1 常见威胁
1.1 常见威胁向量
网络,工控系统及设备,应用程序,物理访问,人员/用户(社会工程学),供应链(芯片,硬件等)。
工控风险来源工控设备高危漏洞(通信协议漏洞,操作系统漏洞,安全策略和管理流程漏洞,杀毒软件漏洞,应用软件漏洞),多个网络端口切入点,疏漏的网络分割设计,工控设备后门,网络技术的普及,高级持续性威胁,工业网络病毒,无线技术应用的风险。
工控系统攻击手段介质攻击(U盘,硬盘,MP3,笔记本电脑,手机),边界攻击,水坑攻击,后门攻击。
工控病毒传播途径提供部件厂商主站被入侵,钓鱼邮件,系统漏洞,移动储存介质。
工控病毒实施效果控制系统——欺骗控制中心——收集数据。
1.2 渗透攻击流程
1.3 协议攻击
Modbus协议
是一种串行通信协议,作为开放、标准、免费的标准工业控制领域协议,Modbus协议用于PLC到现场总线,或PLC 之间进行通讯,使不同厂商生产的控制设备可以连成工业网络,集中监控。
存在的安全问题: 缺乏认证机制,缺乏授权机制,消息明文传输,缺乏校验(ModbusTCP),功能码滥用,可编程性。
OPC协议
OPC服务器连接各类控制器、PLC等,标准客户端连接服务器,实现软件应用间高效通讯。
存在的安全问题:OPC基于 Windows操作系统,很容易受到针对 windows漏洞的攻击影响。
使用DCOM 与RPC、OPC 与OLE 受到同样漏洞的影响,从而导致OPC 很容易受到攻击。
虽然OPC 及相关控制系统漏洞只有ICS-CERT 授权会员能获得,但现存 OLE 与RPC 漏洞广为人知。
Windows2000/XP审计设置默认不会记录DCOM 连接请求,因此攻击发生时,日志记录往往不充分甚至缺失,无法提供足够的详细证据。
S7协议
是西门子S7系列PLC内部集成的一种通信协议,是S7系列PLC的精髓所在。它是一种运行在传输层之上的(会话层/表示层/应用层)、经过特殊优化的通信协议,其信息传输可以基于MPI网络、PROFIBUS网络或者以太网。
存在的安全问题:缺乏认证机制,缺乏授权机制,消息明文传输,可编程性。
1.4 恶意代码
Rootkits:试图在较长的时间内驻留在目标机器内的恶意代码,通常要获取root或admin权限。
病毒:能够自我复制的恶意代码,需将自己添加到操作系统在内的其他程序中。
广告软件:自动播放广告的恶意软件。
勒索软件:限制受害者访问感染勒索软件的计算机。
蠕虫:自我复制传播,无需附加到已有程序。
木马:将自己伪装成合法应用程序的恶意代码,目的包括破坏系统,消耗资源,窃取信息,监控与开展间谍活动。
感染途径:网站挂马攻击,水坑攻击,网络钓鱼攻击,web渗透攻击。
2 风险评估
2.1 评估对象
威胁源(发起攻击的人或事物,自然灾害,内部失误),目标对象,脆弱性,威胁向量(威胁源利用脆弱性的途径),威胁事件,可能性,后果,影响。
2.2 评估阶段
资产识别与系统评定:识别潜在目标对象,业务或运营目标定义→系统平台与分类→资产识别→网络拓扑与数据流审查→风险预筛。
脆弱性识别与威胁建模:识别潜在脆弱性,威胁向量,威胁源和威胁事件,并估计可能性。安全策略审查→控制分析(标准审计,差距分析)→网络脆弱性评估(漏洞映射,配置审查,漏洞扫描,实时网络流量分析,控制分析)→威胁评估→攻击向量评估→攻击树或风险场景构建→漏洞与场景验证(渗透测试,CVSS)。
风险计算与管理:计算潜在影响,风险计算→缓解措施优先级排序及部署→缓解措施验证。
2.3 评估流程
2.3.1风险评估准备
风险评估的准备是整个风险评估过程有效性的保证,组织实施风险评估是一种战略性的考虑。风险评估的结果将受到组织战略、业务、业务流程、安全需求、系统规模和结构等方面的影响。因此在风险评估实施前,有必要完成充分的风险评估准备工作。
2.3.2风险识别
资产识别,分类,赋值
信息安全风险评估的对象是部门中风险评估范围内的所有资产。这些资产容易受到安全威胁的侵害。因此正确地管理这些资产对于一个部门来说是非常重要的,它也是所有级别安全管理的责任之所在。为了进行风险评估,就必须对评估范围内的相关资产进行识别鉴定,根据资产在业务和应用流程中的作用进行估价。
威胁识别,赋值
威胁是指可能对资产或组织造成损害事故的潜在原因。作为风险评估的重要因素,威胁是一个客观存在的事物,无论对于多么安全的信息系统,它都存在。
在威胁识别过程中,应根据资产所处的环境条件和资产以前遭受威胁损害的情况来判断,一项资产可能面临着多个威胁,同样一个威胁可能对不同的资产造成影响。识别出威胁由谁或什么事物引发以及威胁影响的资产是什么,即确认威胁的主体和客体。用于威胁评估的信息能够从信息安全管理的有关人员,以及相关的商业过程中获得,这些人可能是人事部的职员、设备策划和IT专家,也包括组织内部负责安全的人员。
脆弱性识别,赋值
脆弱性识别是风险评估中最重要的一个环节。资产的脆弱性具有隐蔽性,有些弱点只有在一定条件和环境下才能显现,这是脆弱性识别中最为困难的部分。不正确的、起不到应有作用的或没有正确实施的安全措施本身就可能是一个弱点。识别弱点的途径有:利用各种审计报告、事件报告、安全复查报告、系统测试及评估报告,或利用专门机构发布的漏洞列表信息等进行识别;对于许多技术性和操作性弱点,借助自动化的漏洞扫描工具和渗透测试等方法来识别。
已有安全措施确认
安全控制措施直接决定了安全亊件发生的可能性高低及其不良影响的大小。
因此,在风险分析阶段之前必须进行安全措施的识别和确认,对被评估单位已有安全措施迚行有效性分析,以帮助后续的风险分析。
安全控制措施大致有技术控制措施、管理和操作控制措施两大类。
2.3.3风险分析
风险分析就是在确认已有安全措施的情况下,利用适当的方法与工具确定威胁利用资产脆弱性发生安全事件的可能性,并结合资产安全属性受到破坏后给业务带来的影响来得出资产的安全风险。
风险分析过程的核心问题是如何计算风险。风险可以看成是一个函数,其参数包括资产的价值、威胁导致负面影响的可能性、脆弱性被利用的难易程度以及已有安全措施的有效性。
风险分析可以从两方面入手:
1.将评估对象中所有资产按资产风险值排序,分析风险等级高的资产。
2.按脆弱性给系统引入的风险值排序,来分析评估对象主要的脆弱性。
一般来说,资产的脆弱点本身赋值越高,相应资产脆弱性风险值就越高;
脆弱点所对应的资产数量越多,相应的脆弱性引入的风险值就越高。
2.3.4风险评价:评估报告
在对风险进行确定后,应给出风险评估的报告。风险评估报告是风险评价工作的重要内容,是对整个风险评估过程和结果的总结。
同时,风险评估报告可作为组织从事其他信息安全管理工作的重要参考内容,如信息安全检查、信息系统等级保护测评、信息安全建设等。
2.4 脆弱性评估(NISP SP 800-82)
2.4.1策略,程序脆弱性
工控系统安全策略制定不完善
没有正规的工控系统安全培训与认知计划
工控系统设备实施指南缺失或不完善
安全策略实施管理机制缺失
工控系统安全控制措施有效性审查不完善
没有针对工控系统的应急预案
缺乏配置管理策略
缺乏适当的访问控制策略
缺乏适当的身份认证策略
事件检测与响应计划以及程序不完善
关键部件缺乏冗余
2.4.2架构与设计脆弱性
架构搭建与设计过程中未考虑安全因素
架构不断进化导致的不安全
未定义安全边界
在控制网络中传输非控制流量
在控制网络中使用原先未在控制网络中的服务
事件的历史数据收集不完善
2.4.3配置与维护脆弱性
硬件,固件和软件缺乏配置管理
直到发现漏洞,操作系统和软件厂商也未开发出安全补丁
未对操作系统和应用程序安全补丁进行维护管理,或者厂商拒绝提供补丁修复漏洞
针对安全变更的测试不完善
远程访问控制机制薄弱
配置方式不完善
未对关键配置信息进行储存或备份
未对便携设备中的数据予以保护
口令的生成,使用与保护同安全策略不一致
访问控制不完善
不当的数据连接
未安装恶意代码防护程序或未对恶意代码防护程序进行更新
未对恶意代码防护程序进行充分测试
拒绝服务攻击
未安装入侵检测或入侵防御软件
日志维护缺失
2.4.4物理环境脆弱性
未授权人员对设备的物理访问
射频,电磁脉冲,静电放电,电压不足和电压尖峰
备用电源缺失
环境失控
不安全的物理端口
2.4.5软件开发过程脆弱性
数据验证不当
默认情况下未启用已安装的安全功能
软件中的身份认证,权限分配和访问控制不完善
2.4.6通信网络脆弱性
未采用数据流控制
未部署防火墙或防火墙配置不当
防火墙及路由日志信息记录不完善
使用标准的,具有详细说明文档的通信协议,并且通信采用明文传输
对用户,数据或设备的认证过程不符合标准或者未采用身份认证措施
使用了行业中不安全的工控系统协议
通信内容完整性检查机制缺失
无线客户端与接入点之间的认知机制不完善
无线客户端与接入点之间的数据保护措施不完善
2.5 工控风险评估原则
标准性原则
评估信息系统的安全风险,应按照国家、行业或部门的标准中规定评估流程实施,对各阶段的工作进行评估。
关键业务原则
评估信息系统的安全风险,应按照国家、行业或部门的标准中规定评估流程实施,对各阶段的工作进行评估。
可控性原则
包括评估服务的可控性,人员与信息的可控性,过程可控性,以及评估工具可控性。
最小影响原则
首要保障业务系统运行的稳定,而进行攻击性检测时,需沟通用户并做测试内容的应急备份、同时选择不在业务高峰时间进行。
可恢复性原则
在风险评估实施前,在实施方案中应当明确指出意外情况下系统恢复的手段和具体的恢复策略。
保密性原则
在风险评估实施前,评估人员应当与被评估系统的项目负责人签署书面的保密协议。