工業(yè)控制系統(tǒng)安全

SIEMENS工業(yè)基礎(chǔ)設(shè)施信息安全西門子中國研究院信息安全部Copyright?SiemensLtd.China,CooperateTechnology2011.Allrightsreserved.一一二三四二三四SiemensAnswersPage2Dr.WenTangIT-Security,CTChina工業(yè)自動化是在產(chǎn)品制造與服務提供中采用控制系統(tǒng)與信息技術(shù)。目前，工業(yè)自動化在世界經(jīng)濟與日常生活中起到了越來越重要的作用。目前，工業(yè)自動化控制系統(tǒng)的作用已經(jīng)遠遠超出了傳統(tǒng)的制造領(lǐng)域，例如替代更精準地執(zhí)行篩選試驗與實驗分析等操作銀行取款與辦理業(yè)務的需要Page3Dr.WenTangIT-Security,CTChina工業(yè)基礎(chǔ)設(shè)施構(gòu)成了我國國民經(jīng)濟、現(xiàn)代社會以及國家安全的重要基礎(chǔ)與傳統(tǒng)的IT信息安全不同，工業(yè)基礎(chǔ)設(shè)施中n人員傷亡n公司聲譽受損n危及公眾生活及國家安全n破壞基礎(chǔ)設(shè)施n嚴重的經(jīng)濟損失等Page4Dr.WenTangIT-Security,CTChina工業(yè)信息安全就是要為制造工廠與n破壞制造工廠n操縱數(shù)據(jù)或應用軟件n對系統(tǒng)功能的未經(jīng)授權(quán)的訪問近年來，各種安全事件已經(jīng)充分說明脆弱性Page5Dr.WenTangIT-Security,CTChinan1994年，美國亞利桑那州SaltRiverProject(入侵n2000年，俄羅斯政府聲稱黑客成功控制了世界上最大的天然氣輸送管道網(wǎng)絡（屬于GAzprom公司）n2001年，黑客侵入了監(jiān)管加州多數(shù)電力傳輸系統(tǒng)的獨立運n2003年,美國俄亥俄州Davis-Besse的核電廠控制網(wǎng)絡內(nèi)的一臺計算機被微軟的SQLServer蠕蟲所感染，導致其安全監(jiān)控系統(tǒng)停機將近5小時n2003年，龍泉、政平、鵝城換流站控制系統(tǒng)發(fā)現(xiàn)病毒，外國工程師在系統(tǒng)調(diào)試中用筆記本電腦上網(wǎng)所致。n2008年，黑客劫持了南美洲某國的電網(wǎng)控制系統(tǒng)，敲詐該國政府，在遭到拒絕后，攻擊并導致電力中斷幾分鐘n2008年，在美國國土安全局的一次針對電力系統(tǒng)的滲透測試中，一臺發(fā)電機在其控制系統(tǒng)收到攻擊后被物理損壞Page6Dr.WenTangIT-Security,CTChinan2000年，一個工程師在應聘澳大利亞的一家污水處理廠被多次拒絕后，遠程侵入該廠的污水處理控制系統(tǒng)，惡意造成污水處理泵站的故障，導致超過1000立方米的污水被直接排入河流，導致嚴重的環(huán)境災難n2006年，黑客從Internet攻破了美國哈里斯堡的一家污水處理廠的安全措施，在其系統(tǒng)內(nèi)植入了能夠影響污水操作的惡意程序。n2007年，攻擊者侵入加拿大的一個水利SCADA控制系統(tǒng)，通過安裝惡意軟件破壞了用于控制從Sacrmento河調(diào)水的控制計算機。Page7Dr.WenTangIT-Security,CTChina干擾了航空與地面通信，導致馬薩諸塞州的Worcester機場關(guān)閉6個小時n2003年，CSX運輸公司的計算機系統(tǒng)被病毒感染，導致華盛頓特區(qū)的客貨運輸中斷n2003年，19歲的AaronCaffrey侵入Houston渡口的計算機系統(tǒng)，導致該系統(tǒng)停機n2008年，一少年攻擊了波蘭Lodz的城鐵系統(tǒng)，用一個電視遙控器改變軌道扳道器，導致4節(jié)車廂出軌Page8Dr.WenTangIT-Security,CTChinan1992年，一前雇員關(guān)閉了雪佛龍位于22個州的應急警報系統(tǒng)，直到一次緊急事件發(fā)生之后才被發(fā)現(xiàn)n2005年，在Zotob蠕蟲安全事件中，盡管在Internet與企業(yè)網(wǎng)、控制網(wǎng)之間部署了防火墻，還是有13個美國汽車廠由于被蠕蟲感染而被迫關(guān)閉，50,000生產(chǎn)線工人被迫停止工作，預計經(jīng)濟損失超過1,400,000美元n在2005年的InfraGard大會上，BCIT科學家EricByres聲稱在用普通的掃描器掃描某著名品牌PLC時導致其崩潰Page9Dr.WenTangIT-Security,CTChina客戶信息收集與解決措施發(fā)布 107.19.客戶信息收集與解決措施發(fā)布 107.19.西門子官方發(fā)布關(guān)于 207.21.發(fā)布關(guān)于病毒的FA CaseStudy:Stuxnet“震網(wǎng)”分析過程1122334以及主要的4以及主要的PLC負載代碼；結(jié)束初步分析階段報告5 408.02.微軟發(fā)布更新補丁，修補了安全漏洞 5至今仍在及時更新產(chǎn)品信息以及病毒感染狀態(tài)1423514235第二周第三周第四周第二周第三周第四周第一周34 34 5Page10Dr.WenTangIT-Security,CTChinaStuxnet分析Stuxnet分析影響感染普通PC數(shù)>10000感染普通PC數(shù)>100000nStuxnet具有異常精巧的傳播與感染機制n制作該病毒需要非常豐富的SIMATIC編程及工業(yè)現(xiàn)場的專家知識WinCC服務器Source:SüddeutscheZeitungOnline,22.9.2010Page11SicherheitinderInformationstechnikDr.WenTangI傳播負載：木馬試圖下載PLC代碼模塊WindowsPC傳播負載：木馬試圖下載PLC代碼模塊WindowsPC基于手工、人工項目文件基于局域網(wǎng)的匿名網(wǎng)絡Stuxnet編譯模塊病毒載體木馬l由木馬打包下載代碼模塊木馬l由木馬打包下載代碼模塊l試圖篡改PLC417/315-2的代碼代碼模塊支撐功能病毒負載Page12Dr.WenTangIT-Security,CTChina示例：具備安全防范機制的工業(yè)控制網(wǎng)絡布局WinCC服務器Page13Dr.WenTangIT-Security,CTChinaStuxnet：成功篡改PLC代碼的條件CPU315CPU315成功篡改的必要條件40%ofMC7Code 1. 1.SZL0x111包含“6ES73152”字符串1.SZL1.SZL0x111包含6ES7315-2字符串2.CCRtsLoader.exe處于運行狀態(tài)（說明WinCC已啟動）3.計時19分鐘后，觸發(fā)篡改操作4.CPU中存在OB1程序模塊5.最少有一臺CP342-5被組態(tài)為CentralRack6.最少有一臺CP卡的工作模式為DP-Slave，其余CP卡的工作模式為DP-Master7.掃描所有類型為2000的SDB模塊，查找slaveidentnumbers為0x7050或0x9500的模塊8.最少找到33個滿足要求的模塊（也就是最少需要有34個DP-Slaves）9.CPU中存在名字為“DP_RECV“的FC2程序塊10.檢查CPU中MC7-blocks木馬的數(shù)字完全不受約束篡改篡改CPU315-2的用戶代碼60%of60%ofMC7CodeinactiveCPU417組態(tài)CPU（SDB0,SDB4,SDB7存在于加載內(nèi)存中）SZL0x111包含“6ES7417”字符串無法從CPU讀取SDB7無法從CPU讀取SDBSZL0x111包含“6ES7417”字符串無法從CPU讀取SDB7無法從CPU讀取SDB0OB1存在且可以從CPU讀取OB1尚未被感染無法從CPU讀?。ǖ诙螄L試）無條件的取消篡改流程hook()（下載程序塊）s7blk_write_s7blk_write_SZL0x111包含“6ES7417”字符串調(diào)用hook()（下載程序塊）withoutconditionsSDB72.successfulupload,activationof-->SDB7isunchangedDB8061ischangedSDB01.UploadofSDB0successful2.Manipulation-CheckofSDB0(pwfield)3.Abort,becauseCPUisnotmanipulateduptonowsuccessfulcancelledhook()hook()Dr.WenTangIT-Security,CTChinaStuxnet分析–加載動態(tài)鏈接庫ls7otbxdx.dll負責與PLC通訊l原始的s7otbxdx.dll被病毒重命名并被負載!!協(xié)調(diào)PLC上的惡意協(xié)調(diào)PLC上的惡意16個回調(diào)函數(shù):(s7db_open,s7blk_read,…)?被動偵察Passivereconnaissance?隱藏惡意代碼塊?隱藏篡改過程不活躍不活躍40%Code60%Dr.WenTang時長為5秒的線程:?實現(xiàn)狀態(tài)機?協(xié)調(diào)運行在PLC上的惡意代碼狀態(tài)機IT-Security,CTChina1WinCC客戶端25感染線程運行在Step7DLL中，并上傳MC7惡意代碼到1WinCC客戶端25感染線程運行在Step7DLL中，并上傳MC7惡意代碼到其他相鄰PLC上控制線程里的狀態(tài)機通過恢復預先記錄的頻率值來隱藏自己的篡改操作34WinCC服務器在一個時長為5秒的控制線程里34WinCC服務器在一個時長為5秒的控制線程里狀態(tài)機負責同步相鄰PLC的操作DB890DB890PLC中的狀態(tài)機通過DB890數(shù)據(jù)模塊與Step7DLL通訊315-2PLC112255DB890DB890PLC中的狀態(tài)機通過DB890數(shù)據(jù)模塊與Step7DLL通訊315-2PLC1122553MC7狀態(tài)機篡改控制頻率轉(zhuǎn)換器的代碼33MC7狀態(tài)機篡改控制頻率轉(zhuǎn)換器的代碼34444運行在315PLC上的MC7惡意代碼實現(xiàn)狀態(tài)運行在315PLC上的MC7惡意代碼實現(xiàn)狀態(tài)機...Page16Dr.WenTangIT-Security,CTChina是否與西門子有關(guān)？是否與西門子有關(guān)？-利用Windows0-day漏洞，對所有ICS系統(tǒng)都具有侵略性；-西門子第一時間做出應急響應，包括分析病毒樣本、收集客戶信息、發(fā)布病毒分析報告以及解決措施。 -目前主流的反病毒軟件均可檢測 -目前主流的反病毒軟件均可檢測Stuxnet，因此需要對系統(tǒng)所有設(shè)備進行病毒掃描，包括嵌入式網(wǎng)絡設(shè)備、工業(yè)PC、服務器以及虛擬機等；-安裝Windows系統(tǒng)漏洞補丁1和西門子SIMATIC安全更新補丁2。-在所有設(shè)備上安裝反病毒軟件或防火墻；-制定可移動存儲設(shè)備和局域網(wǎng)共享功能的使用規(guī)范和流程，并嚴格遵守執(zhí)行；-加強內(nèi)部員工的安全意識培養(yǎng)。注:1.2.Page17Dr.WenTangIT-Security,CTChina一一二三四二三四SiemensAnswersPage18Dr.WenTangIT-Security,CTChinaApplicationLayerTransportLayerApplicationLayerTransportLayer越來越多的基礎(chǔ)設(shè)施工業(yè)領(lǐng)域開始采用最新的IT技術(shù)ControlProtocolInternetLayer?將TCP/IP作為網(wǎng)絡基礎(chǔ)設(shè)施，將工業(yè)控制協(xié)議遷移到應用層ControlProtocolInternetLayerNetworkAccessLayerNetworkAccessLayerNetworkAccessLayer?廣泛采用標準的商用操作系統(tǒng)、設(shè)備、中間新安全挑戰(zhàn)在享受IT技術(shù)帶來的益處的同時，針對工業(yè)控制網(wǎng)絡的安全威脅也在與日俱增?設(shè)備/軟件/應用的互聯(lián)使得攻擊能夠很容易地借助于TCP/IP網(wǎng)擴展到其他系統(tǒng)?應用層安全成為了ICS系統(tǒng)的關(guān)鍵?傳統(tǒng)的IT安全解決方案不足以應對工業(yè)基礎(chǔ)設(shè)施領(lǐng)域的全新安全需求件與各種應用從而，越來越多的工業(yè)控制網(wǎng)絡正由封閉、私有轉(zhuǎn)向開放、互聯(lián)Page19Dr.WenTangIT-Security,CTChinaIndustrialControlSystemSCADADCS安全?應用控制、過程控制、監(jiān)控與采集等安全?應用安全?安全?通信通信安全?設(shè)備設(shè)備Page20Dr.WenTangIT-Security,CTChina安全解決方案應當充分考慮工業(yè)應用場景的特點IntegrityAvailabilityIntegrityAvailabilityn不間斷的可操作性，并確保系統(tǒng)可訪問AvailabilityIntegrityConfidentialityAvailabilityIntegrityConfidentialityPage21Dr.WenTangIT-Security,CTChina策略與流程的脆弱性n缺乏ICS的安全培訓與意識培養(yǎng)n缺乏根據(jù)安全策略制定的，正規(guī)、可備案的安全流程n缺乏ICS設(shè)備安全部署的實施指南n缺乏針對ICS的業(yè)務連續(xù)性與災難恢復計劃n缺乏針對ICS配置變更管理取決于企業(yè)的安全管理的水平Page22Dr.WenTangIT-Security,CTChinaInternetInternetRemoteOPCMaintainClientWEBVideoOfficeClientClientPCLaptopDHCPDNSOAPrinterRemoteOPCMaintainClientWEBVideoOfficeClientClientPCLaptopDHCPDNSOAPrinterSAP安全可備據(jù)據(jù)乏根缺策略制定案的AppServerSupervisoryStationsEngineerStationDataHistorianMaintainStationWinCCStationOPCServerWEBServerSCALANCEX-200據(jù)缺乏根據(jù)安全策略制定的，正規(guī)可備案的安全流程n移動存儲設(shè)備安全使用流程與規(guī)章制度n互聯(lián)網(wǎng)安全訪問流程與規(guī)章制度MobileEng.PrimaryRedundantSIEMStationControlServerControlServerS7-400S7-300SCALANCEPROFINET1000MIndustrialEthernetSCALANCEX-400X-400缺乏人事安全策略與流程n人事（招聘、離職）安全流程與規(guī)章制度nICS安全培訓和意識培養(yǎng)課程S7-300MotionControlHMIET200Page23Dr.SCALANCEX-200據(jù)缺乏根據(jù)安全策略制定的，正規(guī)可備案的安全流程n移動存儲設(shè)備安全使用流程與規(guī)章制度n互聯(lián)網(wǎng)安全訪問流程與規(guī)章制度MobileEng.PrimaryRedundantSIEMStationControlServerControlServerS7-400S7-300SCALANCEPROFINET1000MIndustrialEthernetSCALANCEX-400X-400缺乏人事安全策略與流程n人事（招聘、離職）安全流程與規(guī)章制度nICS安全培訓和意識培養(yǎng)課程S7-300MotionControlHMIET200Page23Dr.WenTangIT-Security,CTChinaICS平臺的脆弱性平臺配置的脆弱性n對已知的OS、軟件漏洞未提供相應補丁nOS與應用補丁未經(jīng)過徹底的測試n數(shù)據(jù)未受保護地存儲在移動設(shè)備中口令泄露，或者口令易猜測平臺硬件的脆弱性n未授權(quán)的人員能夠物理訪問設(shè)備n對ICS組建的不安全的遠程訪問n采用雙網(wǎng)絡接口卡連接多個網(wǎng)絡長期以來，信息安全不是工業(yè)控制系統(tǒng)的主要設(shè)計目標長期以來，信息安全不是工業(yè)控制系統(tǒng)的主要設(shè)計目標Page24Dr.WenTangIT-Security,CTChinaICS平臺的脆弱性平臺軟件的脆弱性n對未定義/定義不清/非法的輸入處理不當n采用其資料能夠公開獲得的私有軟件n針對配置與編程軟件缺乏有效的認證與訪問控制惡意軟件的脆弱性n惡意軟件防護軟件及其病毒庫未更新長期以來，信息安全不是工業(yè)控制系統(tǒng)的主要設(shè)計目標長期以來，信息安全不是工業(yè)控制系統(tǒng)的主要設(shè)計目標Page25Dr.WenTangIT-Security,CTChinaInternetInternetRemoteOPCMaintainClientWEBVideoOfficeRemoteOPCMaintainClientWEBVideoOfficeClientClientPCLaptopDHCPDNSOAPrinterSAP缺乏病毒及惡意代碼的防護機制n未安裝病毒防護軟件及惡意代碼防護程序n未安裝病毒防護軟件及惡意代碼防護程序n沒有及時更新病毒庫以及惡意代碼庫n病毒及惡意代碼防護系統(tǒng)未得到充分測試MobileEng.PrimaryRedundantSIEMStationControlServerControlServerSCALANCEPROFINET1000MIndustrialEthernetSCALANCEX-400X-400↓SCALANCEW780S7-400S7-300HMIMotionControlAppServerSupervisoryStationsEngineerStationDataHistorianMaintainStationWinCCStationOPCServerWEBServer缺乏操作系統(tǒng)等軟件補丁的管理機制n沒有獲得針對已知的操作系統(tǒng)或軟件漏洞的缺乏操作系統(tǒng)等軟件補丁的管理機制n沒有獲得針對已知的操作系統(tǒng)或軟件漏洞的補丁或者更新n缺乏對系統(tǒng)補丁或者軟件更新的有效管理n系統(tǒng)補丁或者軟件更新未得到徹底測試SCALANCESCALANCEX-200X-200ET200S7-300ET200S7-300Page26Dr.WenTangIT-Security,CTChina網(wǎng)絡配置的脆弱性網(wǎng)絡硬件的脆弱性n非關(guān)鍵人員能夠訪問設(shè)備或網(wǎng)絡連接網(wǎng)絡邊界的脆弱性n控制相關(guān)的服務未部署在控制網(wǎng)絡內(nèi)工業(yè)控制網(wǎng)絡越來越多得采用開放、互聯(lián)技術(shù)工業(yè)控制網(wǎng)絡越來越多得采用開放、互聯(lián)技術(shù)，使得安全攻擊成為可能Page27Dr.WenTangIT-Security,CTChina網(wǎng)絡監(jiān)控與日志的脆弱性n防火墻、路由器日志記錄不充分無線連接的脆弱性n客戶端與AP之間的認證不充分網(wǎng)絡通信的脆弱性n未標識出關(guān)鍵的監(jiān)控與控制路徑n以明文方式采用標準的或文檔公開的通信協(xié)議或不存在工業(yè)控制網(wǎng)絡越來越多得采用開放、互聯(lián)技術(shù)工業(yè)控制網(wǎng)絡越來越多得采用開放、互聯(lián)技術(shù)，使得安全攻擊成為可能Page28Dr.WenTangIT-Security,CTChinaInternetInternetRemoteOPCMaintainClientWEBVideoOfficeRemoteOPCMaintainClientWEBVideoOfficeClientClientPCLaptopDHCPDNSOAPrinterSAP客戶端與AP之間的認證不充分n無任何認證機制n使用脆弱的認證機制，如WEP，容易被黑客破解而入侵網(wǎng)絡MobileEng.PrimaryRedundantSIEMStationControlServerControlServerSCALANCEPROFINET1000MIndustrialEthernetSCALANCEX-400X-400SCALANCEW780S7-400S7-300HMIMotionControlAppServerSupervisoryStationsEngineerStationDataHistorianMaintainStationWinCCStationOPCServerWEBServer客戶端與AP之間的數(shù)據(jù)缺乏保護n無任何數(shù)據(jù)加密機制n使用脆弱的數(shù)據(jù)加密機制，如TKIP，容易被黑客破解而監(jiān)聽、篡改數(shù)據(jù)客戶端與AP之間的數(shù)據(jù)缺乏保護n無任何數(shù)據(jù)加密機制n使用脆弱的數(shù)據(jù)加密機制，如TKIP，容易被黑客破解而監(jiān)聽、篡改數(shù)據(jù)SCALANCESCALANCEX-200X-200ET200S7-300ET200S7-300Page29Dr.WenTangIT-Security,CTChina一二一二三三四Siemens四SiemensAnswersPage30Dr.WenTangIT-Security,CTChina離訪問控制證工業(yè)場景下的安全解決方案必須考慮所有層次的安全防護工業(yè)場景下的安全解決方案必須考慮所有層次的安全防護Page31Dr.WenTangIT-Security,CTChina工業(yè)信息安全關(guān)鍵需求開展工業(yè)安全風險評估，建設(shè)全面的信息安全管理實現(xiàn)安全域的劃分與隔離，網(wǎng)絡接口遵從清晰的安全規(guī)范工業(yè)信息安全關(guān)鍵需求開展工業(yè)安全風險評估，建設(shè)全面的信息安全管理實現(xiàn)安全域的劃分與隔離，網(wǎng)絡接口遵從清晰的安全規(guī)范的Page32Dr.WenTangIT-Security,CTChina工業(yè)安全：確保高效生產(chǎn)、滿足安全需求全面的工廠安全防護自動化單元全面的工廠安全防護自動化單元防護自動化單元n對不同的防護層次，根據(jù)全面的安全方案，采取系統(tǒng)的安全措施防護自動化單元n工業(yè)安全的重要安全措施是對工業(yè)網(wǎng)絡進行隔離，創(chuàng)建安全自動化單元，并限制單元之間的通信n同一安全自動化單元內(nèi)的組件間的開放通信是由當前技術(shù)現(xiàn)狀與標準的生產(chǎn)）=自動化單元之間的安全通信Page33Dr.WenTangIT-Security,CTChina愿景：工業(yè)網(wǎng)絡縱深防御OfficeZoneDMZoneOfficeInternetPCLaptopDHCPDNSVideoClientWEBClient1OAPrinterSAPOfficeZoneDMZoneOfficeInternetPCLaptopDHCPDNSVideoClientWEBClient1OAPrinterSAP全事故和事件監(jiān)測SI第一道防線第一道防線第二道防線抵御多種威脅的聯(lián)合安全網(wǎng)關(guān)風險評估與風險評估與工業(yè)自動化控制安全管理咨詢22DataHistorian DataHistorian OPCServer WEBServer AppServer3322SCALANCEX-200Monitor&ControlZoneMgmtZone第三道防線工業(yè)PC的安全防護，如病毒掃描、配置安全、RBAC等第四道防線現(xiàn)場設(shè)備的近身防護，例如SCALANCES、CPAdvanced等第五道防線安全可靠的現(xiàn)場設(shè)備335n簡易的配置與無縫透明的部署n全面的防護與持續(xù)改進的管理ChinaEngineerWinCCStationStation Primary3ControlServer 4SCALANCEPROFINET1000MIndustrialEthernetX-4004ControlCellSCALANCE))W780(tS7-3005S7-300MotionControlHMISupervisoryStationsMaintainStationMobileEng.StationSIEM 3 3RedundantControlServer4SCALANCEX-400ControlCell4 445S7-400ET200SCALANCEX-200Monitor&ControlZoneMgmtZone第三道防線工業(yè)PC的安全防護，如病毒掃描、配置安全、RBAC等第四道防線現(xiàn)場設(shè)備的近身防護，例如SCALANCES、CPAdvanced等第五道防線安全可靠的現(xiàn)場設(shè)備335n簡易的配置與無縫透明的部署n全面的防護與持續(xù)改進的管理ChinaEngineerWinCCStationStation Primary3ControlServer 4SCALANCEPROFINET1000MIndustrialEthernetX-4004ControlCellSCALANCE))W780(tS7-3005S7-300MotionControlHMISupervisoryStationsMaintainStationMobileEng.StationSIEM 3 3RedundantControlServer4SCALANCEX-400ControlCell4 445S7-400ET200一二三一二三SiemensAnswers四四Page35Dr.WenTangIT-Security,CTChinan隨著越