《工业互联网安全技术基础》课件- 19-控制软件安全技术

IndustrialInternetsecuritytechnologyfoundation工业互联网安全技术基础《工业互联网安全技术基础》课程组第3章工控控制安全技术控制软件安全技术目录010203工控恶意软件实例工控恶意软件防御措施工控软件漏洞修复一、工控恶意软件实例2017年12月，安全研究人员发现了一款专门针对工控安全系统的恶意软件变体，该恶意软件主要以中东地区的重要基础设施为目标展开攻击，并成功造成中东多家能源工厂的运营中断。该恶意软件被研究人员命名为“TRISIS”(或TRITON)恶意软件。一、工控恶意软件实例典型ICS恶意软件变体2010-震网病毒（Stuxnet）是第一款专门针对SCADA系统（数据采集与监视控制系统）和可编程逻辑控制器（PLC）的恶意软件，曾对伊朗的核设施造成了难以估量的损害，最终导致伊朗拥有核武器的时间延迟了好几年。

2013-Havex是一款远程访问木马（RAT），被编写来感染SCADA系统（数据采集与监视控制系统）和工控系统（ICS）中使用的工业控制软件，其有能力禁用水电大坝、使核电站过载、甚至可以做到一键关闭一个国家的电网。2014-BlackEnergy2（黑暗力量2.0）是BlackEnergy（出现于2007年）的变种，该恶意软件的攻击目标为GECimplicity、Advantech/BroadwinWebAccess以及西门子WinCC等少数供应商提供的HMI（人机接口）软件。该恶意软件被用于2015年12月攻陷乌克兰电网的网络攻击活动中。2016-Crash

Override/Industroyer，这是第一款用于攻击电网系统的已知恶意软件，并成功实践于2016年12月针对乌克兰基辅地区变电站的攻击活动中2017年9月-Dragonfly，赛门铁克公司发出预警称，国家型黑客组织“蜻蜓”（Dragonfly）加大力度攻击美国和欧洲能源公司。二、工控恶意软件防御措施1.通用防御措施资产所有者考虑采取以下控制措施在技术可行的情况下，将安全系统网络与过程控制信息系统网络隔离开。能用来设计SIS控制器的工程工作站不应与其它任何DCS（分布式控制系统）过程控制信息系统网站进行双宿（Dual-Homed）连接。利用提供物理控制能力的硬件功能对安全控制器进行编程，一般通过物理密钥控制的交换机实现。在Triconex控制器上，除了预定的编程事件期间，密钥不应留在PROGRAM模式中。二、工控恶意软件防御措施1.通用防御措施资产所有者考虑采取以下控制措施通过变更管理程序改变密钥位置。定期审查当前的密钥状态。对于依赖SIS提供数据的任何应用程序，使用单向网关网络连接，而不是双向网关。在能通过TCP/IP访问SIS系统的任何服务器或工作站上采用严格的访问控制和应用白名单措施。监控ICS网络流量，检测意外通信流量和其它异常活动。二、工控恶意软件防御措施2.典型案例分析（1）TRITON恶意软件简单分析与防护方案——事件概述2017年12月，安全研究人员发现了一款针对工控系统安全仪表系统（SIS）的恶意软件“TRITON”，该软件以施耐德电气Triconex安全仪表控制系统为目标展开攻击，目前已造成中东多家能源工厂停产，根据对恶意软件样本以及攻击流程、攻击方式的分析，其幕后黑手疑似为国家支持的专业黑客组织。二、工控恶意软件防御措施2.典型案例分析（1）TRITON恶意软件简单分析与防护方案-攻击场景TRITON可实现以下三种场景的网络攻击，从而对安全生产构成威胁1.SIS系统意外动作SIS系统失陷后，TRIRON可对SIS系统逻辑进行重编辑，使SIS系统产生意外动作，对正常生产活动造成影响2.SIS系统失效TRIRON可使SIS系统失效，在发生安全隐患或安全风险时无法及时实行和启动安全保护机制，从而对生产活动造成影响3.影响DCS系统安全运行TRITON可在攻陷SIS系统后，对DCS系统实施攻击，并通过SIS系统与DCS系统的联合作用，对工业设备、生产活动以及人员健康造成破坏二、工控恶意软件防御措施2.典型案例分析（1）TRITON恶意软件简单分析与防护方案-防护措施1.终端安全可通过部署主机白名单软件以及实施主机安全加固进行安全防护，增强线上主机以及终端系统健壮性，消除恶意软件滋生以及生存环境。2.网络安全网络通信病毒防治的核心为阻断恶意软件传播途径，及时发现恶意软件传播行为，并为安全响应赢取必要时间。并通过工业防火墙或工业网闸的深度检测功能，及时阻断病毒传播路径。3.安全管理在进行TRIRON此类恶意软件防护时，除部署必要的安全设备外还应制定相应的安全管理制度，在根源上阻止恶意软件传入工业网络三、工控软件漏洞修复一旦在工业控制网络及系统中发现漏洞，从安全角度出发就需要立刻进行漏洞修复。根据漏洞的性质和特点，可以采取打软件补丁、调整配置或者移除等方法进行漏洞修补。整体评估流程如下:三、工控软件漏洞修复一般来说，进行补丁升级是修复系统漏洞最为可靠和有效的方法，在保证工业生产运行和系统可用性的前提下，企业如果具备升级补丁的条件，推荐及时采取补丁升级措施，在升级之前应对补丁进行仔细调试，并建立补丁管理区域，在在线补丁管理区域和需要升级的系统之间设置缓冲地带。三、工控软件漏洞修复调整配置包括：对系统自身的直接调整（如禁用脆弱的或不适用的服务、修改用户权限）对系统外部配置的调整（如修改防火墙或IPS的策略、通过路由器访问控制列表限制访问，以及停止脆弱的服务）配置的变化可能会影响其他的系统或设备，所以需要对重大配置变更制定计划并进行影响分析，配置变更实施前进行严格安全测试。系统自身直接调整系统外部配置调整调整配置三、工控软件漏洞修复如果漏洞不能通过补丁或更改配置来解决，或者相关工控系统或设备不具备条件进行补丁升级或配置更改，则应该根据系统的关键性，考虑停止停用脆弱的服务、移除软件或设备或系统隔离等手段。在停用存在漏洞的服务将导致工业控制系统关键功能不可用的情况下，应该隔离存在漏洞的系统，有效地锁定其安全区域并防止在边界有任何异常访问。系统关键性停用脆弱服务移除软件/设备系统隔离三、工控软件漏洞修复通过配置管理，记录所有系统配置，验证已知的、可行并且有效的系统配置