2023工业控制系统安全威胁白皮书

IndustryControlSystemThreats-2022 编制单位 浙江国利网安科技有限公司中国电子信息产业集团有限公司第六研究所工业控制系统信息安全技术国家工程研究中心 目录 前言I 一、工业控制系统信息安全概述1 1、工业控制系统信息安全的定义1 2、工业控制系统的典型架构1 二、工业控制系统杀伤链模型2 1、工业控制系统杀伤链模型介绍2 2、工控系统与IT系统杀伤链模型的区别3 三、工业控制系统的主要安全威胁4 1、现场设备的毁伤4 2、控制系统的毁伤6 3、工控协议缺陷7 4、含有已知漏洞的软件8 5、恶意软件9 6、社会工程学攻击10 7、洪泛攻击10 8、中间人攻击11 9、无线端攻击11 四、工业控制安全解决方案13 1、攻击前段防护方案13 2、攻击中段防护方案14 3、攻击后段防护方案16 前言 当前，全球工业经济加快数字化转型，工业制造进入4.0时代。同时，伴随着国家工业化、信息化的“两化”融合，现代工业控制系统广泛采用通用网络设备和IT设施，并且以各种方式接入互联网，从而打破了这些系统原有的封闭性和专用性。由于工业控制系统在最初建设时未考虑来自网络的威胁，因此，病毒、木马等各种恶意软件迅速向工业控制系统扩散，给系统带来严重威胁。世界范围内继“震网”病毒事件后又接连发生重大的工业控制系统安全事件，将工业控制系统安全推向了一个新的高度。如何防微杜渐，防止工业控制系统安全事件的再次发生，构筑安全的工业控制系统，已经成为政府和企业关注的热点。 针对工业控制系统信息安全风险日益加剧的情况，国家标准化管理委员会陆续发布了等保2.0系列标准族和《关键信息基础设施安全保护要求》，工信部先后发布《工业控制系统信息安全行动计划（2018-2020年）》和《加强工业互联网安全工作的指导意见》等系列文件，明确了建立工业控制系统安全保障体系的目标和主要任务，指导企业优化工业控制安全管理与技术防护手段。 本白皮书在深入分析工业控制系统安全挑战的基础上，从工业控制系统的杀伤链模型角度，结合实际的攻击案例，整理了工业控制系统面临的主要安全威胁，并提出了对工业控制系统的安全防护总体策略。为工业企业和安全人员提供了工业控制系统的安全防护思路，促进了企业工业控制系统的安全部署。 浙江国利网安科技有限公司中国电子信息产业集团有限公司第六研究所 工业控制系统信息安全技术国家工程研究中心 一、工业控制系统信息安全概述 1、工业控制系统信息安全的定义 工业控制系统信息安全，是指基于计算机系统建立和维护防御措施，使得系统资源能够免于非授权或意外的访问、修改和破坏，保证非授权人员和系统既无法修改软件及其数据也无法访问系统功能，同时不影响授权人员和系统的正常访问。 工业控制系统的信息安全威胁不仅可能造成企业的内部敏感数据丢失，更严重的还可能导致工业生产过程发生故障，从而造成人员伤亡以及设备损坏，其直接生命财产的损失是巨大的，甚至有可能引起社会问题和环境问题。 2、工业控制系统的典型架构 工业控制系统按照从上到下的结构，可以分为企业管理层、生产管理层、过程监控层、现场控制层和现场设备层。其中，企业管理层具备传统IT系统的属性，该层部署了常见的ERP系统、WEB服务器、OA系统等。其他各层是工业控制系统所特有的，部署了工业控制系统中的SCADA、DCS、PLC等软硬件系统。典型的工业控制系统架构如图1所示。 图1工业控制系统典型架构图 二、工业控制系统杀伤链模型 洛克希德·马丁公司提出了网络攻击杀伤链模型，用来完整描述网络攻击的整个过程。我们结合工业控制系统自身的特点，如隔离性、生产过程不可中断性等，在网络攻击杀伤链模型的基础上针对工控系统做出重要补充，提出了工业控制系统杀伤链模型，完整描述了针对工业控制系统的网络攻击。工业控制系统网络杀伤链的不同阶段对应攻击的不同步骤，该模型有助于帮助工业企业和安全研究人员了解攻击是如何发生的，并为制定应对措施提供支撑。 1、工业控制系统杀伤链模型介绍 （1）目标侦察（reconnaissance） 该阶段攻击者将收集有关被攻击目标的所有可得信息。包括目标的IP地址、目标主机开放的服务和端口、目标所运行操作系统或软件的版本信息等。攻击者收集到有关目标的信息后，会进行进一步处理，挖掘出这些公开资料中隐藏的更多细节信息，为后续的进一步攻击提供支持。此外，攻击者还会收集有关企业以及员工的信息，如员工的社交网站信息等，这些信息可以应用于后续的社会工程学攻击中。 （2）武器化（weaponization） 基于前期收集到的有关目标的信息，攻击者可以定制特定软件或者后台服务的漏洞利用工具，结合后门程序，组合制作出一个可以用于攻击目标的武器。 （3）载荷投送（delivery） 攻击者将网络武器包投递到目标的过程。此过程中，攻击者可以通过发送一封钓鱼邮件，诱导用户安装恶意软件；或者利用前期收集到的目标的开放端口，直接攻击目标的后台服务，整个过程中不需要用户的交互操作，具有更强的隐蔽性和更高的成功率。 （4）漏洞利用（exploitation） 在目标系统上运行利用代码，根据具体的漏洞的利用效果，如RCE、DoS等，在目标系统上达到预定的目的。漏洞利用是杀伤链中比较重要的阶段，攻击者通过一些0day漏洞可以绕过工控系统中的防御措施，成功进入目标系统。 （5）触发、安装植入（installation） 攻击者一旦进入到目标系统，就会安装一些恶意软件以便实现对目标系统的长期控制，该阶段的恶意软件的种类包括远控工具、文件上传/下载工具、日志清理工具等，为后续的控制和破坏提供保障。 （6）后门、指挥和控制（commandandcontrol） 攻击者希望尽可能减少访问攻击对象的时间，同时保持对目标的长期控制。持久化是通过在被攻击的目标上安装后门程序来实现的。精心编写的后门程序能够在运维人员采取重启、更改凭据等措施后，仍然可以让计算机再次感染病毒或维持其现有连接。 （7）C2通道、目标行动（actionsonobjective） 攻击者在利用单个系统漏洞后，通常会建立C&C通道，并尝试在网络内进行横向移动。甚至通常一次只针对单个系统的勒索软件也试图在网络中移动以寻找其它攻击目标。攻击者通常会先寻找一个落脚点，然后开始在各个系统中移动，寻找并渗透具有更高访问权限的主机，以期达成最终目标。 （8）毁伤（destroy） 攻击者在成功进入工业控制系统之后，会对系统进行相应的破坏，如篡改关键参数、修改控制逻辑或者对上位机进行破坏致瘫等，甚至开始针对生产装置进行损毁，此类攻击造成的后果往往不可恢复，对企业的生产过程产生严重影响。 图2工业控制系统杀伤链模型 2、工控系统与IT系统杀伤链模型的区别 工控系统的建设以系统的安全可靠生产为首要目标，系统的入侵者在获取到了系统的权限后，并不以盗取企业用户的敏感信息为主要目标，而是更加关注对工业企业整个生产过程的破坏，影响工厂的正常运转。该阶段的攻击对应工控系统杀伤链模型中的毁伤阶段，这是工控系统与传统的IT系统的主要区别。 为此，攻击者在进入系统之后，会进行最后一步的攻击，即对于设备的毁伤攻击，这个过程包括两个方面，一是对于现场设备（如各种生产装置）的毁伤， 一是对于控制系统的毁伤。对现场设备进行毁伤，攻击者可以通过修改现场设备的配置参数，导致现场设备出现故障。而对于控制系统的毁伤，攻击者往往通过对工控系统中的计算机、控制器以及通信网络的破坏来影响整个工业企业的正常运转，如将上位机的硬盘数据清空，或者直接修改控制器的组态逻辑导致设备失控或损毁。 图3毁伤方式及其危害 三、工业控制系统的主要安全威胁 工业控制系统与传统IT系统一样，也面临着各种各样的渗透攻击。为了更加明确的描述各种攻击行为的危害程度，我们从攻击行为对于工控系统的破坏程度和攻击行为适用的范围两个维度对攻击的危害程度进行了排序，得到了工业控制系统面临的主要安全威胁。 1、现场设备的毁伤 现场设备的毁伤是指攻击者对于工业生产过程中的生产设备的破坏，导致整个生产过程无法正常进行的一种攻击方式。该威胁对应于工业控制系统杀伤链的毁伤阶段。 工控系统更加注重整个系统的可靠性，这与传统的IT系统更加注重对系统的数据保护有所区别。因此，针对工控系统的毁伤攻击，会给系统带来更加严重的危害。攻击者在进入系统之后，可以通过修改现场设备的配置参数或者修改整 个控制系统的逻辑来影响生产过程的正常进行，给企业带来巨大的损失。 2022年6月27日，黑客组织GonjeshkeDarande组织攻击了伊朗三大钢铁公司，并分享了胡齐斯坦钢铁厂的闭路影像，显示钢坯生产线上的一台重型机械发生故障并引发大火。这是典型的工控系统攻击中针对现场设备的毁伤攻击。 2017年11月中旬，TRITON攻击了中东地区的一个工业企业，它是针对施耐德电气的Triconex安全仪表系统（SIS）定制的具有破坏性的攻击武器，它能够更换最终控制单元中的逻辑。 TRITON具有高度针对性，不会对其他施耐德电气客户构成直接威胁，其他SIS产品也不会受到威胁。此次攻击事件中，攻击者的长期目标是引起物理破坏，即攻击者最初在DCS上获得了可靠的立足点，并且已经具备了操纵流程或关闭工厂的能力，之后攻击者进一步危害了SIS系统。被入侵的DCS和SIS系统将使攻击者最大限度的对物理装置造成破坏。 攻击者在一段时间内进行了多次尝试，为此目标环境中的SIS控制器提供功能控制逻辑。虽然由于SIS系统对攻击脚本的限制而导致攻击尝试失败，但攻击者仍然在不停的测试。这表明攻击者意图在造成关闭过程之外的特定结果。 图4TRITON攻击过程 2010年“震网”病毒攻击了伊朗核设施，成功毁坏了伊朗近1/5的离心机，感染了20多万台计算机，导致1000台机器物理退化，并使得伊朗核计划倒退了两年。“震网”病毒通过修改程序命令，使生产浓缩铀的离心机异常加速，超过设计极限，最终致使离心机报废。同时，“震网”具有很强的隐蔽性，正常情况下，工业控制系统中的离心机发生故障之时，程序会向主控系统报错，通知控制中心的工程师。在“震网”病毒控制伊朗核设施系统后，通过修改程序指令，阻止报错机制的正常运行。即便离心机发生损坏，报错指令也不会传达到主控端，致使伊朗核设施的工作人员的监视画面显示一切正常。 图5“震网”病毒的攻击路径 2、控制系统的毁伤 控制系统的毁伤是指攻击者针对工控系统中的控制系统进行破坏，从而影响整个生产过程的攻击。攻击者对控制系统的攻击向量主要针对上位机和控制器等，通过破坏上位机或者控制器上的软件及数据，实现影响工控系统正常运行的目的。另外，针对上位机的毁伤虽然会对整个生产过程产生不利影响，但其严重程度却远不及针对现场设备的毁伤。这是因为，针对上位机的毁伤，仅仅是导致了上位机无法运行，工业企业可以通过重装系统等方式快速恢复生产。 2021年5月7日，美国最大成品油管道公司ColonialPipeline被勒索软件攻击，勒索软件实际上是将控制系统中的监控层计算机进行锁定，导致控制设备不能正常运行而导致整个油气管网输送停滞。为了避免造成更大影响，该公司主动切断部分系统网络，暂停所有管道运营。 2015年黑客使用BlackEnergy来攻击乌克兰的电网，BlackEnergy最初版本出现在2007年，即BlackEnergy1,后续又出现了新的变种BlackEnergy2和BlackEnergy3。在针对乌克兰电网的攻击中，攻击者利用BlackEnergy中的新型KillDisk组件对乌克兰境内电网系统进行攻击，该组件能够将计算机中的硬盘进行清零，当核心计算机中的硬盘被清零，很难通过重启等手段进行快速恢复，导致整个电力网络异常，值得注意的是本次停电事故并未造成电力系统本身设备的损毁。 3、工控协议缺陷 攻击者利用工业控制网络中的协议在设计和实现上的缺陷，对工控系统发起攻击，给系统带来安全威胁。工控协议的缺陷分为两大类：协