需要操作員協(xié)助做一個(gè)動(dòng)作即可,那就是把U盤(pán)插在工控機(jī)上,這時(shí)STUXNET就會(huì)在神不知鬼不覺(jué)的情況下獲取工業(yè)控制電腦的控制權(quán)。
3、EtherNet/IP是如何被網(wǎng)絡(luò)攻擊的?
假如企業(yè)的系統(tǒng)是AB的PLC或者施耐德PLC,通過(guò)EtherNet/IP連接遠(yuǎn)程I/O,那么如果我們通過(guò)以太網(wǎng)發(fā)送極大的數(shù)據(jù)量到網(wǎng)絡(luò)內(nèi),將網(wǎng)絡(luò)帶寬資源消耗盡或者我們1s發(fā)出1000次網(wǎng)絡(luò)請(qǐng)求,給其中一個(gè)以太網(wǎng)適配器,都會(huì)導(dǎo)致PLC和I/O之間網(wǎng)絡(luò)出現(xiàn)癱瘓,導(dǎo)致PLC系統(tǒng)失控。
PLC、上位機(jī)和交換機(jī)如何抵御網(wǎng)絡(luò)攻擊,避免工業(yè)控制系統(tǒng)失控
工控人怎么避免PLC、上位機(jī)和交換機(jī)被網(wǎng)絡(luò)攻擊呢?使用工業(yè)安全隔離裝置是一種比較快捷有效的方式,工業(yè)安全隔離裝置集成工業(yè)防火墻,工業(yè)威脅監(jiān)測(cè),事件中心,跳板機(jī)和沙箱;其硬件采用一臺(tái)物理服務(wù)器,內(nèi)部部署WiCloud一體化虛擬工控管理平臺(tái),在此平臺(tái)上部署了五個(gè)虛擬機(jī),分別為WiSecurity工業(yè)防火墻,工業(yè)威脅捕捉系統(tǒng),事件中心,跳板機(jī) 以及沙箱。
下面昌暉儀表簡(jiǎn)單介紹工業(yè)安全隔離裝置的各項(xiàng)功能:
①WiSecurity工業(yè)防火墻
WiSecurity工業(yè)防火墻針對(duì)PLC具備如下功能:
a、圖片強(qiáng)化的注入防護(hù)
◆防地址溢出攻擊
◆防停止/下載/重啟/寫(xiě)值命令注入
b、CRC錯(cuò)誤攻擊
◆漏洞利用
◆固件漏洞攻擊防護(hù)
◆工控軟件漏洞攻擊防護(hù)
同時(shí)可支持如下工業(yè)協(xié)議,S7NET,EtherNet/IP,Modbus TCP,OPC以及DNP。另外也可告訴大家目前很多的工業(yè)協(xié)議防火墻,大部分情況只是端口防護(hù)。
工業(yè)安全隔離裝置在S7NET,EtherNet/IP和Modbus TCP/IP協(xié)議中具備協(xié)議特征識(shí)別的特性,也是防止PLC被惡意重啟,惡意寫(xiě)值的主要防護(hù)。
②工業(yè)威脅捕捉系統(tǒng)
什么是工業(yè)威脅捕捉系統(tǒng)呢?該系統(tǒng)可以捕捉來(lái)自IT網(wǎng)絡(luò)邊界和OT網(wǎng)絡(luò)邊界的威脅和嗅探,說(shuō)的更加白話一點(diǎn)就像放這里一個(gè)蜜罐,用來(lái)吸引攻擊,分析攻擊,推測(cè)攻擊意圖,并將結(jié)果發(fā)送到工業(yè)防火墻進(jìn)行威脅阻斷。工業(yè)威脅捕捉系統(tǒng)是典型的主動(dòng)防御系統(tǒng)。
威脅捕捉技術(shù)本質(zhì)上是一種對(duì)攻擊方進(jìn)行欺騙的技術(shù),通過(guò)布置一些作為誘餌的主機(jī)、網(wǎng)絡(luò)服務(wù)或者信息,誘使攻擊方對(duì)它們實(shí)施攻擊,從而可以對(duì)攻擊行為進(jìn)行捕獲和分析,了解攻擊方所使用的工具與方法,推測(cè)攻擊意圖和動(dòng)機(jī),能夠讓防御方清晰地了解他們所面對(duì)的安全威脅,并通過(guò)技術(shù)和管理手段來(lái)增強(qiáng)實(shí)際系統(tǒng)的安全防護(hù)能力。
工業(yè)威脅捕捉系統(tǒng)好比是情報(bào)收集系統(tǒng)。好像是故意讓人攻擊的目標(biāo),引誘黑客前來(lái)攻擊。所以攻擊者入侵后,你就可以知道他是如何得逞的,隨時(shí)了解針對(duì)服務(wù)器發(fā)動(dòng)的最新的攻擊和漏洞。還可以通過(guò)竊聽(tīng)黑客之間的聯(lián)系,收集黑客所用的種種工具,并且掌握他們的社交網(wǎng)絡(luò)。
通過(guò)該工業(yè)威脅捕捉系統(tǒng),當(dāng)網(wǎng)絡(luò)里有攻擊者的時(shí)候,威脅捕捉系統(tǒng)會(huì)偽裝成PLC系統(tǒng),當(dāng)攻擊者攻擊威脅捕捉系統(tǒng)后,系統(tǒng)捕捉到攻擊信息,并進(jìn)行分析,同時(shí)將分析結(jié)果補(bǔ)充到防火墻,通過(guò)策略阻斷此攻擊。
③事件中心
記錄所有節(jié)點(diǎn)的事件記錄,比如防火墻,交換機(jī)和計(jì)算機(jī)、服務(wù)器等;當(dāng)有故障發(fā)生的時(shí)候可進(jìn)入事件中心進(jìn)行事件記錄查詢,進(jìn)行故障追憶。
④跳板機(jī)
部署FireFox,Putty,Java SDK和錄屏軟件,跳板機(jī)的作用為當(dāng)設(shè)備廠家要對(duì)機(jī)器進(jìn)行遠(yuǎn)程維護(hù)的時(shí)候,不可以直接通過(guò)網(wǎng)絡(luò)接入設(shè)備,而要先經(jīng)過(guò)該跳板機(jī),在跳板機(jī)上做維護(hù)操作,同時(shí)所有的操作會(huì)有錄屏,如果設(shè)備操作在維護(hù)自己設(shè)備的時(shí)候做了不屬于維護(hù)范圍內(nèi)的操作的時(shí)候,跳板機(jī)可以直接中斷其操作。
⑤沙箱測(cè)試系統(tǒng)
沙箱測(cè)試系統(tǒng),用于測(cè)試欲安裝的軟件是否安全,可在沙箱系統(tǒng)做部署測(cè)試,如果安全,則可以在實(shí)體機(jī)安裝,如果有木馬和病毒集成,即將其銷毀。
工業(yè)安全隔離裝置可選安裝病毒服務(wù)器,病毒服務(wù)器軟件用戶自己部署,當(dāng)現(xiàn)場(chǎng)工控機(jī)部署了殺毒軟件,由于現(xiàn)場(chǎng)工控機(jī)一般不連接外網(wǎng),導(dǎo)致病毒庫(kù)無(wú)法更新,如果部署了病毒服務(wù)器,可以通過(guò)病毒服務(wù)器對(duì)現(xiàn)場(chǎng)工控機(jī)病毒庫(kù)進(jìn)行更新,而病毒服務(wù)器自身病毒庫(kù)的更新可通過(guò)IFZ內(nèi)的防火墻后進(jìn)行更新。
因此,工業(yè)安全隔離裝置部署在OT和IT的邊界,可以降低PLC、上位機(jī)和交換機(jī)網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。
作者:曹俊義
相關(guān)閱讀
自動(dòng)化IT系統(tǒng)缺陷導(dǎo)致的安全事故同樣觸目驚心
工業(yè)信息安全:國(guó)內(nèi)大部分工業(yè)自動(dòng)化控制系統(tǒng)缺乏安全防護(hù)
共有訪客發(fā)表了評(píng)論
網(wǎng)友評(píng)論