2023⼯业控制系统的安全

保护⼯业控制系统的安全●⼯业控制●安全实践●未来发展AgendaAgenda工业控制系统的特点工业安全事件回顾解决方案简介安全典型用例分享网络安全建设最佳实践OperationsOperationsOT生命周期10~15年IT生命周期12~18月网络面临的三类威胁网络面临的三类威胁 网络攻击（外部威胁） 恶意人员（内部威胁） 人为过失或疏忽目标攻击间接伤害

心怀不满的员工受感染的IT设备

不经意的配置失误供应商携带了不安全的设备进入厂区安全现状我能多快发现故障？

$1000万+一天内由工厂关停引发的停机成本91%的工业企业在过去24次网络安全事件<5%的OT运维人员表示，对自己公司保护工控设备和系统的能力充满信心因为他们认为是正常的工作状态外部控制可导致物理设备损坏（涡轮过载、太阳板燃烧、6 统 攻击典型模式攻击典型模式

设置RPM=3000

接收指令，执行逻辑：IfState=redIgnorenewstateElseIfRPM<2000SetRPM=valueElseIgnoreSendErrorMessage改变控制逻辑ICS/OT的设计没有从一开始就考虑到安全性7 PLC没有充分的认证、授权和加密保护以及标准的安全监控

接收指令，执行逻辑：IfState=redIgnorenewstateElseIfRPM<2000SetRPM=valueElseIgnoreSendErrorMessageSetState=GreenIncreaseRPMto5000工业4.0工业4.0存在的风险没有配置追踪不明确的资产列表不常见的协议没有配置追踪不明确的资产列表不常见的协议过期的系统IT/OT融合OT网络内没有可视化安全保护从哪里开始？安全保护从哪里开始？12341234清楚需要保护的对象 持续监控对其的访问和改动 评估风险 获取实时告警识别在网络中通讯识别在网络中通讯的资产发现不活跃的设备分类HMI,Historian,PLC,Switch...收集补丁,Hotfix等级,固件,用户,PLC背板追踪资产状态、配置变化安全需要持续安全风险可视安全需要持续安全风险可视 第三方访问

内部威胁

勒索软件

可被利用的漏洞统一安全风险可视化平台统一安全风险可视化平台APT攻击

恶意软件

访问溯源 非法设备风险评估风险评估与资产相关的事件严重程度资产上发现的漏洞信息开放的端口、使用的通讯协议资产的重要程度资产上安装的模块实时告警实时告警告警发生在资产上的高风险事件（诸如配置变化、代码上传、状态变化、指令下发、恶意软件传输）结合邮件系统，接收告警邮件结合SIEM系统，整合分析IT与态势调取告警上下文，分析问题根源主动询问与被动侦听主动询问与被动侦听深度信息询问 实时流量分析PLC/RTU PLC/RTU仅被动监听的局限性仅被动监听的局限性无法准确识别全量资产信息无法准确识别全量漏洞信息无法对流量中的行为审计报警PLC01 PLC02 PLC03主动询问+被动监听混合检测的优势主动询问+被动监听混合检测的优势对资产信息识别内容更丰富对漏洞风险识别更全面准确对配置修改进行实时追踪报警PLC01 PLC02 PLC03 无需安装Agent,部署无需安装Agent,部署简单Tenable.otSecurityPlatform Tenable.otSecurityPlatform Sensor

Sensor

Sensor

SensorUseCase1–工控资产发现及风险评估UseCase1–工控资产发现及风险评估等一系列工控资产综合与资产相关的高危事件、开放端口、CVE漏洞等信息给出资产风险评分自动显示工控设备上插入的板卡信息获取工控设备上的更多深层次信息（号/固件版本/运行状态等等）UseCase2-资产地图UseCase2-资产地图生成每条连线都会自动标示出资产类型、IP地址、流量大小、通讯协议以及源目资产信息产之间的通讯UseCase3–灵活的告警策略制定UseCase3–灵活的告警策略制定内置众多开箱即用工控安全策略包含控制器异常指令告警、控制网络活动告警、SCADA事件告警等可自定义不同的源目地址、协议或指令集的策略告警信息可与SIEM对接或发送EmailUseCase4-安全事件审计和回溯UseCase4-安全事件审计和回溯控制器配置事件告警PLC启停固件版本上传下载I/O设备指令下发逻辑控制代码变化等等SCADA事件异常指令下发启停数据传输非法函数等等

网络威胁网络攻击恶意软件勒索病毒木马等等网络事件开放的高危端口端口扫描IP地址冲突等等UseCase5–攻击事件自动关联分析UseCase5–攻击事件自动关联分析常事件关联起来呈现攻击上下文挖掘出攻击路径更加快速的溯源更加快速的事件响应安全最佳实践终端防病毒软件应用白名单系统

SOC

OT信息传输工业防火墙SCADA、HMI以及工程师站LevelSCADA、HMI以及工程师站Level控制层HistorianDNSPLCProgramRepoServerLevel3云容器云容器员工PC应用程序互联网服务Level5企业网络排班资产IT服务SIEMLevel4Web和App服务器 IT网络U盘杀毒系统

工厂入口

机器人马达机器人马达水泵传感器Level0现场设备层

主动询问被动侦听PLCPLC、RTUDCSLevel1控制器层如何选择如何选择