安全管理网

工业控制系统安全防护技术

文档来源: 安全管理网
点 击 数:
更新时间: 2021年06月05日
下载地址: 点击这里
文件大小: 4.88 MB 共58页
文档格式: PDF       
下载点数: 19 点(VIP免费)
智能工业控制网络安全专家 目 录 01 02 03 工控事件攻击技术概述 工控系统安全技术 工控系统防护体系思考 04 结束语 信息化和软件服务业司智能工业控制网络安全专家 篡改供应商网站,在下载软件升级 包中包含恶意间谍软件 被攻击用户下被载篡改的升级包 恶意间谍代码自动安装到OPC客户端 OPC服务器回应数据信息 黑客采集获取 恶意间谍代码通过OPC协议发出非法数据的数据 采集指令 1 2 4 将信息加密并传输到C&C (命令与控制)网站 3 5 7 6 通过社会工程向 工程人员发送 包含恶意间谍 代码的钓鱼邮件 1 供应商官方网站 工控 网络 OPC客户端OPC客户端 OPC服务器OPC服务器 生产线PLC PLC HAVEX病毒攻击路径概述智能工业控制网络安全专家 l 有三个厂商的主站被这种方式被攻入,在网站上提供的软件安装包中包含了 Havex。这三家公司都是开发面向工业的设备和软件,这些公司的总部分别位于德 国、瑞士和比利时。 l 其中两个供应商为ICS系统提供远程管理软件,第三个供应商为开发高精密工业摄 像机及相关软件。 在被入侵厂商的主站上,向用户提供包含恶意代码的升级软件包 利用系统漏洞,直接将恶意代码植入包含恶意代码的钓鱼邮件 Havex 传播途径智能工业控制网络安全专家 • 通过反向Havex程序,我们发现它会枚举局域网中的RPC服务,并寻找可连接的资源 • Havex通过调用IOPCServerList和IOPCServerList2 DCOM接口来枚举目标机器上的 OPC服务 • 随后Havex可以连接到OPC服务器,通过调用IOPCBrowse DCOM接口获取敏感信息 Havex 深度解析智能工业控制网络安全专家 方程式的攻击目标:以工业控制设施为主 它所瞄准的不是 个人用户,或普 通的商业用户, 而是一个国家的 关键设施、经济 命脉。 它的目的不是普通 病毒的窃取信息、 经济诈骗,而是破 坏工业生产,制造 社会混乱,乃至直 接打击军事设施。 多种证据显示, “方程式”跟美 国国家安全局、 以色列情报机 构、以及英国军 方具有密切的联 系。 结论:“方程 式”是一种主要 以工业控制网络 为目标的病毒武 器。智能工业控制网络安全专家 方程式的攻击目标:以美国敌国为主 欧洲、北美、日 本 、澳洲等地区是世界 上经济最发达地区,拥 有最多的计算机和最高 的互联网普及率,从概 率上而言,这些国家感 染病毒的几率应该也是 最高的。但实际上,他 们的感染率却是最低 的。 感染“方程式”最 多的国家,除了俄罗斯 和中国以外,伊朗、巴 基斯坦、阿富汗、叙利 亚等国,都是比较落后 的国家,计算机和互联 网的使用率都很低。 凡是美国和它的盟 国,感染率都很低, 凡是美国的敌国或美 国蓄意打压的国家, 病毒感染率都名列前 茅。智能工业控制网络安全专家 知己知彼:方程式的工具组件 • “ 程式组织” 发展了极为强大的“ 军火库” , 恶意间谍软件至少包括 EquationLaser、EquationDrug、DoubleFantasy、TripleFantasy、 Fanny 、Gray Fish等。智能工业控制网络安全专家 知己知彼:方程式的硬盘感染能力 • “方程式”可以对数十种常 见品牌的硬盘固件进行重新 编程的。包括三星、西数、 希捷、迈拓、东芝以及日立 等公司。这些受到感染的硬 盘使得攻击者可以持续的对 受害者的计算机进行控制和 数据窃取。是首个已知的能 够直接感染硬盘的恶意软 件。 • 方程式特别强化了其驻留硬 盘的能力,躲过杀毒软件、 操作系统重装、乃至硬盘格 式化。智能工业控制网络安全专家 知己知彼:方程式的隔绝网络感染能力 病1 毒会通过网络,感染某台能够上网的电脑A。 2 3 4 • 隔离网络在工控中应用广泛, “方程式”病毒特别擅长攻击隔离 网络,并在隔离网络和互联网之间传送信息。步骤如下: 5 6 7 当电脑A插入某个U盘时,这个U盘也会被感染。 当被隔离的电脑B需要拷贝文件,插入被感染的U盘时,电脑B被感染。 病毒会从电脑B以及跟它联网的其他设备中收集信息,保存到U盘上。 当这个U盘又被拿出去,接到电脑A上时,前面收集到的信息,则会通过网络 传回病毒的服务器。 服务器会分析通过U盘收集到的电脑B、以及电脑B所在网络的信息,发出进 一步的命令,存储在U盘之中。 当U盘再次插入电脑B,则那些命令将会自动执行,执行更有针对性的窃取和 破坏行为。智能工业控制网络安全专家 沙虫攻击概述 • 沙虫攻击主要源自微软Windows对PowerPoint文件的处理错误,影响几乎所有 的Windows版本。通过利用该漏洞可以通过OFFICE文档嵌入恶意程序,造成任意 代码执行,从而让黑客完全控制被攻击的电脑。 • 在针对能源企业的事件中,攻击者通过沙虫攻击入侵了目标主机后使用了GE Cimplicity HMI软件的一个安全漏洞进一步控制了现场的HMI主机,植入木马用 于窃取数据或进行其他工作。智能工业控制网络安全专家 沙虫攻击概述 • 通过分析恶意的工程文件(poc)的16进制数据流能够发现恶意嵌入的命令, 当用户打开该工程文件时,就会执行恶意嵌入的命令,打开如下的工程文 件会在用户界面弹出一个计算器。智能工业控制网络安全专家 工业控制系统安全防护技术 • 工业防火墙功能: • 支持多种工业控制协议 • 支持OPC协议 • 支持指令集的白名单控制 • 支持阈值的控制 • 日志记录及使用统计 • 其它安全机制 • 下一代智能防火墙功能: • 工业协议智能建模深度解析 • 智能配置访问控制规则 • 隐形防攻击 工控防火墙 下一代智能 工控防火墙智能工业控制网络安全专家 工业控制系统安全防护技术 • 抓包分析技术 抓包分析技术是从微 观上保证网络安全的技术 手段,通过捕获网络中传 输的数据包并对数据包进 行统计和分析,可以从中 了解协议的实现情况、是 否存在网络攻击等,为制 定安全策略及进行安全审 计提供直接的依据。抓包 分析技术是实现工业防火 墙、工控审计系统、工业 协议防护等防护技术和策 略的基础。 工控审计系统智能工业控制网络安全专家 工业控制系统安全防护技术 • 工控漏洞扫描技术 传统网络安全漏洞挖掘技术可以预先发现网络安全漏洞,提前采取 补救措施,从而预防网络安全事故的发生。网络安全漏洞挖掘技术通常 包括漏洞扫描和模拟攻击两种。 • 漏洞扫描:通过与目标主机TCP/IP端口建立连接并请求某些服务(如 FTP,HTTP等),记录目标主机的应答,从而收集目标系统的安全漏 洞信息。 • 模拟攻击:通过模拟攻击的方法,如:IP欺骗、缓冲区溢出、DOS攻 击等方法对目标系统可能存在的已知安全漏洞进行逐项检查,从而发 现系统的安全漏洞所在。智能工业控制网络安全专家 工业控制系统安全防护技术 工控漏洞扫描过程: • 首先进行端口扫描,获取目标工控设备、工控软件等指纹信息; • 通过获取的指纹信息识别目标系统的种类、型号或版本等,将这些相 关信息与网络漏洞扫描系统提供的漏洞库进行匹配,查询相关安全漏 洞。 系统漏洞库 扫描引擎模块 规则匹配库 扫描客户端模块 5 漏洞数据 2 扫描方法 3 扫描网络 4 主机响应 1 扫描命令 6 扫描结果智能工业控制网络安全专家 工业控制系统安全防护技术 • 网络隔离技术 网络隔离技术的目标是确保隔离有害的攻击,在可信网络之外和保 证可信网络内部信息不外泄的前提下,完成网间数据的安全交换。 网络隔离技术相对于防火墙技术的优势在于:防火墙的思路是在保 障互联互通的前提下,尽可能安全;而网络隔离的思路是在必须保证安 全的前提下,尽可能支持数据交换,如果不安全则断开。网络隔离技术 可以解决以下问题: Ø 操作系统漏洞 Ø TCP/IP 漏洞 Ø 应用协议漏洞 Ø 链路连接漏洞 Ø 安全策略漏洞 Ø 文件带有病毒/ 恶意代码等。 工控安全隔离网关智能工业控制网络安全专家 工业控制系统安全防护技术 • 单向导入技术 单向导入技术的工作原理类似于“二极管”单向导电的特性,采用 硬件架构设计使数据仅能从外网主机(非信任端)传输至内网主机(信 任端),中间没有任何形式的反馈信号,所有需要“握手”确认的通信 协议在信息单向导入系统中都会失去意义。智能工业控制网络安全专家 • 白名单技术 运用白名单的思想,通过对工控网络流量、工作站软件运行状 态等进行监控,运用大数据技术收集并分析流量数据及工作站状 态,建立工控系统及网络正常工作的安全模型,进而构筑工业控制 系统的可靠运行环境。 • 只有可信任的 设备,才允许接入控制网络; • 只有可信任的 命令,才能在网络上传输; • 只有可信任的 软件,才能在主机上执行。 工业控制系统安全防护技术 工控主机防护系统 工控防火墙智能工业控制网络安全专家 目 录 01 02 03 工控事件攻击技术概述 工控系统安全防护技术 工控系统防护体系思考 04 工控系统安全解决方案 05 结束语 信息化和软件服务业司智能工业控制网络安全专家 工业控制系统安全的现实 • 我们面临的尴尬 • 工业控制设备是个“黑盒” Ø 是否存在后门? Ø 是否存在漏洞? Ø 是否存在无线发射装置? Ø 是否存在网络探测或窃密行为? • 我们怎么办? • 现阶段无法彻底解决。 • 充分考虑这个前提。 • 尽可能将风险控制在最小范围。 • 尽可能将损失降到最低。智能工业控制网络安全专家 • 网络专用:工业控制系统应当使用专用的网络设备独立组网, 专网专用。在物理层面上实现与互联网及外部公共信息网的安 全隔离; • 安全分区:根据工业控制系统业务的重要性、功能等因素可分 为若干个安全区域,各安全区采取措施相互隔离; • 环境可靠:应从工控系统设备准入、网络通信、主机程序等方 面构建白名单可靠运行环境; • 纵深防御:建立多层次、多手段的技术安全防护体系; • 综合审计:建立多综合立体审计体系,包括设备接入审计、网 络审计、应用审计及外部维修接入设备审计等; • 动态监控:通过实时数据搜集大数据分析,实时动态发现工业 控制系统网络中的风险并及时预警。 信息化和软件服务业司 工业控制系统信息安全技术防护体系思考智能工业控制网络安全专家 • 识别功能组 • 建立安全区域的第一步是识别所有的功能组,以确定每隔区域的组成 及其边界所在。 • 功能组直接参与或负责特定的功能。 • 识别功能组时,需要对资产、系统、用户、协议和其他元素进行评估。 • 尝试对两个元素进行分离,比如资产中分离出协议,如果能够分离且 不影响其主要功能,那么他们就属于不同功能组。 • 需要考虑的功能组包括:控制回路、监控系统、控制流程、控制数据 存储、用户群体及协议等。 工业控制系统安全分区智能工业控制网络安全专家 工业控制系统安全分区 • 基于控制过程建立功能组 如果主控制器或主终端单元(MTU)是用来管理多个人机界面HMI, 由MTU负责一个较大的控制过程,那么MTU和这些HMI属于构成另一个功 能组,该设备MTU代表了另一种功能组的根,而MTU功能的实现往往需要 Historian和ICCP Server,所以这两个设备也被包括此功能组。智能工业控制网络安全专家 • 随着越来越多的安全事件的发生,工业控制系统面临着前所未有的安全挑 战 • 工控安全不是一个单纯的技术问题,而是一个从意识培养开始, 涉及到管理、流程、架构、技术、产品等各方面的系统工程 • 工控安全需要工控系统的管理方、运营方、集成商、安全产品提 供商、组件提供商的共同参与,协同工作 • 全生命周期安全管理及技术上纵深防御是应对工控安全挑战 的现实方法 • 工控安全是一个动态过程,需要在整个工业控制系统生命周期的各个阶段 中持续实施,不断改进 信息化和软件服务业司 结束语
部分内容预览 [文件共58页]
本文件共58页, 只能预览部分内容,查看全部内容需要下载
注:预览效果可能会出现部分文字乱码(如口口口)、内容显示不全等问题,下载是正常的。
文件大小:4.88 MB 共58页      文件格式:PDF
下载点数:19 点(VIP会员免费)
收藏本页到会员中心
网友评论 more
创想安科网站简介会员服务广告服务业务合作提交需求会员中心在线投稿版权声明友情链接联系我们