攻击的检测与防护方法

工业控制系统

攻击中的针对工业控制系统的攻击，不论在规模宏大的网络战（Cyberwar），还是在一般的网络 犯罪（Cybercrime）中，都可以发现 APT 的影子。

1. 网络战中的 APT——Stuxnet
   2010 年 6 月，白俄罗斯 VirusBlokAda 公司发现了一种复杂的恶意程序 —— Stuxnet[Stuxnet1][Stuxnet2]。2010 年 9 月 26 日，伊朗媒体报道，伊朗在建的布什尔核电站
   遭到 Stuxnet 病毒的攻击。这种病毒以核燃料离心机为目标，而伊朗几乎每一个核燃料提纯设备中 都使用了这种离心机。最后 Stuxnet 感染了全球超过 45000 个网络，其中伊朗遭到的攻击最 为严重。 根据微软安全漏洞
   公告和西门子向外界公开的报告，Stuxnet 利用了微软 Windows 操作 系统中的 5 个漏洞（其中包括 MS10-046、MS10-061 两个零日漏洞和另两个尚未修复的提权 漏洞），以及西门子工业控制系统的 2 个漏洞，并盗用了 Realtek 和 JMicron 公司的多个数字 签名，可通过移动存储设备（例如 U 盘）和局域网传播。（1） 首先感染可移动存储设备对物理隔离网络实现“摆渡”攻击；
   （2） 然后利用快捷方式文件解析漏洞（MS10-046），传播到内部网络；
   （3） 在内部网络中，通过快捷方式解析漏洞（MS10-046）、打印机后台程序服务漏洞
   （MS10-061）、RPC 远程执行漏洞（MS08-067），寻找安装了 WinCC 软件的主 机，并探测计算机是否连接一种由西门子公司制造、广泛用于铀浓缩设施（离心机） 的可编程序控制器；
   （4） 最后，寻找一个特别型号的“变频转换器”，并对其数据进行修改，使该设备转速
   降低，从而无法生成浓缩铀，而这种突然的降速会造成硬件的永久损坏。
   这次事件促使西门子（Siemens）加大了对其工业控制系统产品安全性的重视程度，这也 是现在西门子提供的工业控制系统相关漏洞数目偏多的原因。
2. 网络犯罪中的 APT——Nitro
   2011 年 10 月底，赛门铁克公司发布的一份报告公开了主要针对全球化工企业进行信息 窃取的 Nitro 攻击[Nitro]。从该攻击的操作过程也可以发现非常典型的 APT 特征：
   （1） 首先受害企业的部分雇员收到带有欺骗性的鱼叉式钓鱼邮件，当其中一个受害人
   阅读邮件的时候，看到一个把文件名和图标伪装成类似文本文件形式的恶意可执 行程序附件（该附件也可能是一个有密码保护的压缩文件，密码在邮件中注明， 解压后也会产生一个可执行程序）；
   （2） 该受害人执行了附件中的可执行程序后，被植入 Poison Ivy后门程序，并通过 TCP
   80 端口与 C&C 服务器进行加密通讯，将受害人的电脑上的帐号相关的文件信息 上传；
   （3） 然后攻击者借助事先植入的木马在受害企业的网络寻找目标、伺机行动、不断收
   集企业的敏感信息；
   （4） 所有的敏感信息会加密存储在内部网络中的一台临时服务器上，并最终上传到公
   司外部的某个服务器上，从而完成攻击。

工业控制系统的安全防护建议

综合上述分析，工业控制系统不仅因其开发及应用时缺乏足够的安全性考虑，使得工业 控制系统中存在不少危及系统安全的漏洞或不安全的配置；而且因为很多行业（诸如电力、 石化、市政、交通、重要制造业等）的工业控制系统能否正常运行，甚至会影响到国计民生， 其重要性不言而喻。因此，它们也必然会成为网络战的重点关注对象。淡薄的安全意识、脆 弱的安全防护能力，在当前各种新型、复杂攻击技术（APT）面前，这些工业控制系统所面临 的安全威胁将不言而喻。
这里我们期望在上文讨论工业控制系统自身脆弱性及其所面临的各种安全威胁的基础上， 结合我们以往的一些工业控制系统安全项目的实践经验，给出一些关于工业控制系统的安全 防护策略及建议，并针对 APT 攻击的检测与防护方法进行讨论。

工业控制系统的安全防护策略及建议

为保障工业控制系统的安全运行，除提供工业控制系统传统必备的功能安全之外，我们 还必需加强工业控制系统的信息安全防护能力。针对工业控制系统的业务特点、自身脆弱性 以及所可能面临的各种网络安全威胁，需要我们在工业控制系统的安全体系架构设计、工业 控制系统的供应链安全、工业控制系统上线前安全检查、工业控制系统的安全运维与管理等 方面进行综合、全面地考虑。

• 工业控制系统的安全体系架构设计 应把信息安全融入到工业控制系统的整体设计之中，在综合考虑工业控制系统的业务重
  要性、数据机密性、潜在的安全威胁、人员安全管理规范以及相关的技术标准等多种因素的 基础上，划分不同的工业控制系统安全域、明确相应的信息安全责任人及其职责。不同的安 全域应根据安全域内系统重要性的差异而采用不同级别的安全防护策略及人员安全管理的制 度、规范。在安全域之间，可通过工业防火墙、隔离网闸等网关类安全设备实现工业控制系 统与其他信息系统间的有效隔离，并通过系统准入控制机制，确保系统访问者的可信身份及 使用设备的安全性，并通过严格的访问控制策略及操作行为的监管与审计机制确保安全域间 信息交换的安全性。
  “道高一尺，魔高一丈”，工业控制系统所面临的安全威胁也在不断地变化之中，自然 其安全防护体系也必须与时俱进、及时优化。对此，可通过安全的供应链管理选择安全可信 的系统（或设备），加强上线前对系统（或设备）的安全检测、脆弱性评估与安全加固、运 维时的实时异常行为检测、审计以及通过定期或不定期的安全风险评估对安全防护策略持续 优化的动态过程，形成一套基于工业控制系统全生命周期的安全管控体系。
• 工业控制系统的供应链安全 应将工业控制系统的供应链安全作为工业控制系统信息安全防护体系的组成部分，以防
  工业控制系统及其组件遭受因供应链安全所造成威胁。
  工业控制系统或系统组件在采购时，在采购合同中应明确描述系统的预期运行环境、开 发环境、厂商资格及验收标准，并提出系统的安全功能、安全增强、安全保障及安全文档需 求。对于重要行业的工业控制系统及其组件的采购必要时可指定系统开发商的选择范围。
• 工业控制系统上线前的安全检查

工业控制系统、系统组件或设备在上线运行前，应使用专门的工具（或通过第三方测评 机构）对其中可能存在的安全隐患进行相应的安全检测（包括但不限于漏洞扫描、配置核查、 脆弱性评估以及后门探测等）；期望通过上线前安全检测能够及时地发现潜在的安全隐患， 进而通过系统加固、优化安全配置及安全防护策略等手段尽可能避免因工业控制系统（系统 组件或设备）自身的脆弱性所带来的安全威胁。
从工业控制系统上线前的安全检查开始，把信息安全融入到正常的验收体系中，除了功 能性安全验收外，信息安全验收也要作为工业控制系统（系统组件或设备）能否正常上线的 一个重要评估依据。
l 工业控制系统的安全运维与管理 在工业控制系统的日常运行阶段，应建立相应的人员安全管理制度及安全意识培训机制，
明确系统操作、管理人员的职责及授权，建立相关人员的操作行为监管及审计机制。通过制 度、管理和技术手段来规范系统相关人员的系统操作行为。
对在线运行的系统（或设备），根据系统（或设备）的实际情况可通过对系统操作行为 的审计及合规性检测提高对未知威胁的检测与发现能力；并可通过定期、不定期（或在系统 检修时）的安全检测及风险评估，尽早发现系统中潜在的安全风险，进而通过安全防护策略 优化、工业控制系统的安全整改实现整个工业控制系统防护能力的提升。

攻击的检测与防护方法

针对上一节归纳出的若干我们认为应该引起业界重点关注的新攻击技术和方法，本节提 出相应的防护建议和更进一步的思考。
针对 APT 逐步渗透攻击的特点，我们提出了一个针对工控 APT 攻击的检测与防护方案 （如图 3.4 所示），针对 APT 攻击的五个阶段分别讨论了相应的应对策略。
图 3.4 针对工业控制系统的 APT 攻击的检测与防护方案
（1） 全方位抵御水坑攻击 基于“水坑+网站挂马方式”的突破防线技术愈演愈
烈，并出现了单漏洞多水坑的新攻击方法。针对这种趋势，一方面寄希望于网站管 理员重视并做好网站漏洞检测和挂马检测；另一方面要求用户（尤其是能接触到工 业控制设备的雇员）尽量使用相对较安全的 Web 浏览器，及时安装安全补丁，最好 能够部署成熟的主机入侵防御系统。
（2） 防范社会工程攻击、阻断 C&C 通道 在工业控制系统运行的各个环节和
参与者中，人往往是其中最薄弱的环节，故非常有必要通过周期性的安全培训课程 努力提高员工的安全意识。另外，也应该加强从技术上阻断攻击者通过社会工程突 破防线后建立 C&C 通道的行为，建议部署值得信赖的网络入侵防御系统。
（3） 工业控制系统组件漏洞与后门检测与防护
工业控制系统行业使用的任何工业控制系统组件均应假定为不安全或存在恶意的， 上线前必需经过严格的漏洞、后门检测以及配置核查，尽可能避免工业控制系统中存在 的各种已知或未知的安全缺陷。其中针对未知安全缺陷（后门或系统未声明功能）的检 测相对困难，目前多采用系统代码的静态分析方法或基于系统虚拟执行的动态分析方法 相结合的方式①。
（4） 异常行为的检测与审计
上述列举出的 APT 突破防线和完成任务阶段采用的各种新技术和方法，以及其他已 经出现或者即将出现的新技术和方法，直观上均表现为一种异常行为。建议部署工控审 计系统，全面采集工业控制系统相关网络设备的原始流量以及各终端和服务器上的日志； 结合基于行为的业务审计模型对采集到的信息进行综合分析，识别发现业务中可能存在
的异常流量与异常操作行为，发现 APT 攻击的一些蛛丝马迹，甚至可能还原整个 APT 攻击场景。 鉴于工业控制系统业务场景比较稳定、操作行为比较规范的实际情况，在实施异常
行为审计的同时，也可以考虑引入基于白环境的异常检测模型[LHP2013]，对工业控制系统中 的异常操作行为进行实时检测与发现。
①绿盟科技的威胁分析系统（NSFOCUS TAC）[NS2013]，通过基于虚拟执行技术的动态解
码能力，使得 TAC 可检测多态 Shellcode、防范零日漏洞攻击，并通过于 NGIPS 等产品的协 同提高了识别并防范未知安全威胁的能力。

参考资料

绿盟 2014工控系统的安全研究与实践报告

友情链接

GB 35114-2017 公共安全视频监控联网信息安全技术要求