《工業(yè)互聯(lián)網(wǎng)安全技術(shù)基礎(chǔ)》課件- 19-控制軟件安全技術(shù)

IndustrialInternetsecuritytechnologyfoundation工業(yè)互聯(lián)網(wǎng)安全技術(shù)基礎(chǔ)《工業(yè)互聯(lián)網(wǎng)安全技術(shù)基礎(chǔ)》課程組第3章工控控制安全技術(shù)控制軟件安全技術(shù)目錄010203工控惡意軟件實(shí)例工控惡意軟件防御措施工控軟件漏洞修復(fù)一、工控惡意軟件實(shí)例2017年12月，安全研究人員發(fā)現(xiàn)了一款專門針對(duì)工控安全系統(tǒng)的惡意軟件變體，該惡意軟件主要以中東地區(qū)的重要基礎(chǔ)設(shè)施為目標(biāo)展開(kāi)攻擊，并成功造成中東多家能源工廠的運(yùn)營(yíng)中斷。該惡意軟件被研究人員命名為“TRISIS”(或TRITON)惡意軟件。一、工控惡意軟件實(shí)例典型ICS惡意軟件變體2010-震網(wǎng)病毒（Stuxnet）是第一款專門針對(duì)SCADA系統(tǒng)（數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)）和可編程邏輯控制器（PLC）的惡意軟件，曾對(duì)伊朗的核設(shè)施造成了難以估量的損害，最終導(dǎo)致伊朗擁有核武器的時(shí)間延遲了好幾年。

2013-Havex是一款遠(yuǎn)程訪問(wèn)木馬（RAT），被編寫來(lái)感染SCADA系統(tǒng)（數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)）和工控系統(tǒng)（ICS）中使用的工業(yè)控制軟件，其有能力禁用水電大壩、使核電站過(guò)載、甚至可以做到一鍵關(guān)閉一個(gè)國(guó)家的電網(wǎng)。2014-BlackEnergy2（黑暗力量2.0）是BlackEnergy（出現(xiàn)于2007年）的變種，該惡意軟件的攻擊目標(biāo)為GECimplicity、Advantech/BroadwinWebAccess以及西門子WinCC等少數(shù)供應(yīng)商提供的HMI（人機(jī)接口）軟件。該惡意軟件被用于2015年12月攻陷烏克蘭電網(wǎng)的網(wǎng)絡(luò)攻擊活動(dòng)中。2016-Crash

Override/Industroyer，這是第一款用于攻擊電網(wǎng)系統(tǒng)的已知惡意軟件，并成功實(shí)踐于2016年12月針對(duì)烏克蘭基輔地區(qū)變電站的攻擊活動(dòng)中2017年9月-Dragonfly，賽門鐵克公司發(fā)出預(yù)警稱，國(guó)家型黑客組織“蜻蜓”（Dragonfly）加大力度攻擊美國(guó)和歐洲能源公司。二、工控惡意軟件防御措施1.通用防御措施資產(chǎn)所有者考慮采取以下控制措施在技術(shù)可行的情況下，將安全系統(tǒng)網(wǎng)絡(luò)與過(guò)程控制信息系統(tǒng)網(wǎng)絡(luò)隔離開(kāi)。能用來(lái)設(shè)計(jì)SIS控制器的工程工作站不應(yīng)與其它任何DCS（分布式控制系統(tǒng)）過(guò)程控制信息系統(tǒng)網(wǎng)站進(jìn)行雙宿（Dual-Homed）連接。利用提供物理控制能力的硬件功能對(duì)安全控制器進(jìn)行編程，一般通過(guò)物理密鑰控制的交換機(jī)實(shí)現(xiàn)。在Triconex控制器上，除了預(yù)定的編程事件期間，密鑰不應(yīng)留在PROGRAM模式中。二、工控惡意軟件防御措施1.通用防御措施資產(chǎn)所有者考慮采取以下控制措施通過(guò)變更管理程序改變密鑰位置。定期審查當(dāng)前的密鑰狀態(tài)。對(duì)于依賴SIS提供數(shù)據(jù)的任何應(yīng)用程序，使用單向網(wǎng)關(guān)網(wǎng)絡(luò)連接，而不是雙向網(wǎng)關(guān)。在能通過(guò)TCP/IP訪問(wèn)SIS系統(tǒng)的任何服務(wù)器或工作站上采用嚴(yán)格的訪問(wèn)控制和應(yīng)用白名單措施。監(jiān)控ICS網(wǎng)絡(luò)流量，檢測(cè)意外通信流量和其它異常活動(dòng)。二、工控惡意軟件防御措施2.典型案例分析（1）TRITON惡意軟件簡(jiǎn)單分析與防護(hù)方案——事件概述2017年12月，安全研究人員發(fā)現(xiàn)了一款針對(duì)工控系統(tǒng)安全儀表系統(tǒng)（SIS）的惡意軟件“TRITON”，該軟件以施耐德電氣Triconex安全儀表控制系統(tǒng)為目標(biāo)展開(kāi)攻擊，目前已造成中東多家能源工廠停產(chǎn)，根據(jù)對(duì)惡意軟件樣本以及攻擊流程、攻擊方式的分析，其幕后黑手疑似為國(guó)家支持的專業(yè)黑客組織。二、工控惡意軟件防御措施2.典型案例分析（1）TRITON惡意軟件簡(jiǎn)單分析與防護(hù)方案-攻擊場(chǎng)景TRITON可實(shí)現(xiàn)以下三種場(chǎng)景的網(wǎng)絡(luò)攻擊，從而對(duì)安全生產(chǎn)構(gòu)成威脅1.SIS系統(tǒng)意外動(dòng)作SIS系統(tǒng)失陷后，TRIRON可對(duì)SIS系統(tǒng)邏輯進(jìn)行重編輯，使SIS系統(tǒng)產(chǎn)生意外動(dòng)作，對(duì)正常生產(chǎn)活動(dòng)造成影響2.SIS系統(tǒng)失效TRIRON可使SIS系統(tǒng)失效，在發(fā)生安全隱患或安全風(fēng)險(xiǎn)時(shí)無(wú)法及時(shí)實(shí)行和啟動(dòng)安全保護(hù)機(jī)制，從而對(duì)生產(chǎn)活動(dòng)造成影響3.影響DCS系統(tǒng)安全運(yùn)行TRITON可在攻陷SIS系統(tǒng)后，對(duì)DCS系統(tǒng)實(shí)施攻擊，并通過(guò)SIS系統(tǒng)與DCS系統(tǒng)的聯(lián)合作用，對(duì)工業(yè)設(shè)備、生產(chǎn)活動(dòng)以及人員健康造成破壞二、工控惡意軟件防御措施2.典型案例分析（1）TRITON惡意軟件簡(jiǎn)單分析與防護(hù)方案-防護(hù)措施1.終端安全可通過(guò)部署主機(jī)白名單軟件以及實(shí)施主機(jī)安全加固進(jìn)行安全防護(hù)，增強(qiáng)線上主機(jī)以及終端系統(tǒng)健壯性，消除惡意軟件滋生以及生存環(huán)境。2.網(wǎng)絡(luò)安全網(wǎng)絡(luò)通信病毒防治的核心為阻斷惡意軟件傳播途徑，及時(shí)發(fā)現(xiàn)惡意軟件傳播行為，并為安全響應(yīng)贏取必要時(shí)間。并通過(guò)工業(yè)防火墻或工業(yè)網(wǎng)閘的深度檢測(cè)功能，及時(shí)阻斷病毒傳播路徑。3.安全管理在進(jìn)行TRIRON此類惡意軟件防護(hù)時(shí)，除部署必要的安全設(shè)備外還應(yīng)制定相應(yīng)的安全管理制度，在根源上阻止惡意軟件傳入工業(yè)網(wǎng)絡(luò)三、工控軟件漏洞修復(fù)一旦在工業(yè)控制網(wǎng)絡(luò)及系統(tǒng)中發(fā)現(xiàn)漏洞，從安全角度出發(fā)就需要立刻進(jìn)行漏洞修復(fù)。根據(jù)漏洞的性質(zhì)和特點(diǎn)，可以采取打軟件補(bǔ)丁、調(diào)整配置或者移除等方法進(jìn)行漏洞修補(bǔ)。整體評(píng)估流程如下:三、工控軟件漏洞修復(fù)一般來(lái)說(shuō)，進(jìn)行補(bǔ)丁升級(jí)是修復(fù)系統(tǒng)漏洞最為可靠和有效的方法，在保證工業(yè)生產(chǎn)運(yùn)行和系統(tǒng)可用性的前提下，企業(yè)如果具備升級(jí)補(bǔ)丁的條件，推薦及時(shí)采取補(bǔ)丁升級(jí)措施，在升級(jí)之前應(yīng)對(duì)補(bǔ)丁進(jìn)行仔細(xì)調(diào)試，并建立補(bǔ)丁管理區(qū)域，在在線補(bǔ)丁管理區(qū)域和需要升級(jí)的系統(tǒng)之間設(shè)置緩沖地帶。三、工控軟件漏洞修復(fù)調(diào)整配置包括：對(duì)系統(tǒng)自身的直接調(diào)整（如禁用脆弱的或不適用的服務(wù)、修改用戶權(quán)限）對(duì)系統(tǒng)外部配置的調(diào)整（如修改防火墻或IPS的策略、通過(guò)路由器訪問(wèn)控制列表限制訪問(wèn)，以及停止脆弱的服務(wù)）配置的變化可能會(huì)影響其他的系統(tǒng)或設(shè)備，所以需要對(duì)重大配置變更制定計(jì)劃并進(jìn)行影響分析，配置變更實(shí)施前進(jìn)行嚴(yán)格安全測(cè)試。系統(tǒng)自身直接調(diào)整系統(tǒng)外部配置調(diào)整調(diào)整配置三、工控軟件漏洞修復(fù)如果漏洞不能通過(guò)補(bǔ)丁或更改配置來(lái)解決，或者相關(guān)工控系統(tǒng)或設(shè)備不具備條件進(jìn)行補(bǔ)丁升級(jí)或配置更改，則應(yīng)該根據(jù)系統(tǒng)的關(guān)鍵性，考慮停止停用脆弱的服務(wù)、移除軟件或設(shè)備或系統(tǒng)隔離等手段。在停用存在漏洞的服務(wù)將導(dǎo)致工業(yè)控制系統(tǒng)關(guān)鍵功能不可用的情況下，應(yīng)該隔離存在漏洞的系統(tǒng)，有效地鎖定其安全區(qū)域并防止在邊界有任何異常訪問(wèn)。系統(tǒng)關(guān)鍵性停用脆弱服務(wù)移除軟件/設(shè)備系統(tǒng)隔離三、工控軟件漏洞修復(fù)通過(guò)配置管理，記錄所有系統(tǒng)配置，驗(yàn)證已知的、可行并且有效的系統(tǒng)配置