工控人如何抵御针对PLC、上位机和交换机的网络攻击

2021/2/8 3:52:50 人评论 次浏览 分类:PLC应用  文章地址:http://yunrun.com.cn/tech/3597.html

目前很多企业数据上云,孤岛联网,数据集中管控,远程访问与维护,逐渐实现了互联,但是联网后随之而来的网络安全问题也越来越多......企业既担心网络被攻击,又担心数据被窃取。那么,怎样抵御工业控制系统网络攻击呢?

工业控制系统网络攻击中工控人重点需要保护的设备是:PLC、上位机、交换机。


针对PLC、上位机、交换机的网络攻击

1、PLC是如何被网络攻击的?
首先,昌晖仪表告知大家的是PLC并不是只有对应的编程软件才可以让PLC启动和停止;通过很多HACK类工具均可对PLC进行停止,写值等等。

2、上位机是如何被攻网络击的?

那对于上位机就简单多了,比如通过U盘传播,比如如下路径:
①某工程师打开一封邮件,该邮件内容再正常不过,但是有一个木马程序已经进到你的操作系统。
②当操作系统监测到计算机有U盘插入,自动复制一份副本到U盘。
③当这个U盘拷贝了一个文件到现场工控机的时候,该文件自动复制了一份到工控机系统。
④开始搜索注册表,该系统是否安装了Wincc。
⑤如果安装:利用wincc漏洞SQL漏洞和S7otbxdx.dll进行攻击。
⑥读取函数HOOK,修改Timer时间为无限长。
⑦通过Step7自动下装到PLC。

这个过程大家是不是觉得很熟悉?Yes,它就是著名的STUXNET(震网),该病毒只需要操作员协助做一个动作即可,那就是把U盘插在工控机上,这时STUXNET就会在神不知鬼不觉的情况下获取工业控制电脑的控制权。


3、EtherNet/IP是如何被网络攻击的?

假如企业的系统是AB的PLC或者施耐德PLC,通过EtherNet/IP连接远程I/O,那么如果我们通过以太网发送极大的数据量到网络内,将网络带宽资源消耗尽或者我们1s发出1000次网络请求,给其中一个以太网适配器,都会导致PLC和I/O之间网络出现瘫痪,导致PLC系统失控。
EtherNet/IP被网络攻击

PLC、上位机和交换机如何抵御网络攻击,避免工业控制系统失控
工控人怎么避免PLC、上位机和交换机被网络攻击呢?使用工业安全隔离装置是一种比较快捷有效的方式,工业安全隔离装置集成工业防火墙,工业威胁监测,事件中心,跳板机和沙箱;其硬件采用一台物理服务器,内部部署WiCloud一体化虚拟工控管理平台,在此平台上部署了五个虚拟机,分别为WiSecurity工业防火墙,工业威胁捕捉系统,事件中心,跳板机 以及沙箱。

工业安全隔离装置

下面昌晖仪表简单介绍工业安全隔离装置的各项功能:

①WiSecurity工业防火墙
WiSecurity工业防火墙针对PLC具备如下功能:

WiSecurity工业防火墙

a、图片强化的注入防护

◆防地址溢出攻击
◆防停止/下载/重启/写值命令注入
b、CRC错误攻击
◆漏洞利用
◆固件漏洞攻击防护
◆工控软件漏洞攻击防护

工业安全隔离装置支持多种工业协议

同时可支持如下工业协议,S7NET,EtherNet/IP,Modbus TCP,OPC以及DNP。另外也可告诉大家目前很多的工业协议防火墙,大部分情况只是端口防护。

工业安全隔离装置在S7NET,EtherNet/IP和Modbus TCP/IP协议中具备协议特征识别的特性,也是防止PLC被恶意重启,恶意写值的主要防护。

②工业威胁捕捉系统

什么是工业威胁捕捉系统呢?该系统可以捕捉来自IT网络边界和OT网络边界的威胁和嗅探,说的更加白话一点就像放这里一个蜜罐,用来吸引攻击,分析攻击,推测攻击意图,并将结果发送到工业防火墙进行威胁阻断。工业威胁捕捉系统是典型的主动防御系统。

工业威胁捕捉系统

威胁捕捉技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁,并通过技术和管理手段来增强实际系统的安全防护能力。

工业威胁捕捉系统好比是情报收集系统。好像是故意让人攻击的目标,引诱黑客前来攻击。所以攻击者入侵后,你就可以知道他是如何得逞的,随时了解针对服务器发动的最新的攻击和漏洞。还可以通过窃听黑客之间的联系,收集黑客所用的种种工具,并且掌握他们的社交网络。

通过该工业威胁捕捉系统,当网络里有攻击者的时候,威胁捕捉系统会伪装成PLC系统,当攻击者攻击威胁捕捉系统后,系统捕捉到攻击信息,并进行分析,同时将分析结果补充到防火墙,通过策略阻断此攻击。

工业威胁捕捉系统Redis钓鱼演示

③事件中心

记录所有节点的事件记录,比如防火墙,交换机和计算机、服务器等;当有故障发生的时候可进入事件中心进行事件记录查询,进行故障追忆。

④跳板机

部署FireFox,Putty,Java SDK和录屏软件,跳板机的作用为当设备厂家要对机器进行远程维护的时候,不可以直接通过网络接入设备,而要先经过该跳板机,在跳板机上做维护操作,同时所有的操作会有录屏,如果设备操作在维护自己设备的时候做了不属于维护范围内的操作的时候,跳板机可以直接中断其操作。

⑤沙箱测试系统

沙箱测试系统,用于测试欲安装的软件是否安全,可在沙箱系统做部署测试,如果安全,则可以在实体机安装,如果有木马和病毒集成,即将其销毁。

工业安全隔离装置可选安装病毒服务器,病毒服务器软件用户自己部署,当现场工控机部署了杀毒软件,由于现场工控机一般不连接外网,导致病毒库无法更新,如果部署了病毒服务器,可以通过病毒服务器对现场工控机病毒库进行更新,而病毒服务器自身病毒库的更新可通过IFZ内的防火墙后进行更新。


因此,工业安全隔离装置部署在OT和IT的边界,可以降低PLC、上位机和交换机网络攻击的风险。

作者:曹俊义

相关阅读

自动化IT系统缺陷导致的安全事故同样触目惊心
工业信息安全:国内大部分工业自动化控制系统缺乏安全防护

共有访客发表了评论 网友评论

  客户姓名:
邮箱或QQ:
验证码: 看不清楚?