工业控制系统安全

SIEMENS工业基础设施信息安全西门子中国研究院信息安全部Copyright©SiemensLtd.China,CooperateTechnology2011.Allrightsreserved.一一二三四二三四SiemensAnswersPage2Dr.WenTangIT-Security,CTChina工业自动化是在产品制造与服务提供中采用控制系统与信息技术。目前，工业自动化在世界经济与日常生活中起到了越来越重要的作用。目前，工业自动化控制系统的作用已经远远超出了传统的制造领域，例如替代更精准地执行筛选试验与实验分析等操作银行取款与办理业务的需要Page3Dr.WenTangIT-Security,CTChina工业基础设施构成了我国国民经济、现代社会以及国家安全的重要基础与传统的IT信息安全不同，工业基础设施中n人员伤亡n公司声誉受损n危及公众生活及国家安全n破坏基础设施n严重的经济损失等Page4Dr.WenTangIT-Security,CTChina工业信息安全就是要为制造工厂与n破坏制造工厂n操纵数据或应用软件n对系统功能的未经授权的访问近年来，各种安全事件已经充分说明脆弱性Page5Dr.WenTangIT-Security,CTChinan1994年，美国亚利桑那州SaltRiverProject(入侵n2000年，俄罗斯政府声称黑客成功控制了世界上最大的天然气输送管道网络（属于GAzprom公司）n2001年，黑客侵入了监管加州多数电力传输系统的独立运n2003年,美国俄亥俄州Davis-Besse的核电厂控制网络内的一台计算机被微软的SQLServer蠕虫所感染，导致其安全监控系统停机将近5小时n2003年，龙泉、政平、鹅城换流站控制系统发现病毒，外国工程师在系统调试中用笔记本电脑上网所致。n2008年，黑客劫持了南美洲某国的电网控制系统，敲诈该国政府，在遭到拒绝后，攻击并导致电力中断几分钟n2008年，在美国国土安全局的一次针对电力系统的渗透测试中，一台发电机在其控制系统收到攻击后被物理损坏Page6Dr.WenTangIT-Security,CTChinan2000年，一个工程师在应聘澳大利亚的一家污水处理厂被多次拒绝后，远程侵入该厂的污水处理控制系统，恶意造成污水处理泵站的故障，导致超过1000立方米的污水被直接排入河流，导致严重的环境灾难n2006年，黑客从Internet攻破了美国哈里斯堡的一家污水处理厂的安全措施，在其系统内植入了能够影响污水操作的恶意程序。n2007年，攻击者侵入加拿大的一个水利SCADA控制系统，通过安装恶意软件破坏了用于控制从Sacrmento河调水的控制计算机。Page7Dr.WenTangIT-Security,CTChina干扰了航空与地面通信，导致马萨诸塞州的Worcester机场关闭6个小时n2003年，CSX运输公司的计算机系统被病毒感染，导致华盛顿特区的客货运输中断n2003年，19岁的AaronCaffrey侵入Houston渡口的计算机系统，导致该系统停机n2008年，一少年攻击了波兰Lodz的城铁系统，用一个电视遥控器改变轨道扳道器，导致4节车厢出轨Page8Dr.WenTangIT-Security,CTChinan1992年，一前雇员关闭了雪佛龙位于22个州的应急警报系统，直到一次紧急事件发生之后才被发现n2005年，在Zotob蠕虫安全事件中，尽管在Internet与企业网、控制网之间部署了防火墙，还是有13个美国汽车厂由于被蠕虫感染而被迫关闭，50,000生产线工人被迫停止工作，预计经济损失超过1,400,000美元n在2005年的InfraGard大会上，BCIT科学家EricByres声称在用普通的扫描器扫描某著名品牌PLC时导致其崩溃Page9Dr.WenTangIT-Security,CTChina客户信息收集与解决措施发布 107.19.客户信息收集与解决措施发布 107.19.西门子官方发布关于 207.21.发布关于病毒的FA CaseStudy:Stuxnet“震网”分析过程1122334以及主要的4以及主要的PLC负载代码；结束初步分析阶段报告5 408.02.微软发布更新补丁，修补了安全漏洞 5至今仍在及时更新产品信息以及病毒感染状态1423514235第二周第三周第四周第二周第三周第四周第一周34 34 5Page10Dr.WenTangIT-Security,CTChinaStuxnet分析Stuxnet分析影响感染普通PC数>10000感染普通PC数>100000nStuxnet具有异常精巧的传播与感染机制n制作该病毒需要非常丰富的SIMATIC编程及工业现场的专家知识WinCC服务器Source:SüddeutscheZeitungOnline,22.9.2010Page11SicherheitinderInformationstechnikDr.WenTangI传播负载：木马试图下载PLC代码模块WindowsPC传播负载：木马试图下载PLC代码模块WindowsPC基于手工、人工项目文件基于局域网的匿名网络Stuxnet编译模块病毒载体木马l由木马打包下载代码模块木马l由木马打包下载代码模块l试图篡改PLC417/315-2的代码代码模块支撑功能病毒负载Page12Dr.WenTangIT-Security,CTChina示例：具备安全防范机制的工业控制网络布局WinCC服务器Page13Dr.WenTangIT-Security,CTChinaStuxnet：成功篡改PLC代码的条件CPU315CPU315成功篡改的必要条件40%ofMC7Code 1. 1.SZL0x111包含“6ES73152”字符串1.SZL1.SZL0x111包含6ES7315-2字符串2.CCRtsLoader.exe处于运行状态（说明WinCC已启动）3.计时19分钟后，触发篡改操作4.CPU中存在OB1程序模块5.最少有一台CP342-5被组态为CentralRack6.最少有一台CP卡的工作模式为DP-Slave，其余CP卡的工作模式为DP-Master7.扫描所有类型为2000的SDB模块，查找slaveidentnumbers为0x7050或0x9500的模块8.最少找到33个满足要求的模块（也就是最少需要有34个DP-Slaves）9.CPU中存在名字为“DP_RECV“的FC2程序块10.检查CPU中MC7-blocks木马的数字完全不受约束篡改篡改CPU315-2的用户代码60%of60%ofMC7CodeinactiveCPU417组态CPU（SDB0,SDB4,SDB7存在于加载内存中）SZL0x111包含“6ES7417”字符串无法从CPU读取SDB7无法从CPU读取SDBSZL0x111包含“6ES7417”字符串无法从CPU读取SDB7无法从CPU读取SDB0OB1存在且可以从CPU读取OB1尚未被感染无法从CPU读取（第二次尝试）无条件的取消篡改流程hook()（下载程序块）s7blk_write_s7blk_write_SZL0x111包含“6ES7417”字符串调用hook()（下载程序块）withoutconditionsSDB72.successfulupload,activationof-->SDB7isunchangedDB8061ischangedSDB01.UploadofSDB0successful2.Manipulation-CheckofSDB0(pwfield)3.Abort,becauseCPUisnotmanipulateduptonowsuccessfulcancelledhook()hook()Dr.WenTangIT-Security,CTChinaStuxnet分析–加载动态链接库ls7otbxdx.dll负责与PLC通讯l原始的s7otbxdx.dll被病毒重命名并被负载!!协调PLC上的恶意协调PLC上的恶意16个回调函数:(s7db_open,s7blk_read,…)•被动侦察Passivereconnaissance•隐藏恶意代码块•隐藏篡改过程不活跃不活跃40%Code60%Dr.WenTang时长为5秒的线程:•实现状态机•协调运行在PLC上的恶意代码状态机IT-Security,CTChina1WinCC客户端25感染线程运行在Step7DLL中，并上传MC7恶意代码到1WinCC客户端25感染线程运行在Step7DLL中，并上传MC7恶意代码到其他相邻PLC上控制线程里的状态机通过恢复预先记录的频率值来隐藏自己的篡改操作34WinCC服务器在一个时长为5秒的控制线程里34WinCC服务器在一个时长为5秒的控制线程里状态机负责同步相邻PLC的操作DB890DB890PLC中的状态机通过DB890数据模块与Step7DLL通讯315-2PLC112255DB890DB890PLC中的状态机通过DB890数据模块与Step7DLL通讯315-2PLC1122553MC7状态机篡改控制频率转换器的代码33MC7状态机篡改控制频率转换器的代码34444运行在315PLC上的MC7恶意代码实现状态运行在315PLC上的MC7恶意代码实现状态机...Page16Dr.WenTangIT-Security,CTChina是否与西门子有关？是否与西门子有关？-利用Windows0-day漏洞，对所有ICS系统都具有侵略性；-西门子第一时间做出应急响应，包括分析病毒样本、收集客户信息、发布病毒分析报告以及解决措施。 -目前主流的反病毒软件均可检测 -目前主流的反病毒软件均可检测Stuxnet，因此需要对系统所有设备进行病毒扫描，包括嵌入式网络设备、工业PC、服务器以及虚拟机等；-安装Windows系统漏洞补丁1和西门子SIMATIC安全更新补丁2。-在所有设备上安装反病毒软件或防火墙；-制定可移动存储设备和局域网共享功能的使用规范和流程，并严格遵守执行；-加强内部员工的安全意识培养。注:1.2.Page17Dr.WenTangIT-Security,CTChina一一二三四二三四SiemensAnswersPage18Dr.WenTangIT-Security,CTChinaApplicationLayerTransportLayerApplicationLayerTransportLayer越来越多的基础设施工业领域开始采用最新的IT技术ControlProtocolInternetLayer•将TCP/IP作为网络基础设施，将工业控制协议迁移到应用层ControlProtocolInternetLayerNetworkAccessLayerNetworkAccessLayerNetworkAccessLayer•广泛采用标准的商用操作系统、设备、中间新安全挑战在享受IT技术带来的益处的同时，针对工业控制网络的安全威胁也在与日俱增•设备/软件/应用的互联使得攻击能够很容易地借助于TCP/IP网扩展到其他系统•应用层安全成为了ICS系统的关键•传统的IT安全解决方案不足以应对工业基础设施领域的全新安全需求件与各种应用从而，越来越多的工业控制网络正由封闭、私有转向开放、互联Page19Dr.WenTangIT-Security,CTChinaIndustrialControlSystemSCADADCS安全?应用控制、过程控制、监控与采集等安全?应用安全?安全?通信通信安全?设备设备Page20Dr.WenTangIT-Security,CTChina安全解决方案应当充分考虑工业应用场景的特点IntegrityAvailabilityIntegrityAvailabilityn不间断的可操作性，并确保系统可访问AvailabilityIntegrityConfidentialityAvailabilityIntegrityConfidentialityPage21Dr.WenTangIT-Security,CTChina策略与流程的脆弱性n缺乏ICS的安全培训与意识培养n缺乏根据安全策略制定的，正规、可备案的安全流程n缺乏ICS设备安全部署的实施指南n缺乏针对ICS的业务连续性与灾难恢复计划n缺乏针对ICS配置变更管理取决于企业的安全管理的水平Page22Dr.WenTangIT-Security,CTChinaInternetInternetRemoteOPCMaintainClientWEBVideoOfficeClientClientPCLaptopDHCPDNSOAPrinterRemoteOPCMaintainClientWEBVideoOfficeClientClientPCLaptopDHCPDNSOAPrinterSAP安全可备据据乏根缺策略制定案的AppServerSupervisoryStationsEngineerStationDataHistorianMaintainStationWinCCStationOPCServerWEBServerSCALANCEX-200据缺乏根据安全策略制定的，正规可备案的安全流程n移动存储设备安全使用流程与规章制度n互联网安全访问流程与规章制度MobileEng.PrimaryRedundantSIEMStationControlServerControlServerS7-400S7-300SCALANCEPROFINET1000MIndustrialEthernetSCALANCEX-400X-400缺乏人事安全策略与流程n人事（招聘、离职）安全流程与规章制度nICS安全培训和意识培养课程S7-300MotionControlHMIET200Page23Dr.SCALANCEX-200据缺乏根据安全策略制定的，正规可备案的安全流程n移动存储设备安全使用流程与规章制度n互联网安全访问流程与规章制度MobileEng.PrimaryRedundantSIEMStationControlServerControlServerS7-400S7-300SCALANCEPROFINET1000MIndustrialEthernetSCALANCEX-400X-400缺乏人事安全策略与流程n人事（招聘、离职）安全流程与规章制度nICS安全培训和意识培养课程S7-300MotionControlHMIET200Page23Dr.WenTangIT-Security,CTChinaICS平台的脆弱性平台配置的脆弱性n对已知的OS、软件漏洞未提供相应补丁nOS与应用补丁未经过彻底的测试n数据未受保护地存储在移动设备中口令泄露，或者口令易猜测平台硬件的脆弱性n未授权的人员能够物理访问设备n对ICS组建的不安全的远程访问n采用双网络接口卡连接多个网络长期以来，信息安全不是工业控制系统的主要设计目标长期以来，信息安全不是工业控制系统的主要设计目标Page24Dr.WenTangIT-Security,CTChinaICS平台的脆弱性平台软件的脆弱性n对未定义/定义不清/非法的输入处理不当n采用其资料能够公开获得的私有软件n针对配置与编程软件缺乏有效的认证与访问控制恶意软件的脆弱性n恶意软件防护软件及其病毒库未更新长期以来，信息安全不是工业控制系统的主要设计目标长期以来，信息安全不是工业控制系统的主要设计目标Page25Dr.WenTangIT-Security,CTChinaInternetInternetRemoteOPCMaintainClientWEBVideoOfficeRemoteOPCMaintainClientWEBVideoOfficeClientClientPCLaptopDHCPDNSOAPrinterSAP缺乏病毒及恶意代码的防护机制n未安装病毒防护软件及恶意代码防护程序n未安装病毒防护软件及恶意代码防护程序n没有及时更新病毒库以及恶意代码库n病毒及恶意代码防护系统未得到充分测试MobileEng.PrimaryRedundantSIEMStationControlServerControlServerSCALANCEPROFINET1000MIndustrialEthernetSCALANCEX-400X-400↓SCALANCEW780S7-400S7-300HMIMotionControlAppServerSupervisoryStationsEngineerStationDataHistorianMaintainStationWinCCStationOPCServerWEBServer缺乏操作系统等软件补丁的管理机制n没有获得针对已知的操作系统或软件漏洞的缺乏操作系统等软件补丁的管理机制n没有获得针对已知的操作系统或软件漏洞的补丁或者更新n缺乏对系统补丁或者软件更新的有效管理n系统补丁或者软件更新未得到彻底测试SCALANCESCALANCEX-200X-200ET200S7-300ET200S7-300Page26Dr.WenTangIT-Security,CTChina网络配置的脆弱性网络硬件的脆弱性n非关键人员能够访问设备或网络连接网络边界的脆弱性n控制相关的服务未部署在控制网络内工业控制网络越来越多得采用开放、互联技术工业控制网络越来越多得采用开放、互联技术，使得安全攻击成为可能Page27Dr.WenTangIT-Security,CTChina网络监控与日志的脆弱性n防火墙、路由器日志记录不充分无线连接的脆弱性n客户端与AP之间的认证不充分网络通信的脆弱性n未标识出关键的监控与控制路径n以明文方式采用标准的或文档公开的通信协议或不存在工业控制网络越来越多得采用开放、互联技术工业控制网络越来越多得采用开放、互联技术，使得安全攻击成为可能Page28Dr.WenTangIT-Security,CTChinaInternetInternetRemoteOPCMaintainClientWEBVideoOfficeRemoteOPCMaintainClientWEBVideoOfficeClientClientPCLaptopDHCPDNSOAPrinterSAP客户端与AP之间的认证不充分n无任何认证机制n使用脆弱的认证机制，如WEP，容易被黑客破解而入侵网络MobileEng.PrimaryRedundantSIEMStationControlServerControlServerSCALANCEPROFINET1000MIndustrialEthernetSCALANCEX-400X-400SCALANCEW780S7-400S7-300HMIMotionControlAppServerSupervisoryStationsEngineerStationDataHistorianMaintainStationWinCCStationOPCServerWEBServer客户端与AP之间的数据缺乏保护n无任何数据加密机制n使用脆弱的数据加密机制，如TKIP，容易被黑客破解而监听、篡改数据客户端与AP之间的数据缺乏保护n无任何数据加密机制n使用脆弱的数据加密机制，如TKIP，容易被黑客破解而监听、篡改数据SCALANCESCALANCEX-200X-200ET200S7-300ET200S7-300Page29Dr.WenTangIT-Security,CTChina一二一二三三四Siemens四SiemensAnswersPage30Dr.WenTangIT-Security,CTChina离访问控制证工业场景下的安全解决方案必须考虑所有层次的安全防护工业场景下的安全解决方案必须考虑所有层次的安全防护Page31Dr.WenTangIT-Security,CTChina工业信息安全关键需求开展工业安全风险评估，建设全面的信息安全管理实现安全域的划分与隔离，网络接口遵从清晰的安全规范工业信息安全关键需求开展工业安全风险评估，建设全面的信息安全管理实现安全域的划分与隔离，网络接口遵从清晰的安全规范的Page32Dr.WenTangIT-Security,CTChina工业安全：确保高效生产、满足安全需求全面的工厂安全防护自动化单元全面的工厂安全防护自动化单元防护自动化单元n对不同的防护层次，根据全面的安全方案，采取系统的安全措施防护自动化单元n工业安全的重要安全措施是对工业网络进行隔离，创建安全自动化单元，并限制单元之间的通信n同一安全自动化单元内的组件间的开放通信是由当前技术现状与标准的生产）=自动化单元之间的安全通信Page33Dr.WenTangIT-Security,CTChina愿景：工业网络纵深防御OfficeZoneDMZoneOfficeInternetPCLaptopDHCPDNSVideoClientWEBClient1OAPrinterSAPOfficeZoneDMZoneOfficeInternetPCLaptopDHCPDNSVideoClientWEBClient1OAPrinterSAP全事故和事件监测SI第一道防线第一道防线第二道防线抵御多种威胁的联合安全网关风险评估与风险评估与工业自动化控制安全管理咨询22DataHistorian DataHistorian OPCServer WEBServer AppServer3322SCALANCEX-200Monitor&ControlZoneMgmtZone第三道防线工业PC的安全防护，如病毒扫描、配置安全、RBAC等第四道防线现场设备的近身防护，例如SCALANCES、CPAdvanced等第五道防线安全可靠的现场设备335n简易的配置与无缝透明的部署n全面的防护与持续改进的管理ChinaEngineerWinCCStationStation Primary3ControlServer 4SCALANCEPROFINET1000MIndustrialEthernetX-4004ControlCellSCALANCE))W780(tS7-3005S7-300MotionControlHMISupervisoryStationsMaintainStationMobileEng.StationSIEM 3 3RedundantControlServer4SCALANCEX-400ControlCell4 445S7-400ET200SCALANCEX-200Monitor&ControlZoneMgmtZone第三道防线工业PC的安全防护，如病毒扫描、配置安全、RBAC等第四道防线现场设备的近身防护，例如SCALANCES、CPAdvanced等第五道防线安全可靠的现场设备335n简易的配置与无缝透明的部署n全面的防护与持续改进的管理ChinaEngineerWinCCStationStation Primary3ControlServer 4SCALANCEPROFINET1000MIndustrialEthernetX-4004ControlCellSCALANCE))W780(tS7-3005S7-300MotionControlHMISupervisoryStationsMaintainStationMobileEng.StationSIEM 3 3RedundantControlServer4SCALANCEX-400ControlCell4 445S7-400ET200一二三一二三SiemensAnswers四四Page35Dr.WenTangIT-Security,CTChinan随着越