与国计民生息息相关的自动化领域正面临着诸如两化融合、工业4.0、智能制造等概念的不断冲击和洗礼,工业化和信息化的结合给封闭的工业控制系统打开了一扇天窗,在享受信息共享与管理便利的同时,影响工业控制系统安全的潘多拉魔盒早已被悄然打开。传统信息系统固有的安全风险不可避免的被带入到了封闭、可靠的工业控制系统当中,这样一来,和工控系统相关的信息安全事件就一件接一件的发生了。
0x01:愈演愈烈的工控安全事件
早在21世纪初期,工控系统安全事件就已经在美国、俄罗斯等发达国家发酵。如2000年的GAzprom公司天然气输送管道网络SCADA系统任意控制事件;2003年美国俄亥俄州Davis-Besse的核电厂控制网络SQL SERVER蠕虫感染事件;2007年加拿大水利SCADA控制系统恶意入侵事件。这些攻击事件无不证实了工控系统的脆弱性和风险性。在我国,也曾出现过备受关注的工控系统信息安全事件,比如2003年,龙泉、政平、鹅城换流站控制系统发现病毒,原因是外国工程师在系统调试中用笔记本电脑上网引入了恶意代码,所幸并没有造成严重的后果。虽然工控安全事件时有发生,但并未真正引起人们的足够重视,这种形势一直延续到了2010年,Stunex震网病毒事件的发生给全世界的工控系统敲醒了警钟。
2010年6月份首次被检测出来的Stunex病毒是一种专门定向攻击真实世界中核电站,水坝,国家电网等能源基础设施的“蠕虫”病毒。它的攻击给伊朗核电站中西门子公司的SIMATIC WinCC系统造成了巨大的破坏,最终使得伊朗核电站的离心机运行失控,同时掩盖发生故障的情况,“谎报军情”,以“正常运转”记录回传给管理部门,造成决策的误判。这种病毒可能给伊朗布什尔核电站造成严重影响,导致有毒的放射性物质泄漏,其危害甚至不亚于1986年发生的切尔诺贝利核电站事故,给伊朗的核设施造成了不可估量的影响。同时,该病毒还感染了全球超过 45000个网络,给很多国家和地区的基础设施带去了严重的安全隐患。这一年,工控系统信息安全被人们真正重视了起来,工控系统信息安全元年就此诞生,而这仅仅是个开始。
在震网病毒之后,2011年的Duqu病毒,2012年的Flame病毒以及2014年的Havex病毒又席卷了全球工控网络,这些病毒以获取权限并搜集大量数据为目标,潜伏在数以万计的工控系统之中。大大小小的针对工控系统的攻击随着工控网络信息化的发展而愈演愈烈。在2015年12月份和2016年1月份发生的乌克兰电力系统攻击事件让工控安全彻彻底底的火了一把,这次攻击事件导致数以百万的居民在黑暗中度过了圣诞节,停电持续了十数个小时。和2010年发生的Stunex事件一样,这也是一次有组织有预谋的安全事件,攻击者通过鱼叉式钓鱼邮件植入的恶意代码直接对变电站系统的程序界面进行控制,控制远程设备的运行状态,直接切断供电线路,导致对应线路断电。这一事件的发生再一次加强了各国针对工控系统信息安全的重视程度,很多国家和地区都首次开展了针对能源等行业的工控系统的安全检查。持续发酵的工控安全事件让工控安全的影响上升到了一个前所未有的高度。
0x02:工控系统生命周期的安全之觞
如图1所示,工控系统生命周期一般包含七个阶段,分别是设计阶段、选型阶段、测试阶段、建设阶段、运行阶段、检修阶段以及废弃阶段。
而在几乎已转入install base存量市场的自动化领域,工业控制系统在设计初期几乎没有考虑过信息安全的因素,选型阶段也不会囊括信息安全相关的装置设施。在整个工控系统的全生命周期,信息安全并没有作为不可缺少的一环贯穿其中,这直接导致了工控系统的脆弱性和风险性。
在工控系统的全生命周期中,被重点考虑的安全环节主要是功能安全。
随着工业生产过程的控制规模在不断扩大,复杂程度不断增加,工艺过程不断强化,对工业控制系统的要求也越来越高。在生产过程中,用于监视生产过程,在危险条件下采取相应措施防止危险事件发生的功能安全相关系统在工控系统的全生命周期中扮演了重要的角色,比如安全仪表系统就属于工厂控制系统中的报警和联锁部分,对控制系统中检测的结果实施报警动作或调节或停机控制。
又比如盛有可燃性液体的容器内液位开关的动作,当液位到达潜在的危险值时,液位开关就会关闭阀门阻止更多的液体进入容器,从而阻止了液体从容器溢出,这一过程的正确执行就是功能安全的一种。在工控系统建设的各个阶段,功能安全都贯穿其中。
然而,即使这样,工业安全事故仍然在不断发生。愈演愈烈的工业安全事件让工业信息安全逐步引起了关注。无论是震网病毒事件还是乌克兰电力系统攻击事件,都是融合了被攻击环境的业务场景的安全攻击。
攻击者不仅掌握了信息安全的攻击技巧,更是对功能安全与业务场景了如指掌。工业控制系统,正面临着与业务融合的深度攻击的安全威胁,只考虑功能安全的工控系统已经很难在工业化和信息化融合的万花丛中做到片叶不沾身。未将信息安全融入工控系统全生命周期的工业设施必定存在安全之觞。
0x03:工控系统的综合保障思考
在当今的大时代背景下考虑工控安全,就是要把信息安全融入工控系统安全建设的全生命周期当中,贯穿始终。如图4所示,可以从四个维度、三个阶段将工控系统信息安全做深做精。
安全理念层面,考虑从传统功能安全的安全监视向基于信息安全的安全防护体系进发,最终形成持续可运营的工控安全运营模式;安全防护层面,从边界安全向纵深防御领域迈进,最终形成基于设备本体的基因安全防护体系;安全需求层面,实现从最初的合规性需求满足到业务本体安全需求的进步;最后,在全生命周期中,将功能安全与信息安全进行全方位的深度融合。
具体到全生命周期的每个阶段,可以得出如下建设思路。在工控系统的设计阶段将信息安全因素考虑其中,给出成型的系统建设信息安全解决方案;在设备选型阶段,选择成熟的融合信息安全的工业控制系统(DCS、PLC、RTU、IED等)和经过严格测试和认证的全线工控安全产品;在测试阶段通过漏洞检测与挖掘技术对已成型的系统进行严格的安全测试,通过渗透测试、漏洞扫描、漏洞挖掘等方式发现系统存在的安全隐患并进行加固和修复;在运行阶段通过非法入侵检测与异常行为安全审计等手段实现安全管理;在系统检修阶段继续通过漏洞扫描、漏洞挖掘等手段对系统进行二次安全测试;在废弃阶段对系统残余风险进行确认,确保系统正常报废无风险遗留。
0x04:工控安全与威胁情报的深度融合
一切攻击皆有迹可循,针对工控系统的攻击也不例外。从关联角度分析,由于ERP系统和MES系统打通了连接,而MES系统又和生产控制系统有业务关联,因此传统信息系统的风险就被带入了生产控制系统。虽然目前工控安全产品众多,但真正能解决安全问题的适用性技术手段却少之又少。当前工控系统信息安全防护面临的困境主要有以下几点,如图6所示:
图6 工控信息安全防护面临的困境
基于以上几点分析,传统信息系统层面大有可为的威胁情报分析技术同样适用于工业控制系统安全领域,通过安全威胁情报技术建设安全威胁情报平台仍不失为一种有效的安全管理手段。
一般而言,针对工控系统的入侵行为有以下几种特点:
①在“企业阶段”,它在渗透到HMI之前会寻找一个目标HMI
②在“工业阶段”,它感染了HMI,并寻找目标PLC,然后再变化,把恶意代码注入PLC中
③ 在“运行阶段”,在注入指令破坏进程前,它会利用PLC寻找以特定参数运行的IED等被控设备
有了攻击的行为特征,就有了判断攻击行为的依据,进而可以依托于威胁情报平台收集威胁情报数据。通过搭建好的企业威胁情报平台,可以实时爬去公网上存在的公网设备信息,如工控设备、服务器、DNS、路由器、智能设备等;可以实时判断公网上的应用信息,如WEB服务、FTP服务、TELNET服务、代理等服务;也可以将搭建好的蜜罐系统放置于公网,伪装成PLC等工控设备,接收Eripp、Shodan、Zoomeye等方式的探测,收集针对工控系统不同攻击手段的威胁情报。最终,将公网威胁情报与工控系统所在的生产控制网络的不同工控设备的安全行为等信息进行整合,形成内外结合的工控安全威胁情报体系。整体架构如图7所示:
通过工控安全预警平台对外部的威胁事件进行样本分析,将成型的情报信息推送到位于安全区的生产控制网络。即可通过主网络通道共享数据,也可通过私有加密协议进行数据传输,最终将情报数据从非安全区传入安全区,实现情报信息的共享,同时位于安全区的监测类装置可根据威胁报告进行规则和策略的调优处理。具体网络结构如图8所示:
比如预警平台从生产控制网络的资产行为中建立了一组正常行为基线,即到一组PLC的Modbus所有通信都是来自于相同的3个HMI工作站,标记为基线A。在运营过程中发现监控系统报警,与基线A出现分歧,出现了第4个系统与PLC进行通信,判断其可能的表现有四种:一个新的未被授权的设备被插入网络中(如一台管理员的笔记本电脑);一个使用欺诈IP地址的恶意HMI正在运行;新的系统安装上线。通过对近期公网的威胁情报及生产控制网络近期操作行为的整合分析,得知该异常是由于未被授权的设备接入网络所导致。
0x05:前行中的工控安全之路
基于全生命周期的工控系统安全综合保障手段的建设,给传统的单点安全防护提供了新的思路。将功能安全、信息安全、威胁情报进行深度融合的工控安全预警平台,连接了孤军奋战的单个结点,融入了故障诊断、异常告警、态势感知、攻击检测等持续可运营的安全防护理念,最大限度的保障工业控制系统稳定、高效、安全的运行。
绿盟科技作为国内最早一批从事信息安全的公司,早已开始了对工控安全的战略部署,投入大量的人力物力,现已推出5款工控安全产品,分别是工控入侵检测系统,工控安全审计系统,工控漏洞扫描系统,工业安全网关,工业安全隔离装置。针对不同的工业环境,绿盟科技结合实际业务情况给出切实有效的防护方案,帮助用户轻松应对工业控制系统的安全风险,保障业务的顺利运行。绿盟科技在电力行业、石油石化行业、烟草行业工控安全领域有着丰富的行业经验 ,根据多年工控安全研究经验总结出工业控制系统的攻击路线图,并在此基础上给出工控系统总体安全保障框架,框架基于绿盟科技对工控系统安全需求的理解,结合国内工控安全的规范要求及国外相关标准内容,提出从技术、管理和运行三个维度来保障工控系统安全,这些维度包含网络边界防护、安全纵深防护、安全运行管理和安全管理制度要求等几个方面,涉及从上线前的安全检测、安全能力部署、安全运行三个阶段,覆盖工业控制系统运行周期的安全保障,为客户工控网络安全保驾护航。
如果您需要了解更多内容,可以
加入QQ群:570982169、486207500
直接询问:010-68438880-8669