Tide安全团队(http://www.TideSec.net) 计划把《工控安全从入门到实战》做为工控的一个专题系列,从工控安全基础知识到工控安全入门、从协议分析到蜜罐技术、从漏洞利用到攻击防护,一点一点揭开工控安全的神秘面纱。
目前暂定提纲如下,欢迎大家监督。因为很多东西也是从头学起,不足之处也请大佬多多指正。
第一部分 概述
工控系统的概念,与传统网络的不同,常见安全威胁,行业区别,安全标准,等保2.0中工控检查要求等
第二部分 工控基础知识
PLC SCADA DCS ICS 等常见术语,PLC的工作原理、技术参数、物理规程、常见品牌等
第三部分 工控安全入门
如何入门,测试设备购买,测试环境搭建部署,PLC编程入门
第四部分 工控协议分析
常见的几种协议介绍,如何用脚本去探测,互联网上的工控设备的识别
第五部分 工控蜜罐技术
工控蜜罐的原理和作用,如何搭建工控蜜罐,shodan的蜜罐技术介绍
第六部分 工控漏洞和利用
常见漏洞及危害,如何利用工控漏洞,如何挖掘工控漏洞
第七部分 工控系统恶意代码
工控系统的病毒、间谍程序、勒索软件等,震网病毒、flame、havex等病毒的分析
第八部分 工控安全防护
安全的网络架构、安全设备、运维安全等
一、前言
随着德国的“工业4.0”、美国的“再工业化”风潮、“中国制造2025”等国家战略的推出,以及云计算、大数据、人工智能、物联网等新一代信息技术与制造技术的加速融合,工业控制系统由从原始的封闭独立走向开放、由单机走向互联、由自动化走向智能化。在工业企业获得巨大发展动能的同时,也出现了大量安全隐患,伊朗核电站遭受“震网”病毒攻击事件、乌克兰电网遭受持续攻击事件和委内瑞拉大规模停电事件等更为我们敲响了警钟。工业控制系统已成为国家关键基础设施的“中枢神经”,其安全关系到国家的战略安全、社会稳定。工业控制系统所面临的安全威胁是全世界面临的一个共同难题,工业设备的高危漏洞、后门、工业网络病毒、高级持续性威胁以及无线技术应用带来的风险,给工业控制系统的安全防护带来巨大挑战。
二、工控系统的概念
工业控制系统(Industrial Control Systems,ICS,简称工控系统),是由各种自动化控制组件以及对实时数据进行采集、监测的过程控制组件共同构成的确保工业基础设施自动化运行、过程控制与监控的业务流程管控系统。其核心组件包括数据采集与监控系统(Supervisory Control and Data Acquisition,SCADA)、分布式控制系统(Distributed Control Systems,DCS)、可编程控制器(Programmable Logic Controller,PLC)、远程终端(Remote Terminal Unit,RTU)、人机交互界面设备(Human Machine Interface,HMI),以及确保各组件通信的接口技术。
三、工业控制网络与传统IT网络的不同
从大体上看,工业控制网络与传统IT信息网络在网络边缘、体系结构和传输内容三大方面有着主要的不同。
网络边缘不同:工控系统在地域上分布广阔,其边缘部分是智能程度不高的含传感和控制功能的远动装置,而不是IT系统边缘的通用计算机,两者之间在物理安全需求上差异很大。
体系结构不同:工业控制网络的结构纵向高度集成,主站节点和终端节点之间是主从关系。传统IT信息网络则是扁平的对等关系,两者之间在脆弱节点分布上差异很大。
传输内容不同:工业控制网络传输的是工业设备的“四遥信息”,即遥测、遥信、遥控、遥调。此外,还可以从性能要求、部件生命周期和可用性要求等多方面,进一步对二者进行对比,详细内容如表所示。
工业控制系统安全涉及计算机、自动化、通信、管理、经济、行为科学等多个学科,同时拥有广泛的研究和应用背景。两化融合后,IT系统的信息安全也被融入了工控系统安全中。不同于传统的生产安全(Safety),工控系统网络安全(Security)是要防范和抵御攻击者通过恶意行为人为制造生产事故、损害或伤亡。可以说,没有工控系统网络安全就没有工业控制系统的生产安全。只有保证了系统不遭受恶意攻击和破坏,才能有效地保证生产过程的安全。虽然工业控制网络安全问题同样是由各种恶意攻击造成的,但是工业控制网络安全问题与传统IT系统的网络安全问题有着很大的区别。
四、工控系统网络安全特点
(1)工业控制系统固有漏洞
- 各大厂商工控产品都或多或少存在着漏洞,工业领域存在着软、硬件的更新、升级、换代困难等问题。
- 工业控制系统协议在设计之初就缺乏安全性考虑,存在明文设计、缺乏认证、功能码滥用等安全威胁。
- 缺乏完善信息安全管理规定,存在U盘管理、误操作、恶意操作等安全威胁。
(2)工业控制系统建设周期长
- 一般一个大型工业项目建设周期长达5-10年,一套工业系统建设调试到稳定需要的周期很长,无法频繁升级。
(3)各种其他原因
- 两化融合使得工控系统而临着更多传统IT网络的威胁。
五、工业控制系统面临的脆弱性示例
5.1 工业控制系统产品漏洞
工业控制系统产品漏洞,如Emerson RS3漏洞,SIEMENS PLC漏洞。工业领域因软、硬件更新、升级、换代困难,漏洞不能得到及时修补。
5.2 Modbus自身协议缺陷
不单是Modbus,像IEC104,PROFINET等主流的工控协议,都存在一些通用问题。为了追求实用性和时效性,牺牲了很多安全性,因此会导致黑客的攻击。
5.3 OPC协议自身的脆弱性
OPC协议目前广泛应用于石油炼化、炼钢厂、发电、精密制造领域。OPC协议在为大家带来便利的同时,存在着非常大的安全隐患。首先,OPC协议架构基于Windows平台,Windows系统所具有的漏洞和缺陷在OPC部属环境下依然存在。并且,为了实现信息交互的便捷性,所有的Client端使用相同的用户名和密码来读取OPC server所采集的数据。另外,只要Client端连接,所有的数据都会公布出去,极易造成信息的泄露。更有甚者,在某些不太规范的部属环境下,OPC server一方面是为现场所采集的实时数据提供展示,另一方面又为MES层提供数据。相当于MES和现场数据共用一个OPC数据库,MES一旦被攻击,就会导致OPC的某个参数被修改,致使现场操作也会随之变动。
六、工控系统面临的信息安全问题
6.1 石化行业
(1)操作站、工程师站、服务器采用通用Windows系统,基本不更新补丁。
(2)DCS在与操作站、工程师站系统通信时,基本不使用身份认证、规则检查、加密传输、完整性检查等信息安全措施。
(3)生产执行层的MES服务器和监督控制层的OPC服务器之间缺少对OPC端口的动态识别,OPC服务器可以允许任何OPC客户端连接获取任何数据。
(4)工程师站权限非常大,有些是通用的工程师站,只要接入生产网络,就可以对控制系统进行运维。
(5)多余的网络端口未封闭,工控网络互连时缺乏安全边界控制。
(6)外部运维操作无审计监管措施。
石化行业的工控系统结构图
6.2 先进制造业
(1)某些工控系统的默认口令问题,如SUNRISE,CUSTOMER,EVENING。
(2)通过操作站感染病毒。
(3)串口网口转换,定制协议过于简单,缺乏校验,串口传输环境的风险,业务指令异常无法发现。
(4)数据传输,NC代码等文件传输存在安全隐患。
(5)DNC服务器等与办公网放在一起,都是Windows系统安装的传统数据库,大量使用FTP等进行数据交互,操作有被渗透的可能。
(6)第三方运维人员在运维设备时缺乏审计记录,存在数据泄密或病毒侵入的威胁。
先进制造工控系统结构图
6.3 电力行业
6.3.1 电网安全建设现状
(1)当前正探索智能变电站的信息安全防护。
(2)建立可信计算密码平台,更新调度数字证书、纵向加密认证、横向隔离装置、防火墙、入侵检测系统,搭建安全仿真平台。
(3)智能变电站技术、分布式能源智能大电网,不仅有监视,还有控制。用电信息在互联网上传输,需要加密;用户的智能电器暴露在电力系统中,可能受到攻击。
(4)安全区II的电厂和省调之间采用IEC104规约,框架确定,但是存在协议格式在实际应用中出现混乱的问题。
6.3.2 发电(水电或者火电)面临的风险
(1)所有发电控制系统连接在一区,无任何安全防护措施。
(2)随着发电全厂一体化建设的推进,因联通导致的风险越来越大。
(3)操作站采用通用操作系统,未安装补丁,会感染病毒。
(4)OPC问题一样突出。
(5)远程运维问题依然存在,安全运维审计装置缺失。
上述内容是对几个行业的工控安全问题做了总结,在此基础上,我们可以再进一步提取一些共性的问题,具体如下:
(1)未进行安全域划分,安全边界模糊。大多数行业的工控系统各子系统之间没有隔离防护,未根据区域重要性和业务需求对工控网络进行安全区域划分,系统边界不清晰,边界访问控制策略缺失,重要网段和其他网段之间缺少有效的隔离手段,一旦出现网络安全事件,安全威胁无法控制在特定区域内。
(2)操作系统存在漏洞,主机安全防护不足。工程师站和操作员站一般是基于Windows平台,包括NT4.0、2000、XP、Win7、Server2003等,考虑到杀毒软件和系统补丁可能对控制系统的稳定运行造成影响,即便安装杀毒软件也存在病毒库过期等问题,因此通常不安装或运行杀毒软件,系统补丁在特殊情况下才进行更新或升级。同时,移动存储介质和软件运行权限管理缺失,控制系统极易感染病毒。
(3)通信协议的安全性考虑不足,容易被攻击者利用。专用的工控通信协议或规约在设计之初一般只考虑通信的实时性和可用性,很少或根本没有考虑安全性问题,例如缺乏强度足够的认证、加密或授权措施等,特别是工控系统中的无线通信协议,更容易受到中间人的窃听和欺骗性攻击。为保证数据传输的实时性,Modbus/TCP、OPC Classic、IEC 60870-5-104、DNP 3.0、Profinet、EtherNet/IP等工控协议多采用明文传输,易于被劫持和修改。
(4)安全策略和管理制度不完善,人员安全意识不足。目前大多数行业尚未形成完整合理的信息安全保障制度和流程,对工控系统规划、设计、建设、运维、评估等阶段的信息安全需求考虑不充分,配套的事件处理流程、人员责任体制、供应链管理机制有所欠缺。同时,缺乏工控安全宣传和培训,对人员安全意识的培养不够重视,工控系统经常会接入各种终端设备,感染病毒、木马等的风险极大,给系统安全可靠运行埋下隐患。
6.4 工业控制系统信息安全风险途径
通过以上分析,会发现像先进制造、发电、石油石化等行业,信息安全风险基本上是通过几个典型的端口进入工控系统。
(1)“两网连接”带来的风险。生产网与办公网相连,虽然控制系统是一个个单独的系统,但是要建立全厂一体化控制,主控制系统和辅助控制系统全部连接到一个网络中,由于网络互连带来的风险非常显著。
(2)通过操作站带来的风险。如安装软件、U盘的使用,人为的某些误操作,都是通过操作站和工程师站端口进来的。如工程师站经常会被值班人员随意操作,出现参数被误修的情况。
(3)现场与远程运维带来的风险。
(4)工业无线带来的风险。这种风险在轨道交通行业中非常明显。
七、总结
工业控制系统网络是工业化与信息化融合的产物,我国工控领域的安全性问题突出, 工控系统的复杂化、IT 化和通用化加剧了系统的安全隐患,增大了潜在威胁。应进一步推动相关企业研究适合我国实际情况的工控系统安全防护技术,不断提升企业工控系统的综合保障能力,保证国家重要基础设施的安全运行。
我们在查阅资料时也保存了一些比较实用的工控安全资料,关注文章最下面的公众号,回复“工控基础”,可获取相关资料。
参考:
1.《工业控制网络安全技术与实践》姚羽,祝烈煌,武传坤 著 机械工业出版社.
2. 工控系统信息安全-自动化博览2016/5
3. 刘德莉. 构建工业信息安全屏障 助力航天企业快速发展[N]. 中国航天报,2019-02-28(003).
Tide安全团队正式成立于2019年1月,是新潮信息旗下以互联网攻防技术研究为目标的安全团队,目前聚集了十多位专业的安全攻防技术研究人员,专注于网络攻防、Web安全、移动终端、安全开发、IoT/物联网/工控安全等方向。
Tide安全团队自建立之初持续向CNCERT、CNVD、漏洞盒子、补天、各大SRC等漏洞提交平台提交漏洞,在漏洞盒子先后组建的两支漏洞挖掘团队在全国300多个安全团队中均拥有排名前十的成绩。在产品研发方面,Tide自主研发了一款面向互联网基础设施的资产检索系统,即Tide(潮汐)网络空间搜索平台,平台结合网络安全技术与大数据分析处理技术,对互联网基础设施进行网络安全威胁监测和网络安全态势分析。Tide安全团队自研多套安全平台,如分布式web扫描平台WDScanner、Mars平台、潮汐指纹识别系统、内部SRC平台、安全网络课堂、安全测试案例库、社工库、MoSec移动端检测平台、漏洞知识库、代理资源池、字典权重库等等,团队成员在FreeBuf、简书、CSDN、51CTO、CnBlogs等网站均开设专栏或博客,研究安全技术、分享经验技能。
想了解更多Tide安全团队,请关注团队官网: http://www.TideSec.net 或关注公众号