百通赫斯曼关于工业安全的应用及思考

1、工业网络安全关于工业安全的应用及思考网络安全风险真实存在吗？技术:攻击行为高度自动化，并且不需要攻击者具备很强的技术能力攻击频率在增加攻击复杂度在提高攻击者的技术能力在减退信息:尤其是ICS系统，今天我们可以从网络上找到大量的相关知识和信息ICS Cert website, ScadaHacker, Kalitutorials, 等等。工具: 免费的，或者很便宜的穿越软件和脚本工具：Kali Linux, Raspberry Pis, 等等。.来源: Lipson, Howard F.: 网络攻击跟踪: 技术挑战及全球策略，发行与 CMU/SEI-2002-SR-009 当前的网络攻击Note

2、: OSVDB appears to have stopped collected ICS-specific vulnerables in late-May 2015. Data for 2015 should not be used for annual comparative analysis.来源: ICS弱点统计 Source: ICS CertStuxnet被发现之前:5个安全建议3家供应商产品2011:215个已被公开的系统漏洞104个安全建议39家供应商产品40%已被发现的系统漏洞均有针对的攻击代码2012: 500系统漏洞“含糊的安全性” :US ICS-CERT 的安全建议I

3、CS-CERT (网络安全应急反应小组)ICS-CERT Website真实世界的网络安全事件石油石化行业:委内瑞拉石油厂的电气系统遭到破坏CIA的木马病毒到成西伯利亚油气管道保障防病毒软件成功防护了锅炉被关停受病毒感染的笔记本电脑造成DCS系统宕机病毒攻击影响到操作人员培训的模拟系统油气处理厂的电气系统遭到破坏病毒感染影响到海上钻井平台针对SQL数据库漏洞的攻击造成钻井设备停工红色代码蠕虫攻击造成自动化控制服务器访问页面出错穿透性测试发现油气厂的SCADA系统存在漏洞集成商工程师的笔记本电脑感染了病毒，从而在工作中影响了控制系统来源： RISI (工业安全事件知识库)为什么仅仅只部署边界防护

4、是不够的？震网病毒2010年7月: 发现全世界范围内大量的Siemens PCS7, S7 PLC以及WIN-CC系统受到震网病毒的攻击超过100,000台计算机被感染和至少22个工业站点受到影响震网病毒被开发出来的初衷是计划用来打击伊朗的铀浓缩设备 震网病毒可以被重复使用，而且使用它的人并不需要具备专业的知识震网病毒给ICS/SCADA系统带来了安全风险民众、政府、企业高层安全研究机构正在为ICS和SCADA系统中的每个部件制定安全策略震网病毒 深度潜伏“震网病毒”这个名字是由安全分析者起的。最初该病毒的名字谣传是“奥林匹克游戏”铀浓缩设施是物理隔离的，因此攻击的来源是通过U盘病毒程序代码：

5、代码非常复杂，同时目的性很强。世界顶级的研究人员们花了30天才完成了初步的破解（通常只需几分钟）复杂程度近乎普通恶意代码的20倍，但是几乎不存在任何bug包括4零代码攻击 病毒会自行传播和自我复制，一旦发布就不会停止一旦病毒接触到攻击目标，它会等待13天以后再发动攻击第一轮攻击 将频率从1000赫兹增加到1400赫兹 离心机撞击产生共鸣而破裂第二轮攻击 将频率降到2赫兹 离心机转子失去平衡并开始摇晃，最终导致离心机破损SCADA系统上显示的是假的模拟出的数值安全关闭的指令也被拦截了病毒暗中破坏生产/控制系统导致其出错而造成损失震网病毒向人们展示了攻击可以从线下到线上，从物理世界到虚拟的网络世界

6、为什么人们对ICS网络安全投入的关注度如此之少？IT和OT在网络安全上的关注重点分别是什么PriorityITOT / ICS#1ConfidentialityAvailability#2IntegrityIntegrity#3AvailabilityConfidentiality“CIA” 设计标准： Confidentiality保密性, Integrity完整性, Availability可用性根据重要性来排序：以上内容清晰的解释了如下观点：不同的观点企业IT vs 工业OTIT: 首先保证隐私性 “保护数据”，比如保护服务器和用户的数据OT/SCADA/ICS: 首先保障安全 “保护生

7、产流程”，比如保护人员的安全，工厂设备的安全以及环境的安全安全控制挑战企业IT安全工业控制系统评估设备清单和变更管理定期的、计划的、自动的间歇性的，无计划的，手动的防病毒广泛使用中防病毒文件的更新可能会对设备造成意想不到的网络延迟补丁部署定期升级/紧急事件应对测试部署都相对较慢，而且机器、设备也无法重启网络通信标准常规的网络协议(IP/UDP)私用协议，工业通讯协议 DNP/ICCP/Modbus/Legacy安全监控针对事件、日志的发现，变更都有监控- 但是监控主要是由事件来触发只记录日志 监控性能和可用性弱点管理“先发现-后解决” 的模式弱点扫描会使设备、机器宕机网络区域划分有时要满足一些

8、网络安全规范中的要求，基本上都会将网络划分为不同区域偶尔会划分，但是多数情况下未划分关注点 企业IT vs 工业OT黑客是唯一的威胁吗？ 2012安全事件组织外部黑客 软硬件或线路故障人为错误病毒感染不满员工 相比起来自外部的专业黑客，你更容易被来自内部的人攻击攻击更多的是来自人为误操作或者设备故障我们更应该关注的是整个工厂的平均无故障时间和可靠性，而不应该仅仅只关注那些黑客工业网络安全应该是关注如何提高网络的可用性性能、可靠性、网络安全以及人员的安全ICS网络攻击来源统计分析RISI发生故障的设备也同样是一个攻击源解决方案定位深度包检测网络发生故障的位置。针对OSI 7层模型中的每一层都实施

9、安全防护18数据来源: Datacom, Network Management Special 8 %10 %35 %25 %12 %7 %3 %物理层数据链路层网络层传输层会话层表示层应用层你可以实施的解决方案线缆交换机路由器 & 防火墙 Byres Security Inc.深度防护战略Yokogawa日本横河系统安全标准(TI 33Y01B30-01E)“深度防护战略，是指通过多种、多层（而不是仅仅只依靠边界防护）安全防护策略来保护我们的网络安全的方法”“因为我们采用了多层防护措施，所以当上一层被攻击完全破坏时，下一层的防护措施还可以继续提供安全防护，因此我们的设备相比以前更加的安全和坚

10、固”IEC 62443 (工业自动化和控制系统安全)3-2条目 (针对系统设计的安全风险评估)区域和通道 用来连接2个不同区域之间的的物理或逻辑链路通过硬件设备或者软件工具来过滤，从而使得特定类型的网络流量可以穿过或阻止其穿过不同区域不论网络中任何位置发生攻击或者人为误操作，深度防护模型都可以有效限制其对整个网络造成的影响：1. 多层防护2. 差异化分层防护3. 针对特定威胁的分层防护我们所有的软件系统平台都集成了高级的网络安全功能和特性：百通深度防护产品组合百通工业安全网络产品组合GCOM 10RX / 5RXGCOM 10KTGRS1042Eagle30Tofino XenonRSPE37

11、Industrial HiVisionTripwire Log CenterWago PLCTofino Demo HMIOpenBAT-RIP CCTV Camera正确无误的硬件装置集成了强大安全的软件特性部署在工业网络中正确的位置木桶原理，短板决定了你的高度开始对话“工业控制系统是不会受影响的” “我们已经有了防火墙和防病毒软件”“我们不知道从哪里开始，所以我们打算把安全这部分留给IT部门去考虑”“我们没有预算”“网络安全不是我操心的” “简直太复杂了”.典型的反对意见和挑战Maturity Curve初级的中级的高级的“什么都没有”“完成了安全评估，实施了一部分安全策略”“已经可以根据

12、需要精确调整安全策略”您的组织或工厂处在这趟旅途中的什么位置呢？网络安全是一趟旅程解释ICS网络发展的主要驱动力和趋势ICS网络如今更加高度集成化：控制和应用系统，工业和商业网络的集成、整合应用系统可以帮助提高生成力，效率，快速决策和增加利润IIOT (工业物联网) 预计到2025年，可以对经济创造11万亿的收入物理网络系统工业4.0/智能工厂智能基础设施 交通运输及能源远程访问/基于服务的经济体系所有这些都需要通过网络来实现。安全的通信网络如果工业网络受到影响。清楚理解工业网络出问题时，将会给你的客户的工业控制系统和运营造成什么影响“跟踪信号” 如果工业网络故障或者出现中断的情况时，请回答如

13、下3个关键问题：会对人员的生命财产安全造成威胁吗？每天或每小时将会造成多少经济损失？会带来法律后果或者会对公司名声造成影响吗？产品组合定位 百通1-2-31工业网络安全对网络进行分区划分区域和通道监控和告警无线和远程访问抑制威胁2工业终端节点安全对设备进行整理，制作清单识别终端的弱点和可升级的方案备份、保存授权的配置信息以确保安全识别未授权的或恶意的更改3工业控制器安全识别威胁和更改识别控制器的弱点和可升级的方案备份、保存授权的配置信息以确保安全发现并控制所受到的威胁企业安全完善计划：谁负责管理ICS网络及其设备资产？你们做过安全审计吗？针对弱点和风险，你们有做过什么事情吗？针对远程访问的接入方式，你们有做过什么事情来确保安全吗？你们有对网络进行分区吗？或者你们有创建安