工控人如何抵御針對PLC、上位機(jī)和交換機(jī)的網(wǎng)絡(luò)攻擊

2021/2/8 3:52:50 人評論次瀏覽分類：PLC應(yīng)用文章地址：http://m.fg316.com/tech/3597.html

目前很多企業(yè)數(shù)據(jù)上云，孤島聯(lián)網(wǎng)，數(shù)據(jù)集中管控，遠(yuǎn)程訪問與維護(hù)，逐漸實(shí)現(xiàn)了互聯(lián)，但是聯(lián)網(wǎng)后隨之而來的網(wǎng)絡(luò)安全問題也越來越多......企業(yè)既擔(dān)心網(wǎng)絡(luò)被攻擊，又擔(dān)心數(shù)據(jù)被竊取。那么，怎樣抵御工業(yè)控制系統(tǒng)網(wǎng)絡(luò)攻擊呢？

工業(yè)控制系統(tǒng)網(wǎng)絡(luò)攻擊中工控人重點(diǎn)需要保護(hù)的設(shè)備是：PLC、上位機(jī)、交換機(jī)。

針對PLC、上位機(jī)、交換機(jī)的網(wǎng)絡(luò)攻擊
1、PLC是如何被網(wǎng)絡(luò)攻擊的？
首先，昌暉儀表告知大家的是PLC并不是只有對應(yīng)的編程軟件才可以讓PLC啟動和停止；通過很多HACK類工具均可對PLC進(jìn)行停止，寫值等等。

2、上位機(jī)是如何被攻網(wǎng)絡(luò)擊的？
那對于上位機(jī)就簡單多了，比如通過U盤傳播，比如如下路徑：
①某工程師打開一封郵件，該郵件內(nèi)容再正常不過，但是有一個木馬程序已經(jīng)進(jìn)到你的操作系統(tǒng)。
②當(dāng)操作系統(tǒng)監(jiān)測到計(jì)算機(jī)有U盤插入，自動復(fù)制一份副本到U盤。
③當(dāng)這個U盤拷貝了一個文件到現(xiàn)場工控機(jī)的時候，該文件自動復(fù)制了一份到工控機(jī)系統(tǒng)。
④開始搜索注冊表，該系統(tǒng)是否安裝了Wincc。
⑤如果安裝：利用wincc漏洞SQL漏洞和S7otbxdx.dll進(jìn)行攻擊。
⑥讀取函數(shù)HOOK，修改Timer時間為無限長。
⑦通過Step7自動下裝到PLC。

這個過程大家是不是覺得很熟悉？Yes，它就是著名的STUXNET(震網(wǎng))，該病毒只需要操作員協(xié)助做一個動作即可，那就是把U盤插在工控機(jī)上，這時STUXNET就會在神不知鬼不覺的情況下獲取工業(yè)控制電腦的控制權(quán)。

3、EtherNet/IP是如何被網(wǎng)絡(luò)攻擊的？
假如企業(yè)的系統(tǒng)是AB的PLC或者施耐德PLC，通過EtherNet/IP連接遠(yuǎn)程I/O，那么如果我們通過以太網(wǎng)發(fā)送極大的數(shù)據(jù)量到網(wǎng)絡(luò)內(nèi)，將網(wǎng)絡(luò)帶寬資源消耗盡或者我們1s發(fā)出1000次網(wǎng)絡(luò)請求，給其中一個以太網(wǎng)適配器，都會導(dǎo)致PLC和I/O之間網(wǎng)絡(luò)出現(xiàn)癱瘓，導(dǎo)致PLC系統(tǒng)失控。
EtherNet/IP被網(wǎng)絡(luò)攻擊

PLC、上位機(jī)和交換機(jī)如何抵御網(wǎng)絡(luò)攻擊，避免工業(yè)控制系統(tǒng)失控
工控人怎么避免PLC、上位機(jī)和交換機(jī)被網(wǎng)絡(luò)攻擊呢？使用工業(yè)安全隔離裝置是一種比較快捷有效的方式，工業(yè)安全隔離裝置集成工業(yè)防火墻，工業(yè)威脅監(jiān)測，事件中心，跳板機(jī)和沙箱；其硬件采用一臺物理服務(wù)器，內(nèi)部部署WiCloud一體化虛擬工控管理平臺，在此平臺上部署了五個虛擬機(jī)，分別為WiSecurity工業(yè)防火墻，工業(yè)威脅捕捉系統(tǒng)，事件中心，跳板機(jī) 以及沙箱。

下面昌暉儀表簡單介紹工業(yè)安全隔離裝置的各項(xiàng)功能：
①WiSecurity工業(yè)防火墻
WiSecurity工業(yè)防火墻針對PLC具備如下功能：

a、圖片強(qiáng)化的注入防護(hù)
◆防地址溢出攻擊
◆防停止/下載/重啟/寫值命令注入
b、CRC錯誤攻擊
◆漏洞利用
◆固件漏洞攻擊防護(hù)
◆工控軟件漏洞攻擊防護(hù)

工業(yè)安全隔離裝置支持多種工業(yè)協(xié)議

同時可支持如下工業(yè)協(xié)議，S7NET，EtherNet/IP，Modbus TCP，OPC以及DNP。另外也可告訴大家目前很多的工業(yè)協(xié)議防火墻，大部分情況只是端口防護(hù)。
工業(yè)安全隔離裝置在S7NET，EtherNet/IP和Modbus TCP/IP協(xié)議中具備協(xié)議特征識別的特性，也是防止PLC被惡意重啟，惡意寫值的主要防護(hù)。

②工業(yè)威脅捕捉系統(tǒng)
什么是工業(yè)威脅捕捉系統(tǒng)呢？該系統(tǒng)可以捕捉來自IT網(wǎng)絡(luò)邊界和OT網(wǎng)絡(luò)邊界的威脅和嗅探，說的更加白話一點(diǎn)就像放這里一個蜜罐，用來吸引攻擊，分析攻擊，推測攻擊意圖，并將結(jié)果發(fā)送到工業(yè)防火墻進(jìn)行威脅阻斷。工業(yè)威脅捕捉系統(tǒng)是典型的主動防御系統(tǒng)。

威脅捕捉技術(shù)本質(zhì)上是一種對攻擊方進(jìn)行欺騙的技術(shù)，通過布置一些作為誘餌的主機(jī)、網(wǎng)絡(luò)服務(wù)或者信息，誘使攻擊方對它們實(shí)施攻擊，從而可以對攻擊行為進(jìn)行捕獲和分析，了解攻擊方所使用的工具與方法，推測攻擊意圖和動機(jī)，能夠讓防御方清晰地了解他們所面對的安全威脅，并通過技術(shù)和管理手段來增強(qiáng)實(shí)際系統(tǒng)的安全防護(hù)能力。

工業(yè)威脅捕捉系統(tǒng)好比是情報(bào)收集系統(tǒng)。好像是故意讓人攻擊的目標(biāo)，引誘黑客前來攻擊。所以攻擊者入侵后，你就可以知道他是如何得逞的，隨時了解針對服務(wù)器發(fā)動的最新的攻擊和漏洞。還可以通過竊聽黑客之間的聯(lián)系，收集黑客所用的種種工具，并且掌握他們的社交網(wǎng)絡(luò)。

通過該工業(yè)威脅捕捉系統(tǒng)，當(dāng)網(wǎng)絡(luò)里有攻擊者的時候，威脅捕捉系統(tǒng)會偽裝成PLC系統(tǒng)，當(dāng)攻擊者攻擊威脅捕捉系統(tǒng)后，系統(tǒng)捕捉到攻擊信息，并進(jìn)行分析，同時將分析結(jié)果補(bǔ)充到防火墻，通過策略阻斷此攻擊。

工業(yè)威脅捕捉系統(tǒng)Redis釣魚演示

③事件中心
記錄所有節(jié)點(diǎn)的事件記錄，比如防火墻，交換機(jī)和計(jì)算機(jī)、服務(wù)器等；當(dāng)有故障發(fā)生的時候可進(jìn)入事件中心進(jìn)行事件記錄查詢，進(jìn)行故障追憶。

④跳板機(jī)
部署FireFox，Putty，Java SDK和錄屏軟件，跳板機(jī)的作用為當(dāng)設(shè)備廠家要對機(jī)器進(jìn)行遠(yuǎn)程維護(hù)的時候，不可以直接通過網(wǎng)絡(luò)接入設(shè)備，而要先經(jīng)過該跳板機(jī)，在跳板機(jī)上做維護(hù)操作，同時所有的操作會有錄屏，如果設(shè)備操作在維護(hù)自己設(shè)備的時候做了不屬于維護(hù)范圍內(nèi)的操作的時候，跳板機(jī)可以直接中斷其操作。

⑤沙箱測試系統(tǒng)
沙箱測試系統(tǒng)，用于測試欲安裝的軟件是否安全，可在沙箱系統(tǒng)做部署測試，如果安全，則可以在實(shí)體機(jī)安裝，如果有木馬和病毒集成，即將其銷毀。

工業(yè)安全隔離裝置可選安裝病毒服務(wù)器，病毒服務(wù)器軟件用戶自己部署，當(dāng)現(xiàn)場工控機(jī)部署了殺毒軟件，由于現(xiàn)場工控機(jī)一般不連接外網(wǎng)，導(dǎo)致病毒庫無法更新，如果部署了病毒服務(wù)器，可以通過病毒服務(wù)器對現(xiàn)場工控機(jī)病毒庫進(jìn)行更新，而病毒服務(wù)器自身病毒庫的更新可通過IFZ內(nèi)的防火墻后進(jìn)行更新。

因此，工業(yè)安全隔離裝置部署在OT和IT的邊界，可以降低PLC、上位機(jī)和交換機(jī)網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。
作者：曹俊義

相關(guān)閱讀
自動化IT系統(tǒng)缺陷導(dǎo)致的安全事故同樣觸目驚心
工業(yè)信息安全:國內(nèi)大部分工業(yè)自動化控制系統(tǒng)缺乏安全防護(hù)

上一篇：機(jī)器視覺軟件HALCON 19.11安裝步驟詳解

下一篇：如何計(jì)算S7-200 SMART的電源需求