工業(yè)互聯(lián)網背后的安全力量

2020年，“新基建”一詞再次火熱，工業(yè)互聯(lián)網作為新基建的七大領域之一， 受到了更多關注。今年兩會，工業(yè)互聯(lián)網連續(xù)第四年被寫入了政府工作報告。未來三年，可以預見工業(yè)互聯(lián)網將進入快速成長期。

工業(yè)互聯(lián)網和我們每個人并不是全無干系，現(xiàn)代生活很大程度上依賴于工業(yè)互聯(lián)網。水處理廠、電力公司、通信企業(yè)等都離不開SCADA系統(tǒng)(數(shù)據(jù)采集與監(jiān)視控制系統(tǒng))，如果它們的網絡遭到攻擊和破壞，將影響個人生活，企業(yè)乃至國家的正常運轉。

工控安全事件層出不窮

然而，工業(yè)互聯(lián)網中的設備和協(xié)議對網絡攻擊基本不設防，工業(yè)通信協(xié)議也大都是明文協(xié)議，這就導致攻擊者更容易入侵網絡。

2019年，委內瑞拉最大發(fā)電廠遭到攻擊，全國停電;

2020年，以色列水利基礎設施遭到攻擊，緊急更改所有聯(lián)網系統(tǒng)的口令;

2021年，美國能源系統(tǒng)遭到有史以來最嚴重的攻擊，美國政府宣布進入國家緊急狀態(tài)……

層出不窮的工控安全事件，為工業(yè)網絡安全敲響了警鐘。

工控網絡遭到攻擊的主要原因

早期，工控系統(tǒng)都是專網專用。但隨著工業(yè)互聯(lián)網的發(fā)展，信息化帶來的便利超出預期，暴露在網絡上的SCADA系統(tǒng)越來越多，其中不乏能源、交通等重要行業(yè)。

大部分SCADA系統(tǒng)是早期開發(fā)的，存在著許多漏洞。當能夠通過公網直接訪問這些SCADA系統(tǒng)時，也打開了網絡入侵的大門。

1、SCADA系統(tǒng)的暴露數(shù)量持續(xù)增長

在網絡空間安全搜索引擎FOFA上，可以搜索到大量暴露在公網上的SCADA系統(tǒng)，近一年的搜索結果就達5萬余個。

管理人員在安全方面不夠敏感，為了便利性或業(yè)務需要將SCADA系統(tǒng)直接映射到公網。攻擊者可以通過爬蟲、網絡掃描器等掃描到這些系統(tǒng)，通常使用弱口令破解登錄。

在FOFA上搜索到大量SCADA系統(tǒng)

2、SCADA系統(tǒng)具有Web訪問入口

SCADA系統(tǒng)一般是應用程序，部分具有Web管理界面，同時也有Web漏洞。常見的Web漏洞如SQL注入、XSS、CSRF等，都可能出現(xiàn)在SCADA系統(tǒng)的Web管理界面中，被攻擊者利用從而滲透進入系統(tǒng)。

某SCADA系統(tǒng)存在SQL注入漏洞

3、SCADA系統(tǒng)與PLC通信協(xié)議未加密

SCADA系統(tǒng)對PLC的訪問不需要認證，攻擊者可以修改報文后，進行重放攻擊。

例如，S7 communication是西門子專有協(xié)議，S7協(xié)議被封裝在TPKT和COTP協(xié)議中，這使得PDU(協(xié)議數(shù)據(jù)單元)能夠通過TCP傳送，實現(xiàn)從SCADA系統(tǒng)訪問PLC數(shù)據(jù)及診斷的目的。

S7以太網協(xié)議基于OSI模型

第五層TPKT介于TCP和COTP之間，是一個傳輸服務協(xié)議，主要用于在COTP和TCP之間建立橋梁。第六層COTP以Packet為基本單位傳輸數(shù)據(jù)，接收方會得到與發(fā)送方相同邊界的數(shù)據(jù)。第七層S7與用戶數(shù)據(jù)相關，對PLC數(shù)據(jù)的讀取和控制指令在這里完成。

因此，TPKT和COTP主要用于鑒權，一般不發(fā)生改變。如果把S7的功能碼解析出來，就可以對PLC進行控制。

解析功能碼

在公開信息中可以找到其他功能碼，并通過重放腳本進行重放攻擊，即模擬SCADA系統(tǒng)向PLC發(fā)包，對PLC進行控制。

工業(yè)互聯(lián)網背后的安全力量

工業(yè)互聯(lián)網打破了傳統(tǒng)工控系統(tǒng)的封閉格局，暴露出了以上這些安全問題。面向工業(yè)互聯(lián)網場景，安博通下一代防火墻產品已成為“智”造背后的安全力量。

1、資產清點發(fā)現(xiàn)，縮小公網暴露面

安博通下一代防火墻采用主動掃描和監(jiān)控主機流量的方式，識別網絡中的資產信息，包括PC、交換機、SCADA系統(tǒng)、PLC設備、HMI人機交互等。幫助管理人員掌握內網中的資產情況，識別潛在風險，減少未知開放服務。

2、WAF級別的Web安全防護

對于暴露在互聯(lián)網上的SCADA系統(tǒng)，在IT到OT這個網絡轉換的中間地帶，安博通下一代防火墻可以提供WAF級別的Web安全防護，攔截SCADA系統(tǒng)的請求。

以資產和攻擊者維度關聯(lián)安全事件，將攻擊過程階段化、具體化和可視化，為事后回溯提供數(shù)據(jù)支撐。看見攻擊者入侵了哪些內網主機，看清被影響范圍和受損情況。

不同維度的攻擊鏈分析

3、精準識別工控通信協(xié)議

工業(yè)互聯(lián)網中設備類型豐富，多數(shù)采用私有協(xié)議進行通訊，傳統(tǒng)防火墻對工控協(xié)議的識別能力較弱。為滿足工控行業(yè)的合規(guī)要求，安博通下一代防火墻通過自主研發(fā)的深度數(shù)據(jù)包解析引擎，能夠檢測主流廠商的工控協(xié)議并發(fā)現(xiàn)工控設備。

產品應用白名單機制保護SCADA系統(tǒng)與PLC之間的通信和控制，實現(xiàn)對主流工控協(xié)議內容的深度報文解析和精準識別，包括OPC、Modbus、Opcode、IEC104、DNP3、S7等協(xié)議。

工業(yè)互聯(lián)網將為“智”造行業(yè)構建通四方、行無阻的“高速公路”，成為工業(yè)經濟高質量發(fā)展的助推力。安博通堅持以原創(chuàng)技術做場景創(chuàng)新，成為工業(yè)數(shù)字化背后的安全力量。

來源：安博通

IT時代網(關注微信公眾號ITtime2000，定時推送，互動有福利驚喜)所有原創(chuàng)文章版權所有，未經授權，轉載必究。
創(chuàng)客100創(chuàng)投基金成立于2015年，直通硅谷，專注于TMT領域早期項目投資。LP均來自政府、互聯(lián)網IT、傳媒知名企業(yè)和個人。創(chuàng)客100創(chuàng)投基金對IT、通信、互聯(lián)網、IP等有著自己獨特眼光和豐富的資源。決策快、投資快是創(chuàng)客100基金最顯著的特點。

相關文章

工業(yè)互聯(lián)網背后的安全力量

5G網絡創(chuàng)新論壇|5G專網是運營商的重要轉型契機，但也面臨著四大挑戰(zhàn)

5G網絡創(chuàng)新論壇|5G+工業(yè)互聯(lián)網飛速發(fā)展，四大困惑引人深思

【政策】工信部印《行動計劃》 明確工業(yè)互聯(lián)網創(chuàng)新發(fā)展重點任務