《国利网安:2022工业控制系统安全威胁白皮书(20页).pdf》由会员分享,可在线阅读,更多相关《国利网安:2022工业控制系统安全威胁白皮书(20页).pdf(20页珍藏版)》请在三个皮匠报告上搜索。
1、编制单位浙江国利网安科技有限公司 中国电子信息产业集团有限公司第六研究所工业控制系统信息安全技术国家工程研究中心 Industry Control System Threats-2022工业控制系统安全威胁白皮书 目录 前言.I 一、工业控制系统信息安全概述.1 1、工业控制系统信息安全的定义.1 2、工业控制系统的典型架构.1 二、工业控制系统杀伤链模型.2 1、工业控制系统杀伤链模型介绍.2 2、工控系统与 IT 系统杀伤链模型的区别.3 三、工业控制系统的主要安全威胁.4 1、现场设备的毁伤.4 2、控制系统的毁伤.6 3、工控协议缺陷.7 4、含有已知漏洞的软件.8 5、恶意软件.9
2、6、社会工程学攻击.10 7、洪泛攻击.10 8、中间人攻击.11 9、无线端攻击.11 四、工业控制安全解决方案.13 1、攻击前段防护方案.13 2、攻击中段防护方案.14 3、攻击后段防护方案.16 工业控制系统安全威胁白皮书 I 前言前言 当前,全球工业经济加快数字化转型,工业制造进入 4.0 时代。同时,伴随着国家工业化、信息化的“两化”融合,现代工业控制系统广泛采用通用网络设备和 IT 设施,并且以各种方式接入互联网,从而打破了这些系统原有的封闭性和专用性。由于工业控制系统在最初建设时未考虑来自网络的威胁,因此,病毒、木马等各种恶意软件迅速向工业控制系统扩散,给系统带来严重威胁。世
3、界范围内继“震网”病毒事件后又接连发生重大的工业控制系统安全事件,将工业控制系统安全推向了一个新的高度。如何防微杜渐,防止工业控制系统安全事件的再次发生,构筑安全的工业控制系统,已经成为政府和企业关注的热点。针对工业控制系统信息安全风险日益加剧的情况,国家标准化管理委员会陆续发布了等保 2.0 系列标准族和关键信息基础设施安全保护要求,工信部先后发布工业控制系统信息安全行动计划(2018-2020 年)和加强工业互联网安全工作的指导意见等系列文件,明确了建立工业控制系统安全保障体系的目标和主要任务,指导企业优化工业控制安全管理与技术防护手段。本白皮书在深入分析工业控制系统安全挑战的基础上,从工
4、业控制系统的杀伤链模型角度,结合实际的攻击案例,整理了工业控制系统面临的主要安全威胁,并提出了对工业控制系统的安全防护总体策略。为工业企业和安全人员提供了工业控制系统的安全防护思路,促进了企业工业控制系统的安全部署。浙江国利网安科技有限公司 中国电子信息产业集团有限公司第六研究所 工业控制系统信息安全技术国家工程研究中心 工业控制系统安全威胁白皮书 1 一、工业控制系统信息安全概述 一、工业控制系统信息安全概述 1、工业控制系统信息安全的定义 1、工业控制系统信息安全的定义 工业控制系统信息安全,是指基于计算机系统建立和维护防御措施,使得系统资源能够免于非授权或意外的访问、修改和破坏,保证非授
5、权人员和系统既无法修改软件及其数据也无法访问系统功能,同时不影响授权人员和系统的正常访问。工业控制系统的信息安全威胁不仅可能造成企业的内部敏感数据丢失,更严重的还可能导致工业生产过程发生故障,从而造成人员伤亡以及设备损坏,其直接生命财产的损失是巨大的,甚至有可能引起社会问题和环境问题。2、工业控制系统的典型架构 2、工业控制系统的典型架构 工业控制系统按照从上到下的结构,可以分为企业管理层、生产管理层、过程监控层、现场控制层和现场设备层。其中,企业管理层具备传统 IT 系统的属性,该层部署了常见的 ERP 系统、WEB 服务器、OA 系统等。其他各层是工业控制系统所特有的,部署了工业控制系统中
6、的 SCADA、DCS、PLC 等软硬件系统。典型的工业控制系统架构如图 1 所示。图 1 工业控制系统典型架构图 图 1 工业控制系统典型架构图 工业控制系统安全威胁白皮书 2 二、工业控制系统杀伤链模型 二、工业控制系统杀伤链模型 洛克希德马丁公司提出了网络攻击杀伤链模型,用来完整描述网络攻击的整个过程。我们结合工业控制系统自身的特点,如隔离性、生产过程不可中断性等,在网络攻击杀伤链模型的基础上针对工控系统做出重要补充,提出了工业控制系统杀伤链模型,完整描述了针对工业控制系统的网络攻击。工业控制系统网络杀伤链的不同阶段对应攻击的不同步骤,该模型有助于帮助工业企业和安全研究人员了解攻击是如何
7、发生的,并为制定应对措施提供支撑。1、工业控制系统杀伤链模型介绍 1、工业控制系统杀伤链模型介绍(1)目标侦察(reconnaissance)(1)目标侦察(reconnaissance)该阶段攻击者将收集有关被攻击目标的所有可得信息。包括目标的 IP 地址、目标主机开放的服务和端口、目标所运行操作系统或软件的版本信息等。攻击者收集到有关目标的信息后,会进行进一步处理,挖掘出这些公开资料中隐藏的更多细节信息,为后续的进一步攻击提供支持。此外,攻击者还会收集有关企业以及员工的信息,如员工的社交网站信息等,这些信息可以应用于后续的社会工程学攻击中。(2)武器化(weaponization)(2)武
8、器化(weaponization)基于前期收集到的有关目标的信息,攻击者可以定制特定软件或者后台服务的漏洞利用工具,结合后门程序,组合制作出一个可以用于攻击目标的武器。(3)载荷投送(delivery)(3)载荷投送(delivery)攻击者将网络武器包投递到目标的过程。此过程中,攻击者可以通过发送一封钓鱼邮件,诱导用户安装恶意软件;或者利用前期收集到的目标的开放端口,直接攻击目标的后台服务,整个过程中不需要用户的交互操作,具有更强的隐蔽性和更高的成功率。(4)漏洞利用(exploitation)(4)漏洞利用(exploitation)在目标系统上运行利用代码,根据具体的漏洞的利用效果,如
9、RCE、DoS 等,在目标系统上达到预定的目的。漏洞利用是杀伤链中比较重要的阶段,攻击者通过一些 0day 漏洞可以绕过工控系统中的防御措施,成功进入目标系统。工业控制系统安全威胁白皮书 3 (5)触发、安装植入(installation)(5)触发、安装植入(installation)攻击者一旦进入到目标系统,就会安装一些恶意软件以便实现对目标系统的长期控制,该阶段的恶意软件的种类包括远控工具、文件上传/下载工具、日志清理工具等,为后续的控制和破坏提供保障。(6)后门、指挥和控制(command and control)(6)后门、指挥和控制(command and control)攻击者希
10、望尽可能减少访问攻击对象的时间,同时保持对目标的长期控制。持久化是通过在被攻击的目标上安装后门程序来实现的。精心编写的后门程序能够在运维人员采取重启、更改凭据等措施后,仍然可以让计算机再次感染病毒或维持其现有连接。(7)C2 通道、目标行动(actions on objective)(7)C2 通道、目标行动(actions on objective)攻击者在利用单个系统漏洞后,通常会建立 C&C 通道,并尝试在网络内进行横向移动。甚至通常一次只针对单个系统的勒索软件也试图在网络中移动以寻找其它攻击目标。攻击者通常会先寻找一个落脚点,然后开始在各个系统中移动,寻找并渗透具有更高访问权限的主机,
11、以期达成最终目标。(8)毁伤(destroy)(8)毁伤(destroy)攻击者在成功进入工业控制系统之后,会对系统进行相应的破坏,如篡改关键参数、修改控制逻辑或者对上位机进行破坏致瘫等,甚至开始针对生产装置进行损毁,此类攻击造成的后果往往不可恢复,对企业的生产过程产生严重影响。图 2 工业控制系统杀伤链模型 图 2 工业控制系统杀伤链模型 2、工控系统与 IT 系统杀伤链模型的区别 2、工控系统与 IT 系统杀伤链模型的区别 工控系统的建设以系统的安全可靠生产为首要目标,系统的入侵者在获取到了系统的权限后,并不以盗取企业用户的敏感信息为主要目标,而是更加关注对工业企业整个生产过程的破坏,影响
12、工厂的正常运转。该阶段的攻击对应工控系统杀伤链模型中的毁伤阶段,这是工控系统与传统的 IT 系统的主要区别。为此,攻击者在进入系统之后,会进行最后一步的攻击,即对于设备的毁伤攻击,这个过程包括两个方面,一是对于现场设备(如各种生产装置)的毁伤,工业控制系统安全威胁白皮书 4 一是对于控制系统的毁伤。对现场设备进行毁伤,攻击者可以通过修改现场设备的配置参数,导致现场设备出现故障。而对于控制系统的毁伤,攻击者往往通过对工控系统中的计算机、控制器以及通信网络的破坏来影响整个工业企业的正常运转,如将上位机的硬盘数据清空,或者直接修改控制器的组态逻辑导致设备失控或损毁。图 3 毁伤方式及其危害 图 3
13、毁伤方式及其危害 三、工业控制系统的主要安全威胁 三、工业控制系统的主要安全威胁 工业控制系统与传统 IT 系统一样,也面临着各种各样的渗透攻击。为了更加明确的描述各种攻击行为的危害程度,我们从攻击行为对于工控系统的破坏程度和攻击行为适用的范围两个维度对攻击的危害程度进行了排序,得到了工业控制系统面临的主要安全威胁。1、现场设备的毁伤 1、现场设备的毁伤 现场设备的毁伤是指攻击者对于工业生产过程中的生产设备的破坏,导致整个生产过程无法正常进行的一种攻击方式。该威胁对应于工业控制系统杀伤链的毁伤阶段。工控系统更加注重整个系统的可靠性,这与传统的 IT 系统更加注重对系统的数据保护有所区别。因此,
14、针对工控系统的毁伤攻击,会给系统带来更加严重的危害。攻击者在进入系统之后,可以通过修改现场设备的配置参数或者修改整工业控制系统安全威胁白皮书 5 个控制系统的逻辑来影响生产过程的正常进行,给企业带来巨大的损失。2022 年 6 月 27 日,黑客组织 Gonjeshke Darande 组织攻击了伊朗三大钢铁公司,并分享了胡齐斯坦钢铁厂的闭路影像,显示钢坯生产线上的一台重型机械发生故障并引发大火。这是典型的工控系统攻击中针对现场设备的毁伤攻击。2017 年 11 月中旬,TRITON 攻击了中东地区的一个工业企业,它是针对施耐德电气的 Triconex 安全仪表系统(SIS)定制的具有破坏性的
15、攻击武器,它能够更换最终控制单元中的逻辑。TRITON 具有高度针对性,不会对其他施耐德电气客户构成直接威胁,其他SIS 产品也不会受到威胁。此次攻击事件中,攻击者的长期目标是引起物理破坏,即攻击者最初在 DCS 上获得了可靠的立足点,并且已经具备了操纵流程或关闭工厂的能力,之后攻击者进一步危害了 SIS 系统。被入侵的 DCS 和 SIS 系统将使攻击者最大限度的对物理装置造成破坏。攻击者在一段时间内进行了多次尝试,为此目标环境中的 SIS 控制器提供功能控制逻辑。虽然由于 SIS 系统对攻击脚本的限制而导致攻击尝试失败,但攻击者仍然在不停的测试。这表明攻击者意图在造成关闭过程之外的特定结果
16、。图 4 TRITON 攻击过程 图 4 TRITON 攻击过程 2010 年“震网”病毒攻击了伊朗核设施,成功毁坏了伊朗近 1/5的离心机,感染了 20 多万台计算机,导致 1000 台机器物理退化,并使得伊朗核计划倒退了两年。“震网”病毒通过修改程序命令,使生产浓缩铀的离心机异常加速,超过设计极限,最终致使离心机报废。同时,“震网”具有很强的隐蔽性,正常情况下,工业控制系统中的离心机发生故障之时,程序会向主控系统报错,通知控制中心的工程师。在“震网”病毒控制伊朗核设施系统后,通过修改程序指令,阻止报错机制的正常运行。即便离心机发生损坏,报错指令也不会传达到主控端,致使伊朗核设施的工作人员的
17、监视画面显示一切正常。工业控制系统安全威胁白皮书 6 图图 5 5 “震网”病毒的攻击路径“震网”病毒的攻击路径 2 2、控制系统的毁伤、控制系统的毁伤 控制系统的毁伤是指攻击者针对工控系统中的控制系统进行破坏,从而影响整个生产过程的攻击。攻击者对控制系统的攻击向量主要针对上位机和控制器等,通过破坏上位机或者控制器上的软件及数据,实现影响工控系统正常运行的目的。另外,针对上位机的毁伤虽然会对整个生产过程产生不利影响,但其严重程度却远不及针对现场设备的毁伤。这是因为,针对上位机的毁伤,仅仅是导致了上位机无法运行,工业企业可以通过重装系统等方式快速恢复生产。2021 年 5 月 7 日,美国最大成
18、品油管道公司 ColonialPipeline 被勒索软件攻击,勒索软件实际上是将控制系统中的监控层计算机进行锁定,导致控制设备不能正常运行而导致整个油气管网输送停滞。为了避免造成更大影响,该公司主动切断部分系统网络,暂停所有管道运营。2015 年黑客使用 BlackEnergy 来攻击乌克兰的电网,BlackEnergy 最初版本出现在 2007 年,即 BlackEnergy1,后续又出现了新的变种 BlackEnergy2 和BlackEnergy3。在针对乌克兰电网的攻击中,攻击者利用 BlackEnergy 中的新型KillDisk 组件对乌克兰境内电网系统进行攻击,该组件能够将计算
19、机中的硬盘进行清零,当核心计算机中的硬盘被清零,很难通过重启等手段进行快速恢复,导致整个电力网络异常,值得注意的是本次停电事故并未造成电力系统本身设备的损毁。工业控制系统安全威胁白皮书 7 3 3、工控协议缺陷、工控协议缺陷 攻击者利用工业控制网络中的协议在设计和实现上的缺陷,对工控系统发起攻击,给系统带来安全威胁。工控协议的缺陷分为两大类:协议设计缺陷和协议功能实现缺陷。(1)在工业控制系统中,访问控制(Access Control)是对用户合法使用资源的认证和控制,是根据相关授权,控制对特定资源的访问,从而防止一些非法用户的访问或者合法用户的不正当使用,以确保整个系统资源能够被合理正当地利
20、用。然而,一些工控协议在设计时未考虑安全认证机制,导致攻击者可以通过构造特定的数据包,绕过身份验证,从而获取对系统资源的访问权限。进一步的,攻击者在进入系统之后,可以通过伪造数据包等方式来伪装成上位机与控制器进行通信,给系统带来严重威胁。工控系统中常用的 PROFIBUS 协议存在着身份认证绕过的风险。在 PROFIBUS协议的通信过程中,没有任何认证方面的相关定义,攻击者只需要找到一个合法的地址就可以使用功能码并建立一个 PROFIBUS 通信会话,从而扰乱整个或者部分控制过程。而且,PROFIBUS 协议没有基于角色的访问控制机制,也没有对用户进行分类,没有对用户的权限进行划分,这会导致任
21、意用户可以执行任意功能。(2)工控系统的各个厂商在制定并实现其私有协议时,会存在一些实现上的缺陷。如,处理某些字段的功能码时,未考虑一些特殊的功能码,导致协议存在缺陷。攻击者可以通过分析调试发现这些缺陷,并对其中的严重缺陷进行利用。工控系统中常用的 Modbus TCP 协议即存在功能码滥用的缺陷。功能码是Modbus 协议中的一项重要内容,几乎所有的通信都包含功能码。目前,功能码滥用是导致 Modbus 网络异常的一个主要因素。例如,不合法报文长度、短周期的无用命令、不正确的报文长度、确认异常代码延迟等都有可能导致拒绝服务攻击。2021 年 4 月 15 日,美国网络安全和基础设施安全局(C
22、ISA)发布安全警告,称在 OpENer EtherNet/IP 协议栈中发现了多个安全漏洞,攻击者利用这些漏洞可以发起 DoS 攻击、获取敏感数据、远程执行代码等。CISA 发布的对应的工控协议安全漏洞共有 5 个,分别是 CVE-2021-27478、CVE-2020-13556、CVE-2021-工业控制系统安全威胁白皮书 8 27482、CVE-2021-27500、CVE-2021-27498。其中,CVE-2020-13556 漏洞是越界写漏洞,攻击者利用伪造的网络请求可以引发远程代码执行。CVE-2021-27482 漏洞是越界读漏洞,攻击者利用伪造的请求可以读取设备上的任意数据
23、。CVE-2021-27478、CVE-2021-27500 和 CVE-2021-27498 使攻击者可以通过发送给设备的伪造请求引发 DoS 攻击。4 4、含有已知漏洞的软件、含有已知漏洞的软件 攻击者可以利用工业控制系统程序中的某些漏洞,来得到计算机的控制权,使自己编写的代码越过具有漏洞的程序的限制,从而获得运行权限。漏洞利用链允许攻击者通过使用正常系统进程中的漏洞,绕过众多防御机制来快速提高自己的权限,从而融入组织的环境中。虽然漏洞利用链攻击通常需要花费攻击者更多的时间、精力和专业技能,但将漏洞利用组合在一起,允许恶意行为者执行更复杂且难以修复的攻击,具体取决于漏洞序列的长度和复杂程度
24、。由于工控系统的特殊性,安装漏洞的补丁程序可能会影响正常的生产过程,因此,工控系统的漏洞补丁更新频率很低,正在运行的系统中使用了存在大量已知漏洞的软件,这给攻击者提供了便利。2022 年 10 月,西门子 Simatic PLC 可编程逻辑控制器中爆出一个高危漏洞,CVSS 评分高达 9.3,该漏洞可被利用来检索硬编码的全局私有加密密钥并夺取对设备的控制权。攻击者可以使用这些密钥对西门子 SIMATIC 设备和相关的TIA Portal 执行多种高级攻击,同时绕过其所有四个访问级别的安全保护。与此类似,2021 年罗克韦尔自动化 PLC 中发现一个高危漏洞(CVE-2021-22681),攻击
25、者利用此漏洞能够对控制器实施远程连接,上传恶意代码,从 PLC下载信息,或安装新固件等恶意行为。2020 年,西门子的多款工业交换机被爆出存在高危漏洞,利用这些漏洞,攻击者能够远程窃取网络传输的工控指令、账户密码等敏感信息,或者发动中间人攻击,使得整个网络完全暴露在攻击者面前。同时,攻击者可以直接对联网工控设备下达停止、销毁、开启、关闭等各种指令,甚至在系统内植入木马病毒,直工业控制系统安全威胁白皮书 9 接关停现场生产设备。工业控制系统频频爆出高危安全漏洞,然而,工业企业的软硬件升级过程却远远落后于此。导致工业企业的系统中存在大量的已知高危漏洞,严重影响了企业的系统安全。5 5、恶意软件、恶
26、意软件 恶意软件(Malware)泛指所有以危害计算机或计算机上运行的软件为企图的软件。恶意软件具有如下共同特征:恶意的目的、本身是计算机程序、通过执行发生作用。常见的恶意软件类型有:广告软件(adware)、间谍软件(spyware)、恶意共享软件(malicious shareware)等。僵尸网络是一类常见的恶意软件,虽然僵尸网络代理的破坏性活动并非专门设计用于破坏任何工控系统的运行,但感染这类恶意软件可能对工业基础设施的一部分造成严重威胁,导致网络故障、感染系统和网络上其他设备。恶意软件在其代码中包含错误,并与控制工业基础设施的软件不兼容,这可能会导致工业生产流程的中断。常见的僵尸网络
27、类型如下图所示。图图 6 6 常见的僵尸网络常见的僵尸网络 2017 年 5 月爆发了“WannaCry”勒索病毒,微软早在当年 3 月就发布了该病毒所利用漏洞的安全补丁,但很多工业企业单位一直没有升级相关补丁,导致国内近 30 万台主机和电脑被感染。直到现在,很多企业每天仍有近千台电脑感染此勒索病毒。工业控制系统安全威胁白皮书 10 我国在水利、石油石化、电力、钢铁、汽车制造以及其他关键制造业遭受到不同层次的 WannaCry 和挖矿病毒的攻击,大多数都导致了企业的工业主机出现蓝屏,反复重启、甚至数据被加密等。6 6、社会工程学攻击、社会工程学攻击 社会工程学攻击是指诱使访问者执行某些危险操
28、作的攻击,例如诱使访问者透露机密信息或下载恶意软件,它是让受害者遵从攻击者的意志,行使攻击者的意愿的一种技术手段。社会工程学攻击常见的形式是钓鱼式攻击。钓鱼式攻击是攻击者通过发送欺诈性的信息来对受害者的敏感信息(如账号、密码或电话号码等),进行窃取或者在受害者的主机上安装恶意软件的攻击。2015 年针对乌克兰电网的攻击中,攻击者即使用了鱼叉式钓鱼邮件等社会工程学攻击的方法,成功将恶意软件植入到了目标系统中。APT33 针对工业控制系统的恶意活动主要使用鱼叉式钓鱼和水坑攻击。该组织的鱼叉式网络钓鱼组件使用恶意的、启用宏的 Microsoft Office 文档来运载PowerShell 脚本。脚
29、本将会在线下载一个经过恶意篡改的合法安装程序(例如:Flash、Citrix 客户端、Chrome)。将安装程序下载到受害者的计算机后,将会运行 PowerSploit 脚本,随后下载并执行功能完备的 Puby 后门程序。7 7、洪泛、洪泛攻击攻击 洪泛攻击是一种恶意尝试行为,旨在影响合法的终端用户对目标系统的可用性。通常,攻击者会生成大量数据包或请求,最终使目标系统不堪重负,达到拒绝服务(DoS)的效果。在发生分布式拒绝服务(DDoS)攻击时,攻击者使用多个受控的主机发送攻击数据包。由于工控系统具有一定的隔离性,洪泛攻击需要攻击者先渗透进入系统才能在工业控制系统的内网发起攻击。虽然此种攻击方
30、式需要较高的前提条件,但是攻击造成的损害却是十分严重的,会直接影响整个生产过程。2019 年美国 sPower 电力供应商所遭受的网络信息安全攻击,便是典型的DoS 攻击事件。sPower 是美国最大的私人太阳能电力供应商,2019 年 3 月黑客利用电力系统中的已知漏洞进行长达 12 个小时的攻击,反复中断操作人员与 12工业控制系统安全威胁白皮书 11 个发电站的通讯,使得十多个风电场与太阳能农场的供电出现短暂无法使用的状况。2006 年 8 月,美国阿拉巴马州的 Browns Ferry 核电站 3 号机组受到网络攻击,反应堆再循环泵和冷凝除矿控制器工作失灵,导致 3 号机组被迫关闭。经
31、过调查发现,调节再循环泵马达速度的变频器(VFD)和用于冷凝除矿的可编程逻辑控制器(PLC)中都内嵌了微处理器。通过微处理器,VFD 和 PLC 可以在以太局域网中接受广播式数据通讯。但是,由于当天核电站局域网中出现了通信洪流,VFD 和 PLC 无法及时处理,致使两设备瘫痪。8 8、中间人攻击中间人攻击 中间人攻击是一种窃听攻击,在这种攻击中,攻击者阻碍了发送方和接收方之间的通信和数据传输。攻击者在通信串之间充当第三方,试图拦截、窃取或修改数据,破坏通信。S7 Communication 是西门子为了多个 PLC 之间、SCADA 与 PLC 之间的通信而设计的专属协议。在西门子 S7-30
32、0/400 系列、S7-200 系列、S7-200 Smart 系列上应用。该协议并没有采用会话 ID,整个通信过程是不受任何保护的,中间人可以通过截断、重放、伪造对其进行攻击。9 9、无线端攻击、无线端攻击 工控系统中如果存在无线接入点,攻击者可以通过针对无线端的攻击向量对工业控制系统进行渗透攻击。攻击者除了可以通过干扰无线信号的方式来攻击系统之外,还可以伪造非法接入点,获取用户的敏感信息。2000 年 3 月,澳大利亚昆士兰新建的马卢奇污水处理厂出现故障,故障表现为,无线连接信号丢失、污水泵工作异常、报警器也没有报警。经过调查后发现是该厂前工程师 Vitek Boden 因不满工作续约被拒
33、而蓄意报复所为。Vitek Boden 通过一台手提电脑和一个无线发射器控制 150 个污水泵站长达三个多月,在此期间,共计有 100 万公升的污水未经处理直接经雨水渠排入自然水系,进而导致当地环境受到严重破坏。通过以上分析可以看出,不同类别的安全威胁都可能影响到工控系统的正常工业控制系统安全威胁白皮书 12 运行。同时工控系统漏洞的爆发也说明工控威胁正在逐渐升高。根据 CNVD(国家信息安全漏洞共享平台)的统计数据,2010-2022 年工控漏洞走势如下图所示。从图中可以看出,2016 年之后工控漏洞数量显著增长。与 2019 年相比,2020 年漏洞数量呈现出更高的增长趋势,且高危和中危漏
34、洞占绝大多数。图图 7 7 工控系统漏洞统计工控系统漏洞统计 从漏洞分布来看,拒绝服务漏洞数量最多占比最高,达到 103 个,其次为缓冲区溢出漏洞和访问控制漏洞。图图 8 8 工控系统漏洞类型分布工控系统漏洞类型分布 -100.00%-50.00%0.00%50.00%100.00%150.00%0050060070020000202021202211-22年工业漏洞趋势图漏洞数量漏洞增长率工业控制系统安全威胁白皮书 13 四、工业控制安全解决方案四、工业控制安全解决方案 工业控制系统的特性,决定了需要一些
35、特殊的信息安全技术和措施,来保证在工业生产过程中的 PLC、RTU、DCS、SCADA 系统的安全。基于以上安全威胁的分析,为了保证工业控制系统的功能稳定,并在此基础上实现工业控制系统信息安全,需要结合工业控制系统杀伤链模型提出针对工业控制系统的安全解决方案。构筑工业控制系统信息安全攻击前段、攻击中段和攻击后段的整体安全防护体系。图图 9 9 工控系统安全分段防护策略工控系统安全分段防护策略 1 1、攻击前段防护策略攻击前段防护策略 攻击前段防护方案针对目标侦察、武器化、载荷投送阶段进行防护,它通过检测识别风险和安全隐患,识别攻击类型、攻击特征、攻击手段等。该阶段强调攻击发生前和攻击发生初期,
36、要具备相应的检测和识别的能力,提前检测和快速检测出攻击相关信息,以备快速制定处理方案。(1)资产测绘 针对工控系统所覆盖的网络设备、数据交互方式以及运行应用与服务特点,将工控系统的资产测绘分为资产普查和风险感知两个层面。资产普查是对工控系统中存活资产数量、设备品牌及型号、开放端口、运行应用、通信协议等进行检测和信息采集。风险感知是在查明所存活资产信息的基础上,对资产所运行的服务是否存在已知漏洞,以及漏洞对资产的影响范围进行检测和评估。(2)入侵检测 入侵检测技术是一种可识别潜在的威胁并迅速地做出应对的网络安全防范办法。入侵检测技术提供了对外部攻击、内部攻击和误操作的实时检测,在不影工业控制系统
37、安全威胁白皮书 14 响网络和主机性能的情况下能对网络和主机的入侵行为进行监测,在发生入侵事件时提供报警。基于传统的入侵检测思路,结合工业控制系统的特点,通过内置大量针对现场实际版本和软硬件环境漏洞库的审计和入侵检测设备,避免传统 IT 方案采用漏扫装置,需要频繁升级特征库且漫无目的扫描而占用大量网络和系统资源,导致生产宕机的风险。该方案针对工业控制系统的各类扫描、探测、漏洞、远程连接、设备控制等行为构建专有的工控入侵行为检测库。采用多维检测、多点信采模式快速检测各类安全威胁。能够及时发现针对工控系统的入侵行为,提升工业企业的整体安全性。(3)漏洞识别 基于漏洞基因知识图谱的漏洞识别技术,主要
38、利用 CVE、CNVD、CNNVD 等公开漏洞库,以及安全研究团队挖掘构建的私有未知漏洞库,提取漏洞相关关键信息,并通过对漏洞相关信息的关联分析,构建图形化的漏洞基因知识图谱数据库,并将通过各种方式搜集到的系统信息与工控设备指纹信息通过智能算法与知识图谱数据进行匹配,最终实现系统漏洞的快速准确识别。(4)态势感知 针对工控系统稳定性和可靠性的需求,建立通用网络数据模型,采取旁路镜像、数据代理等数据采集手段,提取实时数据。通过体系化的工控协议分析,结合机器学习技术,构建工控指纹字典。提取行业业务及其数据流特征,结合工控协议库和恶意行为特征库主动探测恶意行为。2 2、攻击中段防护策略攻击中段防护策
39、略 攻击中段的防护方案主要针对工控系统杀伤链模型的漏洞利用、安装植入、后门控制、目标行动这四个阶段。(1)边界防护/访问控制 工业控制系统中网络相对比较稳定,跨区域跨边界的通信相对较少,通过设置访问控制策略拒绝不可信的所有通信是一种相对安全的做法。对于受控接口内的通信,还需根据源地址、目的地址、源端口、目的端口、应用协议和应用内容工业控制系统安全威胁白皮书 15 等方面进行检查,提供允许/拒绝访问的能力。对于跨区域跨边界的通信,例如OPC、Modbus 等工控协议的通信需要进行基于内容的深度解析。在进行访问控制策略设置时,还要考虑到多余或无效的访问控制规则的问题,从而提高网络隔离设备的工作效率
40、,保证实时性。企业资源层和生产管理层之间依据实际需求设置边界防护设备,保证数据流只能工业控制系统单向流向企业其他系统。工业控制系统网络不同安全区域之间可以通过工业防火墙、虚拟局域网等进行访问控制,根据最小化原则只允许工业控制系统中必须使用的专有协议通过,并对 OPC、Modbus 等工控协议进行深度解析。工业控制系统内部(如现场控制层和现场设备层之间)网络,可以配置交换机 ACL 访问控制列表和端口级访问控制策略。(2)控制行为安全技术 建立运行系统实时控制行为与安全防护措施的多因子耦合模型,分析关键影响因素,采用快速优化算法实现实时性约束下的关键参数最优选择。采用统计方法建立系统控制行为的安
41、全序列模型,基于历史控制行为与当前工作状态,实现控制行为预测,并与当前控制行为进行相似度对比,实现异常控制行为检测,实现对恶意攻击的有效防护。(3)工业主机实时防护 工业主机作为工控系统重要组成部分,其安全性关系到现场业务的正常运行。为保障工控系统工程师站、操作员站等工业主机中运行的工业软件的稳定性,需要针对工业主机提供特殊防护措施。工业主机防护有别于普通的网络,一般会采用“白名单”机制,基于系统内核级防护,系统资源占用极小,能防范各类已知和未知恶意程序的运行、控制 USB 移动存储介质的滥用、对主机系统进行安全加固等。软件自身具有免疫力,能做到主动安全,具有防卸载、数据完整性保护、系统防破坏
42、等特点。可以通过终端防护软件进行各种终端安全防护状态和运行状态的采集,实现对工业主机监测和防护一体化的目的。(4)轻量级密码技术 作为密码算法的使用环境,工控系统具有如下特征:首先它们的应用组件不同于传统的台式机和高性能计算机,而是计算能力相对较弱的嵌入式处理器;其工业控制系统安全威胁白皮书 16 次,由于应用环境的关系,计算可使用存储往往较小;最后考虑到各种设备的功能需求,能耗必须限制在某个范围之内。因此传统密码算法无法很好地适用于这种环境,这就使得受限环境中密码算法的研究成为一个热点问题。适宜资源受限环境使用的密码算法就是所谓的轻量级密码。轻量级密码的设计准则是使用最少的硬件实现代价来达到
43、特定的安全性需求,它一般采用硬件实现方式,固化在设备中。(5)一体化安全管理技术 基于多级协同联动组成一体化主动安全防御系统,将安全管理系统作为控制核心,提供统一的安全管理平台以及快速威胁检测及溯源功能。最终形成典型行业主动防护的设备驱动组件集与工程应用模板,实现多层次、全生命周期的工控系统主动防御机制。3 3、攻击后段防护策略攻击后段防护策略 攻击后的防护是工业控制信息安全防护技术体系中十分重要的部分,此时,攻击者已经成功渗透进入工控系统,接下来就是针对工控系统的毁伤攻击。因此,此阶段的防护方案是保证整个工控系统安全正常运行的最后一道保护措施。(1)针对控制器的防护措施 控制器是生产过程中的
44、重要设备,需要提供专门的防护措施以保证其安全。为此,我们从三个方面提出了针对控制器的防护策略。基于工艺指令语义智能识别的控制器防护技术,根据工艺要求和控制流程,结合 I/O 点表信息,智能识别工控系统应用服务对象、角色关联对象、目标系统安全域对象、目标系统参数安全范围对象,根据识别出来的安全对象,映射生成控制器防护策略规则树。利用业务流程模型和基于规则树的规则推理引擎,根据输入的数据报文的源地址、工控协议进行规则匹配推理,高效匹配工控指令码、参数安全范围等策略规则,并智能执行,使策略匹配性能达到最优,实现业务处理的低时延、可预测,保证了工控系统安全、高效、稳定的运行。基于主被动双重检验技术的组
45、态工程重建和监测技术,实现控制器组态工业控制系统安全威胁白皮书 17 监测、控制器组态程序实时备份以及在安全事件发生后提供应急恢复等手段。采用主被动双重检验的组态工程重建和监测技术,实时测量、收集控制器健康数据,为每个控制器建立全生命周期组态信息管理档案,解决篡改控制器及监控站的组态工程(控制方案)等网络安全事故发生后的一系列工控安全事件应急处置问题,包括事件记录、组态信息归档、决策分析、应急恢复等。为用户提供及时、准确的威胁报警信息、科学有效的应急手段,从而阻止危害事件的发生或使得危害降至最低。控制器组态快照回滚技术是在监测到控制器组态和数据由于受到攻击、由于病毒而发生非法修改或需要引用控制
46、点组态时,能够基于组态备份在第一时间自动或手动将受到篡改的组态进行组态快照回滚,从而阻止危害事件的发生或使得危害降至最低。控制器组态快照回滚技术能够实时校验 PLC 内组态程序校验码,一旦经比对与备份的工程中的校验码不一致,即说明 PLC 内的组态数据受到了篡改,将模拟该品牌 PLC 组态软件的下载行为,对控制器信息进行一致性检查后,记录当前控制前的组态信息,同时切断与该控制器具有通讯/逻辑控制关系的所有设备,防止新旧逻辑的下装瞬间,或恢复至备份状态的过程中组态值的突变引起异常输出,导致设备异动。将已备份的 PLC 组态工程下装至 PLC 中,从而将 PLC 恢复至正常状态。(2)针对工业主机的备份技术 工业主机是企业人员监视、操作生产流程的主要通道,针对工业主机的防护同样是整个安全防护中的重要一环。为了能够在攻击的后段对工业主机进行快速的恢复,降低对生产过程的影响。可以通过主机备份恢复技术,实现对工业主机定期备份,提升厂内运维人员备份效率及简化系统事后恢复流程与操作。