工控人如何抵御針對(duì)PLC、上位機(jī)和交換機(jī)的網(wǎng)絡(luò)攻擊

2021/2/8 3:52:50 人評(píng)論次瀏覽分類：PLC應(yīng)用文章地址：http://m.prosperiteweb.com/tech/3597.html

目前很多企業(yè)數(shù)據(jù)上云，孤島聯(lián)網(wǎng)，數(shù)據(jù)集中管控，遠(yuǎn)程訪問(wèn)與維護(hù)，逐漸實(shí)現(xiàn)了互聯(lián)，但是聯(lián)網(wǎng)后隨之而來(lái)的網(wǎng)絡(luò)安全問(wèn)題也越來(lái)越多......企業(yè)既擔(dān)心網(wǎng)絡(luò)被攻擊，又擔(dān)心數(shù)據(jù)被竊取。那么，怎樣抵御工業(yè)控制系統(tǒng)網(wǎng)絡(luò)攻擊呢？

工業(yè)控制系統(tǒng)網(wǎng)絡(luò)攻擊中工控人重點(diǎn)需要保護(hù)的設(shè)備是：PLC、上位機(jī)、交換機(jī)。

針對(duì)PLC、上位機(jī)、交換機(jī)的網(wǎng)絡(luò)攻擊
1、PLC是如何被網(wǎng)絡(luò)攻擊的？
首先，昌暉儀表告知大家的是PLC并不是只有對(duì)應(yīng)的編程軟件才可以讓PLC啟動(dòng)和停止；通過(guò)很多HACK類工具均可對(duì)PLC進(jìn)行停止，寫值等等。

2、上位機(jī)是如何被攻網(wǎng)絡(luò)擊的？
那對(duì)于上位機(jī)就簡(jiǎn)單多了，比如通過(guò)U盤傳播，比如如下路徑：
①某工程師打開一封郵件，該郵件內(nèi)容再正常不過(guò)，但是有一個(gè)木馬程序已經(jīng)進(jìn)到你的操作系統(tǒng)。
②當(dāng)操作系統(tǒng)監(jiān)測(cè)到計(jì)算機(jī)有U盤插入，自動(dòng)復(fù)制一份副本到U盤。
③當(dāng)這個(gè)U盤拷貝了一個(gè)文件到現(xiàn)場(chǎng)工控機(jī)的時(shí)候，該文件自動(dòng)復(fù)制了一份到工控機(jī)系統(tǒng)。
④開始搜索注冊(cè)表，該系統(tǒng)是否安裝了Wincc。
⑤如果安裝：利用wincc漏洞SQL漏洞和S7otbxdx.dll進(jìn)行攻擊。
⑥讀取函數(shù)HOOK，修改Timer時(shí)間為無(wú)限長(zhǎng)。
⑦通過(guò)Step7自動(dòng)下裝到PLC。

這個(gè)過(guò)程大家是不是覺得很熟悉？Yes，它就是著名的STUXNET(震網(wǎng))，該病毒只需要操作員協(xié)助做一個(gè)動(dòng)作即可，那就是把U盤插在工控機(jī)上，這時(shí)STUXNET就會(huì)在神不知鬼不覺的情況下獲取工業(yè)控制電腦的控制權(quán)。

3、EtherNet/IP是如何被網(wǎng)絡(luò)攻擊的？
假如企業(yè)的系統(tǒng)是AB的PLC或者施耐德PLC，通過(guò)EtherNet/IP連接遠(yuǎn)程I/O，那么如果我們通過(guò)以太網(wǎng)發(fā)送極大的數(shù)據(jù)量到網(wǎng)絡(luò)內(nèi)，將網(wǎng)絡(luò)帶寬資源消耗盡或者我們1s發(fā)出1000次網(wǎng)絡(luò)請(qǐng)求，給其中一個(gè)以太網(wǎng)適配器，都會(huì)導(dǎo)致PLC和I/O之間網(wǎng)絡(luò)出現(xiàn)癱瘓，導(dǎo)致PLC系統(tǒng)失控。
EtherNet/IP被網(wǎng)絡(luò)攻擊

PLC、上位機(jī)和交換機(jī)如何抵御網(wǎng)絡(luò)攻擊，避免工業(yè)控制系統(tǒng)失控
工控人怎么避免PLC、上位機(jī)和交換機(jī)被網(wǎng)絡(luò)攻擊呢？使用工業(yè)安全隔離裝置是一種比較快捷有效的方式，工業(yè)安全隔離裝置集成工業(yè)防火墻，工業(yè)威脅監(jiān)測(cè)，事件中心，跳板機(jī)和沙箱；其硬件采用一臺(tái)物理服務(wù)器，內(nèi)部部署WiCloud一體化虛擬工控管理平臺(tái)，在此平臺(tái)上部署了五個(gè)虛擬機(jī)，分別為WiSecurity工業(yè)防火墻，工業(yè)威脅捕捉系統(tǒng)，事件中心，跳板機(jī) 以及沙箱。

下面昌暉儀表簡(jiǎn)單介紹工業(yè)安全隔離裝置的各項(xiàng)功能：
①WiSecurity工業(yè)防火墻
WiSecurity工業(yè)防火墻針對(duì)PLC具備如下功能：

a、圖片強(qiáng)化的注入防護(hù)
◆防地址溢出攻擊
◆防停止/下載/重啟/寫值命令注入
b、CRC錯(cuò)誤攻擊
◆漏洞利用
◆固件漏洞攻擊防護(hù)
◆工控軟件漏洞攻擊防護(hù)

工業(yè)安全隔離裝置支持多種工業(yè)協(xié)議

同時(shí)可支持如下工業(yè)協(xié)議，S7NET，EtherNet/IP，Modbus TCP，OPC以及DNP。另外也可告訴大家目前很多的工業(yè)協(xié)議防火墻，大部分情況只是端口防護(hù)。
工業(yè)安全隔離裝置在S7NET，EtherNet/IP和Modbus TCP/IP協(xié)議中具備協(xié)議特征識(shí)別的特性，也是防止PLC被惡意重啟，惡意寫值的主要防護(hù)。

②工業(yè)威脅捕捉系統(tǒng)
什么是工業(yè)威脅捕捉系統(tǒng)呢？該系統(tǒng)可以捕捉來(lái)自IT網(wǎng)絡(luò)邊界和OT網(wǎng)絡(luò)邊界的威脅和嗅探，說(shuō)的更加白話一點(diǎn)就像放這里一個(gè)蜜罐，用來(lái)吸引攻擊，分析攻擊，推測(cè)攻擊意圖，并將結(jié)果發(fā)送到工業(yè)防火墻進(jìn)行威脅阻斷。工業(yè)威脅捕捉系統(tǒng)是典型的主動(dòng)防御系統(tǒng)。

威脅捕捉技術(shù)本質(zhì)上是一種對(duì)攻擊方進(jìn)行欺騙的技術(shù)，通過(guò)布置一些作為誘餌的主機(jī)、網(wǎng)絡(luò)服務(wù)或者信息，誘使攻擊方對(duì)它們實(shí)施攻擊，從而可以對(duì)攻擊行為進(jìn)行捕獲和分析，了解攻擊方所使用的工具與方法，推測(cè)攻擊意圖和動(dòng)機(jī)，能夠讓防御方清晰地了解他們所面對(duì)的安全威脅，并通過(guò)技術(shù)和管理手段來(lái)增強(qiáng)實(shí)際系統(tǒng)的安全防護(hù)能力。

工業(yè)威脅捕捉系統(tǒng)好比是情報(bào)收集系統(tǒng)。好像是故意讓人攻擊的目標(biāo)，引誘黑客前來(lái)攻擊。所以攻擊者入侵后，你就可以知道他是如何得逞的，隨時(shí)了解針對(duì)服務(wù)器發(fā)動(dòng)的最新的攻擊和漏洞。還可以通過(guò)竊聽黑客之間的聯(lián)系，收集黑客所用的種種工具，并且掌握他們的社交網(wǎng)絡(luò)。

通過(guò)該工業(yè)威脅捕捉系統(tǒng)，當(dāng)網(wǎng)絡(luò)里有攻擊者的時(shí)候，威脅捕捉系統(tǒng)會(huì)偽裝成PLC系統(tǒng)，當(dāng)攻擊者攻擊威脅捕捉系統(tǒng)后，系統(tǒng)捕捉到攻擊信息，并進(jìn)行分析，同時(shí)將分析結(jié)果補(bǔ)充到防火墻，通過(guò)策略阻斷此攻擊。

工業(yè)威脅捕捉系統(tǒng)Redis釣魚演示

③事件中心
記錄所有節(jié)點(diǎn)的事件記錄，比如防火墻，交換機(jī)和計(jì)算機(jī)、服務(wù)器等；當(dāng)有故障發(fā)生的時(shí)候可進(jìn)入事件中心進(jìn)行事件記錄查詢，進(jìn)行故障追憶。

④跳板機(jī)
部署FireFox，Putty，Java SDK和錄屏軟件，跳板機(jī)的作用為當(dāng)設(shè)備廠家要對(duì)機(jī)器進(jìn)行遠(yuǎn)程維護(hù)的時(shí)候，不可以直接通過(guò)網(wǎng)絡(luò)接入設(shè)備，而要先經(jīng)過(guò)該跳板機(jī)，在跳板機(jī)上做維護(hù)操作，同時(shí)所有的操作會(huì)有錄屏，如果設(shè)備操作在維護(hù)自己設(shè)備的時(shí)候做了不屬于維護(hù)范圍內(nèi)的操作的時(shí)候，跳板機(jī)可以直接中斷其操作。

⑤沙箱測(cè)試系統(tǒng)
沙箱測(cè)試系統(tǒng)，用于測(cè)試欲安裝的軟件是否安全，可在沙箱系統(tǒng)做部署測(cè)試，如果安全，則可以在實(shí)體機(jī)安裝，如果有木馬和病毒集成，即將其銷毀。

工業(yè)安全隔離裝置可選安裝病毒服務(wù)器，病毒服務(wù)器軟件用戶自己部署，當(dāng)現(xiàn)場(chǎng)工控機(jī)部署了殺毒軟件，由于現(xiàn)場(chǎng)工控機(jī)一般不連接外網(wǎng)，導(dǎo)致病毒庫(kù)無(wú)法更新，如果部署了病毒服務(wù)器，可以通過(guò)病毒服務(wù)器對(duì)現(xiàn)場(chǎng)工控機(jī)病毒庫(kù)進(jìn)行更新，而病毒服務(wù)器自身病毒庫(kù)的更新可通過(guò)IFZ內(nèi)的防火墻后進(jìn)行更新。

因此，工業(yè)安全隔離裝置部署在OT和IT的邊界，可以降低PLC、上位機(jī)和交換機(jī)網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。
作者：曹俊義

相關(guān)閱讀
自動(dòng)化IT系統(tǒng)缺陷導(dǎo)致的安全事故同樣觸目驚心
工業(yè)信息安全:國(guó)內(nèi)大部分工業(yè)自動(dòng)化控制系統(tǒng)缺乏安全防護(hù)

上一篇：機(jī)器視覺軟件HALCON 19.11安裝步驟詳解

下一篇：如何計(jì)算S7-200 SMART的電源需求