2023工控系統(tǒng)防御困境應(yīng)對

工控系統(tǒng)防御困境及其應(yīng)對主要內(nèi)容 一、問題提出：威脅建模分析 二、趨勢分析：工控漏洞情況 二、重點聚焦：PLC安全研究 四、防護(hù)之難：現(xiàn)實與展望SCADA之父：物理隔離沒什么用2016年6月，F(xiàn)aizelLakhani“電力控制系統(tǒng)在設(shè)計過程中從來沒有考慮過網(wǎng)絡(luò)安全。它們的設(shè)計目的是管理校準(zhǔn)器和電壓電流，目前它們的功能也僅限于此?！闭l是FaizelLakhani？20年前，使用一臺PDP-11，制造了電站公司歷史上的第一個SCADA系統(tǒng)：OntarioHydro。SCADA技術(shù)此后變得無處不在。CybersecurityMythsonPowerControlSystems:21MisconceptionsandFalseBeliefsIEEETRANSACTIONSONPOWERDELIVERY,VOL.26,NO.1,JANUARY2011連接世界與被世界連接的問題！復(fù)雜系統(tǒng)設(shè)計缺陷（漏洞）不可避免復(fù)雜系統(tǒng)設(shè)計缺陷（漏洞）不可避免全球化時代“被后門”不可避免全球化時代“被后門”不可避免尚不能實現(xiàn)“泛在徹底”的自主可控尚不能實現(xiàn)“泛在徹底”的自主可控SiemensSIMATICS7-300Denial-of-ServiceVulnerability Advisory(ICSA-16-161-01)Originalreleasedate:June09,2016|Lastrevised:June10,2016 AFFECTEDPRODUCTSSiemensreportsthatthevulnerabilityaffectsthefollowingproducts: SIMATICS7-300CPUswithProfinetsupport:AllversionspriortoV3.2.12,andSIMATICS7-300CPUswithoutProfinetsupport:AllversionspriortoV3.3.12.IMPACTAnexploitofthisvulnerabilitycouldcausetheaffecteddevicetogointodefectmode,requiringacoldrestarttorecoverthesystem.面臨的風(fēng)險威脅 兩化融合帶來的風(fēng)險 采用通用軟硬件帶來的危害 漏洞后門所帶來的問題 新技術(shù)帶來的新挑戰(zhàn) 面對“國家隊”威脅AttackSurface分析威脅建模AttackSurface分析工業(yè)控制系統(tǒng)脆弱性分析脆弱性種類工業(yè)控制系統(tǒng)中不適當(dāng)?shù)男畔踩呗?；人員缺乏ICS的安全培訓(xùn)與意識培養(yǎng)；安全流程或流程執(zhí)行不到位慮患系統(tǒng)部署復(fù)雜，系統(tǒng)、軟件更新問題突出面臨威脅來源多（APT）

平臺配置的脆弱性平臺硬件脆弱性平臺軟件的脆弱性

網(wǎng)絡(luò)配置的脆弱性網(wǎng)絡(luò)硬件的脆弱性網(wǎng)絡(luò)邊界的脆弱性網(wǎng)絡(luò)監(jiān)控與日志的脆弱性給數(shù)據(jù)獲取設(shè)備直接發(fā)送命令大多數(shù)的PLC，協(xié)議轉(zhuǎn)換器，數(shù)據(jù)獲取服務(wù)器缺乏最基本的認(rèn)證。導(dǎo)出HMI屏幕改變DatabaseMan-in-the-MiddleAttacks通過插入命令到命令流里來導(dǎo)致任意或者目標(biāo)命令執(zhí)行Falsedatainjection以PowerGrid為例：偽造測量數(shù)據(jù)避免被檢測為“壞”數(shù)據(jù)誤導(dǎo)控制器概念驗證病毒 PLC-Blaster:AWormLivingSolelyinthePLCTargetdiscoveryPortscanner(TCP102);DISCONCarrierImplementtheTSEND,TRCVActivationBuilt-inPayloadsAlotofpossibilities

Memoryusage38,5kbRAM216,6kbmemoryModelRAMPersistentMemoryS7-121150kb(77%)1Mb(21%)S7-121275kb(51%)1MB(5%)S7-1214100kb(38%)4MB(5%)S7-1215125kb(30%)4MB(5%)S7-1217150kb(25%)4MB(5%)二、焦點問題：工控系統(tǒng)漏洞 在CVE的7w多漏洞，涉及工控系統(tǒng)漏洞在400以上，其中西門子、施耐德的漏洞超過了總數(shù)的50%BlackHat，S.Bratus,“FuzzingproprietarySCADAprotocols,”presentedattheSlidespresentedattheBlackHatUSAConf.,LasVegas,NV,Aug.2008M.Bristow,“ModScan:aSCADAModbusnetworkscanner,”presentedattheDefCon-16Conf.,LasVegas,NV,2008,slidespresentedD.Goodin,“GasrefineriesatDefcon1asSCADAexploitgoeswild—Atleasttheyshouldbe.,”TheRegister,Sep.2008.BERESFORD,D.ExploitingSiemensSimaticS7PLCs.InBlackHatUSA(2011).工控事件所涉及的重要行業(yè)及分布2014年新增漏洞威脅分類及占用比分析66%22%11%2013年工控漏洞分類統(tǒng)計66%22%11%13%28%58%2014年工控漏洞分類統(tǒng)計13%28%58%漏洞數(shù)量漏洞利用代碼數(shù)量ExploitExploit20181614121086420201020112012201320142015PLCCodeVulnerabilitiesThroughSCADASystems，SidneyE.Valentine,Jr.南加州大學(xué)，2013BuildingtheBuildingthe多次定義的對象，例如：線圈、定時器、計數(shù)器等在初始數(shù)據(jù)庫中定義，但在梯形圖邏輯中從未使用VulnerabilityTaxonomy:SoftwareBased(Virtual)ErrorsBuildingthe從2013和2014年工控漏洞事件分類統(tǒng)計來看，公開漏洞中以SCADA/HMI系統(tǒng)相關(guān)的漏洞最多，其占比超過了1/2。其中工控漏洞事件中，包括可編程邏輯控制器（PLC），智能電子設(shè)備（IED）的漏洞事件比重有所上升，由13年的11%上升到14年的28%,其中引起該占用比上升的主要原因是可編程邏輯控制器（PLC）新增漏洞數(shù)量的增加?？梢姡诠た叵到y(tǒng)中，攻防雙方可能把主要精力放在了工控系統(tǒng)的控制設(shè)備、工業(yè)控制管理軟件系統(tǒng)上。而且隨著時間的推移，越來越多人開始關(guān)注PLC的安全問題。三、PLC安全研究 PLC是專為工業(yè)控制而開發(fā)的裝置，其主要使用者是工廠廣大電氣技術(shù)人員，為了適應(yīng)他們的傳統(tǒng)習(xí)慣和掌握能力，通常PLC不采用微機(jī)的編程語言，而常常采用面向控制過程、面向問題的“自然語言”編程。國際電工委員會（IEC）1994年5月公布的IEC-61131-3（可編程控制器語言標(biāo)準(zhǔn)）規(guī)定了句法、語義和5種編程語言：功能表圖（sequentialfunctionchart）、梯形圖（Ladderdiagram）、功能塊圖（Functionblackdiagram）、指令表（Instructionlist）、結(jié)構(gòu)文本（structuredtext）。梯形圖和功能塊圖為圖形語言，指令表和結(jié)構(gòu)文本為文字語言，功能表圖是一種結(jié)構(gòu)塊控制流程圖。 從安全分析角度看，防范PLC的攻擊面存在于：上位機(jī)PC、以太網(wǎng)的其它連接，提供的HTTP、FTP等服務(wù)接口，傳感層（或者說現(xiàn)場層）的I/O輸入等。攻擊者的目標(biāo)和意圖PLC運行時系統(tǒng) 讀工程文件 運行/終止梯形邏輯 下載梯形邏輯 查看梯形邏輯源碼 改變梯形邏輯代碼 讀寫總線 讀寫進(jìn)程值 執(zhí)行梯形邏輯

文件系統(tǒng) 讀寫文件 讀寫PLC配置文件 讀寫PLC件 刪除文件 格式化文件系統(tǒng) 改變文件權(quán)限控制器管理系統(tǒng) 重啟PLC 恢復(fù)缺省設(shè)置 停止PLC 配置I/O模塊

操作系統(tǒng) 系統(tǒng)調(diào)用 通信 代碼執(zhí)行固件 上傳固件 下載固件 改變固件“攻擊樹”模型PLC安全的概述 J.Mulder,M.Schwartz,M.Berg,J.V.Houten,J.Urrea,andA.Pease,“AnalysisofFieldDevicesUsedinIndustrialControlSystems,”inCriticalInfrastructureProtectionVI.Springer,pp.45–57，分析了PLC的弱點，包括硬件、固件、背板通信分析。 L.McMinn,“ExternalVerificationofSCADASystemEmbeddedControllerFirmware,”Master’sthesis,AirForceInstituteofTechnology,March2012.，外部驗證工具用于記錄和監(jiān)視PLC的所有更新，本質(zhì)上提供了基于硬件的配置管理。 C.BellettiniandJ.Rrushi,“CombatingMemoryCorruptionAttacksonSCADADevices,”CriticalInfrastructureProtectionII,vol.pp.141–156,2009，提出了加密內(nèi)存的保護(hù)方式，來防止惡意代碼修改。K.Sickendick,“FileCarvingandMalwareIdentificationAlgorithmsAppliedtoFirmwareReverseEngineering,”Master’sthesis,AirForceInstituteofTechnology,March2013S.Dunlap,“Timing-BasedSideChannelAnalysisintheIndustrialControlSystemEnvironment,”Master’sthesis,AirForceInstituteofTechnology,June2013.使用PLC執(zhí)行時間作為邊信道來檢測潛在的威脅的PLC，PLC與工作站不同，其行為固定，固定時間的約束提供了非授權(quán)修改檢測的有效尺度。Z.Basnight,J.Butts,J.L.Jr,andT.Dube,“FirmwareModificationAttacksonProgrammableLogicControllers,”InternationalJournalofCriticalInfrastructureProtection,由于嵌入式設(shè)備缺乏較強(qiáng)的認(rèn)證、輸入的驗證、文件完整性驗證等，可能會導(dǎo)致固件被篡改。值得注意的是：單個PLC可能是多個不同廠商例如ARM和PPC等不同類型處理器的混合。S7-200包含德州儀器處理器、AMD驅(qū)動的flashmemory，Atmel的模擬I/O的芯片等。Firmware的問題 羅克韋爾1756ENBTEthernetmodule和光洋（KOYO）H4-ECOM100EthernetmoduleBydisassemblingthebinaryfirmware,theywereabletofingerprintthesystemandreverseengineertheformatofthefirmwareandthechecksumalgorithm.1756ENBTModules H4-ECOM100ATrustedSafetyVerifierforProcessControllerCode—TSV架構(gòu)引入了符號執(zhí)行的方法：aminimalTCBfortheverificationofsafety-criticalcodeexecutedonprogrammablecontrollers.NocontrollercodeisallowedtobeexecutedbeforeitpassesphysicalsafetychecksbyTSV.NDSS2014，StephenMcLaughlin,PennsylvaniaStateUniversity西門子PLC相關(guān) 循環(huán)執(zhí)行模型及I/O程序結(jié)構(gòu)和組織SIEMENSS7-300、CPU31XC和CPU31X的技術(shù)數(shù)據(jù)手冊PLC代碼的邏輯驗證問題 一個PLC一個掃描周期； 在每次掃描周期，有從工廠的各個傳感器輸入標(biāo)量I，邏輯處理產(chǎn)生的一組輸出變量O，傳遞給物理設(shè)備的動作行為，邏輯還維護(hù)一組內(nèi)部狀態(tài)變量C，以及時鐘變量T。以西門子的S7為例，就為I，O，C，T域。 不論PLC上的程序以何種形式語言編程，大多數(shù)PLC程序都可以看作是一組布爾表達(dá)式φ.因此，可以采用基于IR的邏輯驗證方法。N.G.Ferreira.AutomaticVerificationofSafetyRulesforaSubwayControlSoftware.InProceedingsoftheBrazilianSymposiumFormalMethods(SBMF),2004.T.ParkandP.I.Barton.FormalVerificationofSequenceControllers.Computers&ChemicalEngineering.G.Canet,TowardsTheautomaticverificationofPLCprogramwritteninInstructionList.InProc.IEEEConf.Systems,ManCybernetics(SMC2000)pages2449-2454.PLC “Ondynamicmalwarepayloadsaimedatprogrammablelogiccontrollers.”inHotSec,2011. payload的產(chǎn)生包括：推斷safetyinterlock，導(dǎo)致系統(tǒng)進(jìn)入非安全狀態(tài)PLC惡意代碼載荷的生成 推斷工廠結(jié)構(gòu)和目的 以交通信號控制為例 輸出變量o6依賴于o1,o4作為終止條件，o6互鎖于o1、o4，當(dāng)兩個相反的綠燈o1，o4同時激活，o6發(fā)報警。因此，賦值o1<-1,o4<-1,o6<-0A.Ferrari,ModelCheckingInterlockingControlTables.InE.SchniederandG.Tarnai,editors,FORMS/FORMAT2010.2011.SABOT：基于規(guī)則的PLC攻擊載荷生成 CCS2012 核心目標(biāo)：恢復(fù)PLC內(nèi)存位置的語義，并且與物理設(shè)備相匹配 VariableToDeviceMapping Decompilation：將控制邏輯的字節(jié)， 碼形式翻譯成約束的中間表示形式， 再將該約束翻譯成NuSMV模型檢測 工具接受的語言M。Internet-FacingPLCs-ANewBackOrifice JohannesKlick，BlackHat2015 Introduction ?TraditionalAttackVectors ?Internet-facingPLCs ?GenerellAttackOverview SiemensPLCs ?STLLanguageanditsMC7Bytecode ?S7CommProtocol(downloadingprogramb AttackDetails ?PLCCodeInjectionwithPLCinject(Demo ?SNMPScanner&SOCKSProxyinSTL注意的問題四、現(xiàn)實與展望工業(yè)控制系統(tǒng)防護(hù)之難工業(yè)控制系統(tǒng)防護(hù)之難1Safety要求高！一旦做出危害性行為，后果不可估量安全性、魯棒性、實時性要求高2Update2Update比較困難宕機(jī)和重啟可能是災(zāi)難性的3有限的計算能力3有限的計算能力產(chǎn)品成本、惡劣環(huán)境、簡單可靠現(xiàn)有防護(hù)方案防護(hù)體系類：

防護(hù)策略方案類：

①基于ICS、①基于ICS、SCADA安全域的防護(hù)策略，電力系統(tǒng)防護(hù)方案，②異常檢測、專用網(wǎng)絡(luò)專用隔離、加密認(rèn)證的scada安全防護(hù)方案，③區(qū)域隔