技术分享 | 如何使用统一安全管理平台发现针对工控系统的攻击
工业控制系统(简称工控系统)是由各种自动化控制组件和实时数据采集、监测的过程控制组件共同构成。其组件包括数据采集与监控系统(SCADA)、分布式控制系统(DCS)、可编程逻辑控制器(PLC)、远程终端(RTU)、智能电子设备(IED),以及确保各组件通信的接口技术。
当前针对工控系统的攻击研究,多集中在PLC和工程师站等设备上。针对PLC的攻击包括篡改组态、伪造控制指令等多种方式。针对工程师站的攻击,多数利用操作系统或组态软件的漏洞,进行漏洞利用攻击,获取管理员权限。
当前针对工控系统的防护方案,较流行的是“一个中心、三重防护”的纵深防御模型,其中一个中心是指“统一安全管理中心”,三重防护是指实时发现工控网络区域边界、通信网络和计算环境的安全问题并进行有效的安全防护。当一个企业采用了“一个中心、三重防护”的解决方案,并部署了统一安全管理平台等安全产品后,如何才能快速有效的发现针对工控系统的攻击行为?
下面我们将分享一个攻防对抗的案例。
图1、工业现场部署拓扑
攻击目标:Level1区域控制器设备。
攻击路径:攻击电脑 -> Level2区域交换机 -> 工程师站 -> Level1区域控制器设备。
在这个攻击案例中,攻击者在Level2区域接入攻击设备,利用MS17-010漏洞(永恒之蓝)攻陷工程师站,并通过工程师站作为跳板机攻击内网的其它主机设备,最终攻击了Level1区域的控制器设备,并被工业防火墙成功拦截,其整个攻击过程被统一安全管理平台完全记录,并实现了攻击路径的回溯分析。
2.1、攻击设备接入
图2、攻击设备接入网络
当攻击设备接入Level2区域,迅速被统一安全管理平台的未知设备检测功能发现。统一安全管理平台,通过机器学习技术,学习Level2区域的网络会话行为,并建立网络会话行为基线模型和IP、MAC的白名单库。当攻击设备接入该区域后,不符合IP、MAC的白名单,被迅速定位为未知设备接入。系统管理员如果在工业现场发现了未知设备接入,应该迅速定位并隔离非法接入的电脑。
图3、攻击设备发起对445端口的攻击尝试
当攻击者利用永恒之蓝漏洞攻击工程师站时,其攻击的网络会话被工控监测审计设备完全记录。在统一安全管理平台上,可以回溯攻击的起始时间。
2.2、工程师站被攻陷
图4、记录攻击设备发起的网络异常连接行为
工程师站被攻陷的过程,伴随着多种网络异常连接行为,攻击者对Level2区域的网络进行了端口开放扫描探测,并对多台主机尝试了多种漏洞利用攻击行为。上述行为,均被统一安全管理平台的网络异常连接检测功能记录。网络异常连接检测模块,通过机器学习建立的网络会话行为基线模型来检测异常连接,并生成告警。
攻击者尝试了多种漏洞利用攻击后,最终成功利用永恒之蓝漏洞攻陷工程师站(该机器未打漏洞补丁)。
2.3、工程师站攻击其它内网主机
图5、记录已被攻陷的工程师站的网络异常连接行为
在工程师站被攻陷后,攻击者利用工程师站作为跳板机,对内网中的其它机器进行了扫描探测,最终发现了Level1区域的控制器,并进行了攻击尝试。上述过程,被统一安全管理平台的网络异常连接检测功能完全记录,如上图所示。
2.4、工程师站攻击控制器设备
图6、记录工程师站攻击FCS控制器的行为
Level2区的工程师站在未被攻击之前也会同Level1区的FCS控制器通信,该通信行为被部署在Level2和Level1区域之间的工业防火墙学习到并建立了指令白名单基线模型。
当攻击者通过工程师站作为跳板机攻击控制器设备时,其网络会话行为符合网络会话行为基线模型,但是发送的攻击指令不在工业防火墙的指令白名单基线模型范围内,被发现并阻断其攻击行为。在统一安全管理平台上,可以通过关键事件告警,查看到基于工程师站作为跳板机发起的非法攻击指令的所有记录,如上图所示。
通过“一个中心、三重防护”的纵深防御模型,结合统一安全管理平台等安全产品的部署,可以快速有效的发现针对工控系统的攻击行为,并进行攻击路径的分析和回溯,有效的把攻击行为可视化,方便系统管理员快速的处置。
威努特统一安全管理平台是对工业网络中的安全产品及安全事件进行统一管理的软硬件一体化产品。通过对控制网络中的边界隔离、网络监测、主机防护等安全产品进行集中管理,实现对全网中各安全设备、系统及主机的统一配置、全面监控、实时告警、流量分析等,降低运维成本、提高事件响应效率。
威努特统一安全管理平台目前已在多个行业领域应用,如:
◇ 电力发电、电力输送
◇ 石油开采、石油运输、石化炼油
◇ 煤矿开采、煤化工
◇ 烟草制丝、卷包
◇ 钢铁炼化
◇ 轨道交通
◇ 制造业
◇ … …
更多阅读:
威努特助力广西壮族自治区工控系统信息安全培训班,分享工控安全典型案例
威努特工控安全
专注工控·捍卫安全