2023工控系統(tǒng)防御困境應(yīng)對(duì)

工控系統(tǒng)防御困境及其應(yīng)對(duì)主要內(nèi)容 一、問(wèn)題提出：威脅建模分析 二、趨勢(shì)分析：工控漏洞情況 二、重點(diǎn)聚焦：PLC安全研究 四、防護(hù)之難：現(xiàn)實(shí)與展望SCADA之父：物理隔離沒(méi)什么用2016年6月，F(xiàn)aizelLakhani“電力控制系統(tǒng)在設(shè)計(jì)過(guò)程中從來(lái)沒(méi)有考慮過(guò)網(wǎng)絡(luò)安全。它們的設(shè)計(jì)目的是管理校準(zhǔn)器和電壓電流，目前它們的功能也僅限于此。”誰(shuí)是FaizelLakhani？20年前，使用一臺(tái)PDP-11，制造了電站公司歷史上的第一個(gè)SCADA系統(tǒng)：OntarioHydro。SCADA技術(shù)此后變得無(wú)處不在。CybersecurityMythsonPowerControlSystems:21MisconceptionsandFalseBeliefsIEEETRANSACTIONSONPOWERDELIVERY,VOL.26,NO.1,JANUARY2011連接世界與被世界連接的問(wèn)題！復(fù)雜系統(tǒng)設(shè)計(jì)缺陷（漏洞）不可避免復(fù)雜系統(tǒng)設(shè)計(jì)缺陷（漏洞）不可避免全球化時(shí)代“被后門(mén)”不可避免全球化時(shí)代“被后門(mén)”不可避免尚不能實(shí)現(xiàn)“泛在徹底”的自主可控尚不能實(shí)現(xiàn)“泛在徹底”的自主可控SiemensSIMATICS7-300Denial-of-ServiceVulnerability Advisory(ICSA-16-161-01)Originalreleasedate:June09,2016|Lastrevised:June10,2016 AFFECTEDPRODUCTSSiemensreportsthatthevulnerabilityaffectsthefollowingproducts: SIMATICS7-300CPUswithProfinetsupport:AllversionspriortoV3.2.12,andSIMATICS7-300CPUswithoutProfinetsupport:AllversionspriortoV3.3.12.IMPACTAnexploitofthisvulnerabilitycouldcausetheaffecteddevicetogointodefectmode,requiringacoldrestarttorecoverthesystem.面臨的風(fēng)險(xiǎn)威脅 兩化融合帶來(lái)的風(fēng)險(xiǎn) 采用通用軟硬件帶來(lái)的危害 漏洞后門(mén)所帶來(lái)的問(wèn)題 新技術(shù)帶來(lái)的新挑戰(zhàn) 面對(duì)“國(guó)家隊(duì)”威脅AttackSurface分析威脅建模AttackSurface分析工業(yè)控制系統(tǒng)脆弱性分析脆弱性種類(lèi)工業(yè)控制系統(tǒng)中不適當(dāng)?shù)男畔踩呗裕蝗藛T缺乏ICS的安全培訓(xùn)與意識(shí)培養(yǎng)；安全流程或流程執(zhí)行不到位慮患系統(tǒng)部署復(fù)雜，系統(tǒng)、軟件更新問(wèn)題突出面臨威脅來(lái)源多（APT）

平臺(tái)配置的脆弱性平臺(tái)硬件脆弱性平臺(tái)軟件的脆弱性

網(wǎng)絡(luò)配置的脆弱性網(wǎng)絡(luò)硬件的脆弱性網(wǎng)絡(luò)邊界的脆弱性網(wǎng)絡(luò)監(jiān)控與日志的脆弱性給數(shù)據(jù)獲取設(shè)備直接發(fā)送命令大多數(shù)的PLC，協(xié)議轉(zhuǎn)換器，數(shù)據(jù)獲取服務(wù)器缺乏最基本的認(rèn)證。導(dǎo)出HMI屏幕改變DatabaseMan-in-the-MiddleAttacks通過(guò)插入命令到命令流里來(lái)導(dǎo)致任意或者目標(biāo)命令執(zhí)行Falsedatainjection以PowerGrid為例：偽造測(cè)量數(shù)據(jù)避免被檢測(cè)為“壞”數(shù)據(jù)誤導(dǎo)控制器概念驗(yàn)證病毒 PLC-Blaster:AWormLivingSolelyinthePLCTargetdiscoveryPortscanner(TCP102);DISCONCarrierImplementtheTSEND,TRCVActivationBuilt-inPayloadsAlotofpossibilities

Memoryusage38,5kbRAM216,6kbmemoryModelRAMPersistentMemoryS7-121150kb(77%)1Mb(21%)S7-121275kb(51%)1MB(5%)S7-1214100kb(38%)4MB(5%)S7-1215125kb(30%)4MB(5%)S7-1217150kb(25%)4MB(5%)二、焦點(diǎn)問(wèn)題：工控系統(tǒng)漏洞 在CVE的7w多漏洞，涉及工控系統(tǒng)漏洞在400以上，其中西門(mén)子、施耐德的漏洞超過(guò)了總數(shù)的50%BlackHat，S.Bratus,“FuzzingproprietarySCADAprotocols,”presentedattheSlidespresentedattheBlackHatUSAConf.,LasVegas,NV,Aug.2008M.Bristow,“ModScan:aSCADAModbusnetworkscanner,”presentedattheDefCon-16Conf.,LasVegas,NV,2008,slidespresentedD.Goodin,“GasrefineriesatDefcon1asSCADAexploitgoeswild—Atleasttheyshouldbe.,”TheRegister,Sep.2008.BERESFORD,D.ExploitingSiemensSimaticS7PLCs.InBlackHatUSA(2011).工控事件所涉及的重要行業(yè)及分布2014年新增漏洞威脅分類(lèi)及占用比分析66%22%11%2013年工控漏洞分類(lèi)統(tǒng)計(jì)66%22%11%13%28%58%2014年工控漏洞分類(lèi)統(tǒng)計(jì)13%28%58%漏洞數(shù)量漏洞利用代碼數(shù)量ExploitExploit20181614121086420201020112012201320142015PLCCodeVulnerabilitiesThroughSCADASystems，SidneyE.Valentine,Jr.南加州大學(xué)，2013BuildingtheBuildingthe多次定義的對(duì)象，例如：線圈、定時(shí)器、計(jì)數(shù)器等在初始數(shù)據(jù)庫(kù)中定義，但在梯形圖邏輯中從未使用VulnerabilityTaxonomy:SoftwareBased(Virtual)ErrorsBuildingthe從2013和2014年工控漏洞事件分類(lèi)統(tǒng)計(jì)來(lái)看，公開(kāi)漏洞中以SCADA/HMI系統(tǒng)相關(guān)的漏洞最多，其占比超過(guò)了1/2。其中工控漏洞事件中，包括可編程邏輯控制器（PLC），智能電子設(shè)備（IED）的漏洞事件比重有所上升，由13年的11%上升到14年的28%,其中引起該占用比上升的主要原因是可編程邏輯控制器（PLC）新增漏洞數(shù)量的增加。可見(jiàn)，在工控系統(tǒng)中，攻防雙方可能把主要精力放在了工控系統(tǒng)的控制設(shè)備、工業(yè)控制管理軟件系統(tǒng)上。而且隨著時(shí)間的推移，越來(lái)越多人開(kāi)始關(guān)注PLC的安全問(wèn)題。三、PLC安全研究 PLC是專(zhuān)為工業(yè)控制而開(kāi)發(fā)的裝置，其主要使用者是工廠廣大電氣技術(shù)人員，為了適應(yīng)他們的傳統(tǒng)習(xí)慣和掌握能力，通常PLC不采用微機(jī)的編程語(yǔ)言，而常常采用面向控制過(guò)程、面向問(wèn)題的“自然語(yǔ)言”編程。國(guó)際電工委員會(huì)（IEC）1994年5月公布的IEC-61131-3（可編程控制器語(yǔ)言標(biāo)準(zhǔn)）規(guī)定了句法、語(yǔ)義和5種編程語(yǔ)言：功能表圖（sequentialfunctionchart）、梯形圖（Ladderdiagram）、功能塊圖（Functionblackdiagram）、指令表（Instructionlist）、結(jié)構(gòu)文本（structuredtext）。梯形圖和功能塊圖為圖形語(yǔ)言，指令表和結(jié)構(gòu)文本為文字語(yǔ)言，功能表圖是一種結(jié)構(gòu)塊控制流程圖。 從安全分析角度看，防范PLC的攻擊面存在于：上位機(jī)PC、以太網(wǎng)的其它連接，提供的HTTP、FTP等服務(wù)接口，傳感層（或者說(shuō)現(xiàn)場(chǎng)層）的I/O輸入等。攻擊者的目標(biāo)和意圖PLC運(yùn)行時(shí)系統(tǒng) 讀工程文件 運(yùn)行/終止梯形邏輯 下載梯形邏輯 查看梯形邏輯源碼 改變梯形邏輯代碼 讀寫(xiě)總線 讀寫(xiě)進(jìn)程值 執(zhí)行梯形邏輯

文件系統(tǒng) 讀寫(xiě)文件 讀寫(xiě)PLC配置文件 讀寫(xiě)PLC件 刪除文件 格式化文件系統(tǒng) 改變文件權(quán)限控制器管理系統(tǒng) 重啟PLC 恢復(fù)缺省設(shè)置 停止PLC 配置I/O模塊

操作系統(tǒng) 系統(tǒng)調(diào)用 通信 代碼執(zhí)行固件 上傳固件 下載固件 改變固件“攻擊樹(shù)”模型PLC安全的概述 J.Mulder,M.Schwartz,M.Berg,J.V.Houten,J.Urrea,andA.Pease,“AnalysisofFieldDevicesUsedinIndustrialControlSystems,”inCriticalInfrastructureProtectionVI.Springer,pp.45–57，分析了PLC的弱點(diǎn)，包括硬件、固件、背板通信分析。 L.McMinn,“ExternalVerificationofSCADASystemEmbeddedControllerFirmware,”Master’sthesis,AirForceInstituteofTechnology,March2012.，外部驗(yàn)證工具用于記錄和監(jiān)視PLC的所有更新，本質(zhì)上提供了基于硬件的配置管理。 C.BellettiniandJ.Rrushi,“CombatingMemoryCorruptionAttacksonSCADADevices,”CriticalInfrastructureProtectionII,vol.pp.141–156,2009，提出了加密內(nèi)存的保護(hù)方式，來(lái)防止惡意代碼修改。K.Sickendick,“FileCarvingandMalwareIdentificationAlgorithmsAppliedtoFirmwareReverseEngineering,”Master’sthesis,AirForceInstituteofTechnology,March2013S.Dunlap,“Timing-BasedSideChannelAnalysisintheIndustrialControlSystemEnvironment,”Master’sthesis,AirForceInstituteofTechnology,June2013.使用PLC執(zhí)行時(shí)間作為邊信道來(lái)檢測(cè)潛在的威脅的PLC，PLC與工作站不同，其行為固定，固定時(shí)間的約束提供了非授權(quán)修改檢測(cè)的有效尺度。Z.Basnight,J.Butts,J.L.Jr,andT.Dube,“FirmwareModificationAttacksonProgrammableLogicControllers,”InternationalJournalofCriticalInfrastructureProtection,由于嵌入式設(shè)備缺乏較強(qiáng)的認(rèn)證、輸入的驗(yàn)證、文件完整性驗(yàn)證等，可能會(huì)導(dǎo)致固件被篡改。值得注意的是：?jiǎn)蝹€(gè)PLC可能是多個(gè)不同廠商例如ARM和PPC等不同類(lèi)型處理器的混合。S7-200包含德州儀器處理器、AMD驅(qū)動(dòng)的flashmemory，Atmel的模擬I/O的芯片等。Firmware的問(wèn)題 羅克韋爾1756ENBTEthernetmodule和光洋（KOYO）H4-ECOM100EthernetmoduleBydisassemblingthebinaryfirmware,theywereabletofingerprintthesystemandreverseengineertheformatofthefirmwareandthechecksumalgorithm.1756ENBTModules H4-ECOM100ATrustedSafetyVerifierforProcessControllerCode—TSV架構(gòu)引入了符號(hào)執(zhí)行的方法：aminimalTCBfortheverificationofsafety-criticalcodeexecutedonprogrammablecontrollers.NocontrollercodeisallowedtobeexecutedbeforeitpassesphysicalsafetychecksbyTSV.NDSS2014，StephenMcLaughlin,PennsylvaniaStateUniversity西門(mén)子PLC相關(guān) 循環(huán)執(zhí)行模型及I/O程序結(jié)構(gòu)和組織SIEMENSS7-300、CPU31XC和CPU31X的技術(shù)數(shù)據(jù)手冊(cè)PLC代碼的邏輯驗(yàn)證問(wèn)題 一個(gè)PLC一個(gè)掃描周期； 在每次掃描周期，有從工廠的各個(gè)傳感器輸入標(biāo)量I，邏輯處理產(chǎn)生的一組輸出變量O，傳遞給物理設(shè)備的動(dòng)作行為，邏輯還維護(hù)一組內(nèi)部狀態(tài)變量C，以及時(shí)鐘變量T。以西門(mén)子的S7為例，就為I，O，C，T域。 不論P(yáng)LC上的程序以何種形式語(yǔ)言編程，大多數(shù)PLC程序都可以看作是一組布爾表達(dá)式φ.因此，可以采用基于IR的邏輯驗(yàn)證方法。N.G.Ferreira.AutomaticVerificationofSafetyRulesforaSubwayControlSoftware.InProceedingsoftheBrazilianSymposiumFormalMethods(SBMF),2004.T.ParkandP.I.Barton.FormalVerificationofSequenceControllers.Computers&ChemicalEngineering.G.Canet,TowardsTheautomaticverificationofPLCprogramwritteninInstructionList.InProc.IEEEConf.Systems,ManCybernetics(SMC2000)pages2449-2454.PLC “Ondynamicmalwarepayloadsaimedatprogrammablelogiccontrollers.”inHotSec,2011. payload的產(chǎn)生包括：推斷safetyinterlock，導(dǎo)致系統(tǒng)進(jìn)入非安全狀態(tài)PLC惡意代碼載荷的生成 推斷工廠結(jié)構(gòu)和目的 以交通信號(hào)控制為例 輸出變量o6依賴(lài)于o1,o4作為終止條件，o6互鎖于o1、o4，當(dāng)兩個(gè)相反的綠燈o1，o4同時(shí)激活，o6發(fā)報(bào)警。因此，賦值o1<-1,o4<-1,o6<-0A.Ferrari,ModelCheckingInterlockingControlTables.InE.SchniederandG.Tarnai,editors,FORMS/FORMAT2010.2011.SABOT：基于規(guī)則的PLC攻擊載荷生成 CCS2012 核心目標(biāo)：恢復(fù)PLC內(nèi)存位置的語(yǔ)義，并且與物理設(shè)備相匹配 VariableToDeviceMapping Decompilation：將控制邏輯的字節(jié)， 碼形式翻譯成約束的中間表示形式， 再將該約束翻譯成NuSMV模型檢測(cè) 工具接受的語(yǔ)言M。Internet-FacingPLCs-ANewBackOrifice JohannesKlick，BlackHat2015 Introduction ?TraditionalAttackVectors ?Internet-facingPLCs ?GenerellAttackOverview SiemensPLCs ?STLLanguageanditsMC7Bytecode ?S7CommProtocol(downloadingprogramb AttackDetails ?PLCCodeInjectionwithPLCinject(Demo ?SNMPScanner&SOCKSProxyinSTL注意的問(wèn)題四、現(xiàn)實(shí)與展望工業(yè)控制系統(tǒng)防護(hù)之難工業(yè)控制系統(tǒng)防護(hù)之難1Safety要求高！一旦做出危害性行為，后果不可估量安全性、魯棒性、實(shí)時(shí)性要求高2Update2Update比較困難宕機(jī)和重啟可能是災(zāi)難性的3有限的計(jì)算能力3有限的計(jì)算能力產(chǎn)品成本、惡劣環(huán)境、簡(jiǎn)單可靠現(xiàn)有防護(hù)方案防護(hù)體系類(lèi)：

防護(hù)策略方案類(lèi)：

①基于ICS、①基于ICS、SCADA安全域的防護(hù)策略，電力系統(tǒng)防護(hù)方案，②異常檢測(cè)、專(zhuān)用網(wǎng)絡(luò)專(zhuān)用隔離、加密認(rèn)證的scada安全防護(hù)方案，③區(qū)域隔