今日頭條
官方微信
官方抖音
資訊頻道隨著“兩化”融合的不斷深入,傳統(tǒng)IT的安全威脅不斷涌向工業(yè)控制系統(tǒng),讓原本封閉和脆弱的工業(yè)控制系統(tǒng)雪上加霜。據(jù)美國國土安全部下屬的工業(yè)控制系統(tǒng)網(wǎng)絡應急響應小組(ICS-CERT)發(fā)布的報告披露,2014年9月至2015年2月期間共發(fā)生了245起網(wǎng)絡安全事件, 其中的154起影響了關鍵制造業(yè)、能源系統(tǒng)、化工和核設施。這些事件在發(fā)生頻率、復雜性和嚴重性上均有不同程度增加,且超過一半屬于高級持續(xù)性威脅(APT)。盡管企業(yè)在安全防護、監(jiān)控和檢測能力上已有所增強,但伴隨著工控系統(tǒng)攻擊行為的集團化、精準性特點越來越顯著,可被利用的安全漏洞在過去幾年逐年增多,充分了解自身安全風險顯得尤為必要。滲透測試作為發(fā)現(xiàn)工控系統(tǒng)脆弱性的有效補充手段,可驗證安全管理流程和技術防護措施的有效性,增強工業(yè)控制系統(tǒng)網(wǎng)絡安全性。
控制系統(tǒng)滲透測試淺析V23651490240058649693.png "工業(yè)控制系統(tǒng)滲透測試淺析V23651490240058649693.png")
圖1 ICS-CERT公布的發(fā)生在2014年9月到2015年2月期間的網(wǎng)絡安全事件
什么是滲透測試?
滲透測試是通過模擬惡意黑客的攻擊手段和方法,來評估網(wǎng)絡系統(tǒng)安全性的一種方法。不同于漏洞評估偏重于檢查系統(tǒng)和服務是否存在安全問題,滲透測試主要通過執(zhí)行漏洞利用來驗證系統(tǒng)確實存在漏洞。
基于滲透測試的特點,在對工業(yè)控制系統(tǒng)進行滲透測試時需特別注意,因為傳統(tǒng)的滲透測試方法可能會對工業(yè)控制系統(tǒng)基礎設施和生產(chǎn)過程產(chǎn)生嚴重影響。
為什么要,什么時候執(zhí)行滲透測試?
在工業(yè)控制系統(tǒng)環(huán)境中,滲透測試常常面臨質疑、恐懼,甚至被徹底否定。在不采取必要預防措施的情況下,滲透測試確實可能會對生產(chǎn)系統(tǒng)產(chǎn)生嚴重后果,但準確評估系統(tǒng)安全性的唯一途徑就是驗證生產(chǎn)系統(tǒng)面臨嚴重攻擊時的防護能力。工業(yè)控制網(wǎng)絡普遍采取多層結構的縱深安全防御體系,需要通過滲透測試來判斷防護措施的有效性。
滲透測試應貫穿風險評估工作的整個生命周期,包括:
驗證漏洞評估結果,剔除錯誤信息;
評判前期制定的安全策略是否合理;
評估漏洞修復是否成功執(zhí)行。
工業(yè)控制系統(tǒng)滲透測試安全標準
工業(yè)控制系統(tǒng)安全防護標準已逐漸完善,包括NIST SP800-82, ISA-99/IEC 62443,《工業(yè)控制系統(tǒng)信息安全防護指南》等,但針對工業(yè)控制系統(tǒng)滲透測試的標準卻幾乎沒有,NIST SP800-115提供了漏洞評估和滲透測試的指導,但并未針對工業(yè)控制系統(tǒng)給出相關建議。工業(yè)控制系統(tǒng)滲透測試應結合傳統(tǒng)的滲透測試手段、工業(yè)控制系統(tǒng)現(xiàn)場經(jīng)驗以及工業(yè)控制系統(tǒng)安全防護標準來完成。
識別“0-day”漏洞
滲透測試最能體現(xiàn)專業(yè)性和技術性的方面之一就是“0-day”漏洞的研究和發(fā)現(xiàn)。“0-day”漏洞研究只適合于擁有最高專業(yè)技能的滲透測試人員,旨在發(fā)現(xiàn)尚未報道,甚至是還未發(fā)現(xiàn),更不用說修復的安全漏洞。
在傳統(tǒng)IT領域,漏洞發(fā)現(xiàn)、補丁修復以及漏洞發(fā)布已非常成熟,但在工業(yè)控制系統(tǒng)領域,其研究和發(fā)現(xiàn)工作卻遠遠落后,主要因為:
工業(yè)控制系統(tǒng)設備和協(xié)議在設計之初未充分考慮安全設計;
設備生產(chǎn)廠商不愿修復漏洞或重新進行安全設計;
已發(fā)現(xiàn)的工控漏洞并未完全發(fā)布到漏洞共享平臺。
工控系統(tǒng)漏洞發(fā)現(xiàn)和防護工作不能僅僅依靠各漏洞共享平臺,需結合工控設備或系統(tǒng)的滲透測試成果,實現(xiàn)最準確的工控漏洞態(tài)勢感知,最大限度做好安全防護工作。
工控滲透測試原則
滲透測試工作的前提是不能影響工業(yè)控制系統(tǒng)安全和正常生產(chǎn)過程。對滲透測試過程中允許和禁止使用的方法、技術要進行明確規(guī)定,同時根據(jù)不同行業(yè)、系統(tǒng)、生產(chǎn)環(huán)節(jié)等制定各自不同的測試原則。
工控滲透測試策略
滲透測試過程除了需遵循相關原則外,還需采取必要的策略,并綜合考慮工業(yè)控制系統(tǒng)的特殊設計、功能、應用系統(tǒng)、協(xié)議以及使用的設備等,充分利用設計或功能方面的缺陷或漏洞進行切入。所有滲透測試的結論應基于合法、真實有效的成功結果(如:在不影響系統(tǒng)的前提下獲得關鍵系統(tǒng)訪問權限)。
偵查
工控滲透測試環(huán)節(jié)的第一步,也是最重要的一環(huán),直接影響后續(xù)的滲透測試的策略制定。工控滲透測試的偵查階段與傳統(tǒng)IT滲透測試相同,如在互聯(lián)網(wǎng)上搜索企業(yè)的所有相關信息,分析與測試目標相關的IP地址、BBS、電子郵件、網(wǎng)頁快照等。
外部測試
外部測試指的是通過互聯(lián)網(wǎng)對面向互聯(lián)網(wǎng)的網(wǎng)絡環(huán)境進行測試。應盡量避免直接對工業(yè)控制系統(tǒng)進行滲透,選擇面向互聯(lián)網(wǎng)的臨近網(wǎng)絡,如管理信息網(wǎng),然后通過管理信息網(wǎng)進入生產(chǎn)控制網(wǎng)。根據(jù)大多數(shù)工業(yè)安全標準,尤其是ISA-99/ IEC 62443,不僅要求生產(chǎn)網(wǎng)需與其它網(wǎng)絡隔離,還規(guī)定了數(shù)據(jù)流向不能從高級別管理區(qū)域(levels 4 and 5)流向低級別生產(chǎn)區(qū)域(levels 0 to 3)(如圖2)。
控制系統(tǒng)滲透測試淺析V219021490240068764330.png "工業(yè)控制系統(tǒng)滲透測試淺析V219021490240068764330.png")
圖2 ISA-99/IEC 62443 Purdue模型
盡管ISA-99/IEC 62443等對數(shù)據(jù)流向進行了規(guī)定,但不遵守安全分區(qū)和數(shù)據(jù)流向規(guī)則的網(wǎng)絡大量存在,多網(wǎng)卡以及允許全網(wǎng)ICMP通訊的情況也非常普遍,外部滲透測試方法依舊可行。
其它可選滲透測試方法
除了上面提到的互聯(lián)網(wǎng)和相鄰連接網(wǎng)絡滲透測試方法,其它可考慮的滲透點包括物理安全脆弱性和社會工程學。社會工程學利用了任何安全程序中最薄弱的環(huán)節(jié)之一:人的因素。技術性社會工程學方法(如釣魚網(wǎng)站)結合專業(yè)的工具可實現(xiàn)最有效的滲透測試,工業(yè)控制系統(tǒng)需綜合終端防護、入侵檢測及加強人員安全意識培訓等來防范社會工程學攻擊。
測試模擬的真實工業(yè)控制網(wǎng)絡
在實驗室或者測試環(huán)境搭建模擬真實生產(chǎn)控制系統(tǒng)的平臺,采用相同的設備類型、型號和版本,并盡可能采用真實系統(tǒng)的備份鏡像進行測試,采取各項滲透測試手段,盡最大可能發(fā)現(xiàn)模擬環(huán)境的問題,而無需太關心安全問題。
測試工控設備
取得控制設備操作權限或破壞控制設備是黑客攻擊的重要目的。由于前期未進行安全設計,大部分基于IP的工業(yè)控制協(xié)議都缺乏加密認證機制,很容易被修改、劫持、破壞,甚至造成設備被直接控制。需對工控設備進行安全性和健壯性測試,挖掘其未知安全漏洞。
測試工控服務器和工作站
工控服務器和工作站大部分是Windows系統(tǒng),且很大一部分為XP等老舊系統(tǒng)。用戶由于擔心系統(tǒng)兼容性問題,通常不升級補丁,系統(tǒng)長期運行后會積累大量的安全漏洞,也為滲透測試提供了豐富的研究素材。
小結
本文簡單介紹了工控系統(tǒng)滲透測試方法,并分析了工業(yè)控制系統(tǒng)的特定威脅、攻擊行為以及風險點,幫助客戶優(yōu)化安全防護策略,減少安全隱患。
威努特作為工控安全行業(yè)領頭羊,組建了一支由工控系統(tǒng)專家和工控安全專家組成的滲透小組,運用網(wǎng)絡安全知識和工業(yè)控制系統(tǒng)專業(yè)技能,深入不同行業(yè)開展?jié)B透測試調研。最終形成了“一事一議”的工業(yè)控制系統(tǒng)滲透測試原則,為工控系統(tǒng)滲透測試工作的開展提供了新思路。
北京市公安局海淀分局備案號:11010802023656號