1、OT&核心基础架构安全卜婵敏卜婵敏Fortinet 华东区技术经理OT环境安全威胁环境安全威胁ICS 恶意软件和攻击平面恶意软件和攻击平面 在2018的ICS-CERT发布了114份威胁报告 ICS 恶意软件非常先进 2010-Stuxnet 2013-Havex 2015-BlackEnergy2 2016-Crash Override/Industroyer 2017/2018-Triton 威胁报告分析结果:默认已知的用户名密码 配置错误/软件Bugs 跨站脚本攻击 信息泄露针对核心基础架构的攻击针对核心基础架构的攻击威胁是真实存在的威胁是真实存在的20010 St

2、uxnet破坏了伊朗的核计划 纽约大坝闸门被破坏 德国钢厂炉被毁 汽车变速器和制动器被控制 乌克兰电网脱机 医院药物输液泵被黑 密歇根州的交通灯被黑201820192017 默克制药公司全球生产由于勒索软件停止（损失10亿美元）马士基航运公司由于勒索软件全球业务停摆（损失2.5亿美元）Trisis/Triton：旨在危害工业生产系统安全的恶意软件 全球铝生产商由于勒索软件关闭 IoT设备的搜索引擎 查找开放的端口和服务 允许攻击者查找开放的系统 攻击者可以找到的系统包括：电站,核心基础设置,或其他开放的服务 包含摄像头,路由器,服务器ShodanAutosploit 通过Shodan查找可被攻

3、击的系统 通过Metasploits查找被攻击的弱点 可发起大规模攻击通用工控系统网络架构通用工控系统网络架构ICS 数字化攻击链数字化攻击链乌克兰电网乌克兰电网标准攻击了解敌人的战略了解敌人的战略-知己知彼知己知彼 百战不殆百战不殆2016 2016 Analysis Report(SANS and EAnalysis Report(SANS and E-ISAC)ISAC)March 2015December 23rd,2015攻击时间线计划准备&数字化渗透攻击开发和调优验证ICS 攻击步骤1-入侵(同标准 IT 环境下入侵做对比)步骤2-ICS 攻击感染感染Microsoft Offic

4、e文件文件钓鱼邮件钓鱼邮件BlackEnergy 3VPN&秘钥窃取秘钥窃取网络网络&主机发现主机发现恶意固件开发恶意固件开发SCADA 劫持劫持断路器打开命令断路器打开命令修改修改UPS参数参数上传固件上传固件KillDisk改写改写Power Outage从IT网络渗透到OT网络Fortinets 参考架构参考架构2019 Fortinet Security Fabric Purdue Model,ISA-99,IEC-62443,风险管理框架风险管理框架SECURITYSAFETY特性特性安全对象优先级安全对象优先级中等中等,接受延迟接受延迟Availability requiremen

5、t非常高非常高接受延迟接受延迟Real-time requirement危急危急3-5 年Component lifetime超过20年定期定期/计划性计划性Application of patches慢/不频繁定期委托第三方定期委托第三方Security testing/audit偶尔偶尔成熟度高成熟度高Security awareness逐渐增加逐渐增加可用性需求可用性需求实时性需求实时性需求组件生命周期组件生命周期安全意识安全意识安全测试安全测试/审计审计应用补丁应用补丁可用性可用性保密性保密性完整性完整性可用性可用性保密性保密性完整完整性性ITOTIT和和OT有何不同有何不同控制层次结

6、构的控制层次结构的Purdue模型模型制造系统的基本功能和组成框架在其他模型和行业中采用将设备和设备进行分层基于工厂技术的这种分割，ISA-99/IEC62443制造和控制系统安全委员会确定了水平和逻辑框架Level 5:企业Level 4:现场业务规划和物流Level 3.5 OT 认证边界Level 3:现场制造运营和控制Level 2:区域Level 1:基本控制Level 0:Process企业Zone生产 ZoneCell/Area Zone安全区域安全区域-SISHMISCADAHISTORIANHMI/SCADA MASTERPLC/RTU/IED传感器/传动器Purdue Mo

7、del和IT安全能力对应表EnterpriseZoneDMZOperations and ControlControl AreaZone(s)BoundaryLayersPhysical01Area2Site3IT4Corporate5企业级防火墙身份认证管理恶意行为发现和响应资产发现,可视化,分类终端防御咨询集成和服务管理BasicLevel 3操作 DC 生产区域Level 3.5操作DC DMZ 管理区域FortiGateFortiLinkFortiSwitchPrivate VLANs微分段FortiSwtichRemote UserLevel 4External Enterprise

8、 LAN企业环境Level 5Internet DMZ Enterprise企业环境Remote Vendor区域控制区域和管道微分段物理和虚拟分段Engineering Server Zone HistorianServer Zone Application Server Zone Engineering WorkStation Zone Operator WorkStation Zone Domain ControllerFortiClientEMS ServerFortiAuthenticatorFortiManagerFortiAnalyzerFSSOFortiSandboxForti

9、SIEMFortiMailFortiWebEmail ServersWeb ServersEnterprise DesktopsBusiness ServersFSSOAuthentication Services&Domain ControllersLevel External Internet FortiSwtichFortiGateFortiGateFortiGateFortiGuard Threat Intelligence ServiceFortiGuardGlobal Intelligence将将FortinetFortinet的参考架构应用于的参考架构应用于PurduePurdu

10、e模型模型Wide Area Network MPLS,SD-WAN,3G,4G,APN,VPNADSL,Cable支持的协议支持的协议-BACnet DNP3 Elcom EtherCAT EtherNet/IP HART IEC 60870-6(TASE 2)/ICCP IEC 60870-5-104 IEC 61850支持的应用和供应商支持的应用和供应商-7 Technologies/Schneider Electric ABB Advantech Broadwin CitectSCADA CoDeSys Cogent DATAC Eaton GE Iconics InduSoft In

11、telliCom Measuresoft Microsys MOXA PcVue Progea QNX RealFlex Rockwell Automation RSLogix Siemens Sunway TeeChart VxWorks WellinTech Yokogawa深层包检测(DPI)应用控制协议Modbus,IEC 60870-6(ICCP)and IEC.60870-5.104日志记录到FortiAnalyzer，FortiSIEM和Syslog LONTalk MMS Modbus OPC Profinet S7 SafetyNET Synchrophasor针对已知威胁的

12、可见性和分段保护针对已知威胁的可见性和分段保护 使用攻击PC来对PLC进行攻击 FortiGate 进行攻击防御switchHMIAttacker PCPLCFortiGateImpactDefendAttack现场现场DEMODEMO演示演示基于标准的工业架构框架基于标准的工业架构框架Enterprise Analytics(Private/Cloud/Hybrid)企业服务广域网(WAN):物理或虚拟服务器ERP,EmailActive DirectoryCall Control(Hosted,on-prem,or Hybrid)云端访问Cell/Area#1(冗余的星型拓扑)工业应用服务

13、器Gbps Link forFallover DetectionWebAppsExternalDMZ/Firewall物理或虚拟服务器/应用:补丁管理,应用更新防病毒服务器远程桌面网关服务器Plant Cyber Security(Perimeter):Inter-Zone 流量分段ACLs,IPS,和 ISDVPN 服务Enterprise ZoneLevels 4-5Firewall(Active)Firewall(Standby)IndustrialDemilitarizedZone(IDMZ)物理或虚拟HMIs/服务器/应用:生产系统和应用网络服务:DNS/AD/DHCP/AAA防止和

14、缓解操作系统故障Mobility Services无线连接,定位服务Plant Cyber Security(认证服务)基于角色的认证基于角色的VLAN 和系统访问身份可以是用户或设备Site OperationsLevel 3Radius(AAA)服务器SDN-ReadyArchitectureRASIndustrial ZoneLevels 0-2工厂生产网络:无单点故障适合工业环境,DIN导轨安装支持工业协议增强生产系统可用性弹性，灵活,无处不在数据分段、优先排序数据传输一致性连通性提供可见性并实现数据提取自动化快速部署简单标准管理,数字工厂安全(工业级)控制信令检测支持工业协议降低风险

15、东西向流量防护基于端口的安全和集中认证提供安全的远程接入访问带有POE的工业交换机Cell/Area#2(环形拓扑)Drive ControllerDistributed I/OHMIControllerHMIDriveDriveControllerDistributed I/OHMIAccessSwitchesIdentityServicesWirelessNetworkPlant Analytics(Private/Cloud/Hybrid)Edge Analytics(IoT Edge Devices)Cell/Area#3(线性拓扑)Fiber PatchFiber PatchIndustrial Firewalls数据分析战略，结构和管理