工业控制系统安全防护技术
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
恶意代码等。
工控安全隔离网关
智能工业控制网络安全专家
工业控制系统安全防护技术 • 单向导入技术
单向导入技术的工作原理类似于“二极管”单向导电的特性,采用 硬件架构设计使数据仅能从外网主机(非信任端)传输至内网主机(信 任端),中间没有任何形式的反馈信号,所有需要“握手”确认的通信 协议在信息单向导入系统中都会失去意义。
智能工业控制网络安全专家
方程式的攻击目标:以工业控制设施为主
它所瞄准的不是 个人用户,或普 通的商业用户, 而是一个国家的 关键设施、经济 命脉。
它的目的不是普通 多种证据显示, 病毒的窃取信息、 “方程式”跟美 经济诈骗,而是破 国国家安全局、 坏工业生产,制造 以色列情报机 社会混乱,乃至直 构、以及英国军 接打击军事设施。 方具有密切的联
• 首先进行端口扫描,获取目标工控设备、工控软件等指纹信息; • 通过获取的指纹信息识别目标系统的种类、型号或版本等,将这些相
关信息与网络漏洞扫描系统提供的漏洞库进行匹配,查询相关安全漏 洞。
扫描客户端模块
1 扫描命令 6 扫描结果
系统漏洞库 5 漏洞数据
扫描引擎模块 2 扫描方法
3 扫描网络 4 主机响应
系。
结论:“方程 式”是一种主要 以工业控制网络 为目标的病毒武 器。
智能工业控制网络安全专家
方程式的攻击目标:以美国敌国为主
欧洲、北美、日 本 、澳洲等地区是世界 上经济最发达地区,拥 有最多的计算机和最高 的互联网普及率,从概 率上而言,这些国家感 染病毒的几率应该也是 最高的。但实际上,他 们的感染率却是最低 的。
FTP,HTTP等),记录目标主机的应答,从而收集目标系统的安全漏 洞信息。 • 模拟攻击:通过模拟攻击的方法,如:IP欺骗、缓冲区溢出、DOS攻 击等方法对目标系统可能存在的已知安全漏洞进行逐项检查,从而发 现系统的安全漏洞所在。
智能工业控制网络安全专家
工业控制系统安全防护技术
工控漏洞扫描过程:
OPC服务 • 随后Havex可以连接到OPC服务器,通过调用IOPCBrowse DCOM接口获取敏感信息
智能工业控制网络安全专家
方程式组织曝光—2015年信息安全界最重大的新闻
智能工业控制网络安全专家
方程式潜伏二十年,肆虐全球
• 从2001年到现在,“方程式组织”已经在伊朗、俄罗斯、叙利亚、阿富汗、 阿拉伯联合大公国、中国(香港)、英国、美国等全球超过30个国家感染了 数千个,甚至上万受害者。
网络隔离技术相对于防火墙技术的优势在于:防火墙的思路是在保 障互联互通的前提下,尽可能安全;而网络隔离的思路是在必须保证安 全的前提下,尽可能支持数据交换,如果不安全则断开。网络隔离技术 可以解决以下问题:
Ø 操作系统漏洞 Ø TCP/IP 漏洞 Ø 应用协议漏洞 Ø 链路连接漏洞 Ø 安全策略漏洞 Ø 文件带有病毒/
供应商官方网站
1
篡改供应商网站,在下载软件升级 包中包含恶意间谍软件
2 被攻击用户下被载篡改的升级包
工控 网络
OPC客户端
OPC客户端
OPC服务器 OPC服务器
生产线
PLC
PLC
3 恶意间谍代码自动安装到OPC客户端
4
恶意间谍代码通过OPC协议发出非法数据 采集指令
7
黑客采集获取 的数据
5 OPC服务器回应数据信息
• “程式组织”发展了极为强大的“军火库”,恶意间谍软件至少包括 EquationLaser、EquationDrug、DoubleFantasy、TripleFantasy、 Fanny 、Gray Fish等。
智能工业控制网络安全专家
知己知彼:方程式的硬盘感染能力
• “方程式”可以对数十种常 见品牌的硬盘固件进行重新 编程的。包括三星、西数、 希捷、迈拓、东芝以及日立 等公司。这些受到感染的硬 盘使得攻击者可以持续的对 受害者的计算机进行控制和 数据窃取。是首个已知的能 够直接感染硬盘的恶意软 件。
客户端
监视数据 工控漏洞发现与挖掘系统
测试数据 监视数据
点对点测试
被检测设备
被检测设备 控制系统
正常数据包
测试数据
监视数据 工控漏洞发现与挖掘系统
监视数据
被检测设备
客户端
桥接/online测试
智能工业控制网络安全专家
工业控制系统安全防护技术
• 网络隔离技术
网络隔离技术的目标是确保隔离有害的攻击,在可信网络之外和保 证可信网络内部信息不外泄的前提下,完成网间数据的安全交换。
• 抓包分析技术
抓包分析技术是从微 观上保证网络安全的技术 手段,通过捕获网络中传 输的数据包并对数据包进 行统计和分析,可以从中 了解协议的实现情况、是 否存在网络攻击等,为制 定安全策略及进行安全审 计提供直接的依据。抓包 分析技术是实现工业防火 墙、工控审计系统、工业 协议防护等防护技术和策 略的基础。
智能工业控制网络安全专家
沙虫攻击流程
利用漏洞 安装木马
木马下载GE 恶 意
工程文件
进一步攻击 工控环境
用户打开恶意文 件执行恶意代码
智能工业控制网络安全专家
最新工控攻击技术:PLC蠕虫
• 通过引入PLC蠕虫,PLC成为了攻击源,而不只是攻击目标。受感染的 PLC可能通过工控组件提供商或者在组件传输过程中被掺入其中而进入 到工控系统中。
智能工业控制网络安全专家
互联网
企业管理网 车间监控网 现场控制网
边界攻击
攻击路径介绍
控制系统
传感器、变送器、执行机构
损坏 智能工业控制网络安全专家
互联网
企业管理网 车间监控网 现场控制网
介质攻击
攻击路径介绍
控制系统
传感器、变送器、执行机构
损坏 智能工业控制网络安全专家
互联网
企业管理网 车间监控网 现场控制网
规则匹配库
智能工业控制网络安全专家
工业控制系统安全防护技术
工控漏洞fuzzing测试:
输入
输出
模糊测试
输入
输出
固件分析
智能工业控制网络安全专家
模糊测试
工业控制系统安全防护技术
变形后报文集
正常报文模板 变形算法
发送报文 对比特征模型 确认潜在漏洞
记录入库等待分析
智能工业控制网络安全专家
工业控制系统安全防护技术
• 蠕虫之后便可以在工控网络内部进行扩散,且不需要任何标准电脑和 服务器。因此它不会被任何杀毒软件做侦测到。
智能工业控制网络安全专家
最新工控攻击技术:PLC Rootkit
• 阿巴斯和哈舍米实现了基于可加载内核模块 (LKM)的rootkit 。这种方 式可绕过现有基于主机的入侵检测和用于嵌入式系统的控制流完整性 工具,比如 Autoscopy Jr 和Doppelganger。
• 就像著名的Stuxnet蠕虫病毒,Havex也是被编写来感染SCADA和工控系统中使用的工业控
制软件,这种恶意软件在有效传播之后完全有能力实现禁用水电大坝、使核电站过载、甚至
有能力关闭一个地区和国家的电网。
智能工业控制网络安全专家
1
通过社会工程向 工程人员发送 包含恶意间谍 代码的钓鱼邮件
HAVEX病毒攻击路径概述
工控审计系统
智能工业控制网络安全专家
Hale Waihona Puke Baidu
工业控制系统安全防护技术
• 工控漏洞扫描技术
传统网络安全漏洞挖掘技术可以预先发现网络安全漏洞,提前采取 补救措施,从而预防网络安全事故的发生。网络安全漏洞挖掘技术通常 包括漏洞扫描和模拟攻击两种。 • 漏洞扫描:通过与目标主机TCP/IP端口建立连接并请求某些服务(如
工业控制系统信息安全防护技术
信息化和软件服务业司
目录
01 工控事件攻击技术概述 02 工控系统安全技术 03 工控系统防护体系思考 04 结束语
智能工业控制网络安全专家
HAVEX病毒
• 2014年,安全研究人员发现了一种类似震网病毒的恶意软件,并将其命名为:Havex,这种
恶意软件已被用在很多针对国家基础设施的网络攻击中。
6
将信息加密并传输到C&C (命令与控制)网站
智能工业控制网络安全专家
Havex 传播途径
在被入侵厂商的主站上,向用户提供包含恶意代码的升级软件包
利用系统漏洞,直接将恶意代码植入
包含恶意代码的钓鱼邮件
l 有三个厂商的主站被这种方式被攻入,在网站上提供的软件安装包中包含了 Havex。这三家公司都是开发面向工业的设备和软件,这些公司的总部分别位于德 国、瑞士和比利时。
l 其中两个供应商为ICS系统提供远程管理软件,第三个供应商为开发高精密工业摄 像机及相关软件。
智能工业控制网络安全专家
Havex 深度解析
• 通过反向Havex程序,我们发现它会枚举局域网中的RPC服务,并寻找可连接的资源 • Havex通过调用IOPCServerList和IOPCServerList2 DCOM接口来枚举目标机器上的
3 当被隔离的电脑B需要拷贝文件,插入被感染的U盘时,电脑B被感染。
4 病毒会从电脑B以及跟它联网的其他设备中收集信息,保存到U盘上。 5 当这个U盘又被拿出去,接到电脑A上时,前面收集到的信息,则会通过网络
传回病毒的服务器。 6 服务器会分析通过U盘收集到的电脑B、以及电脑B所在网络的信息,发出进
• 支持多种工业控制协议 • 支持OPC协议 • 支持指令集的白名单控制 • 支持阈值的控制 • 日志记录及使用统计 • 其它安全机制
• 下一代智能防火墙功能:
• 工业协议智能建模深度解析
• 智能配置访问控制规则
• 隐形防攻击
工控防火墙
下一代智能 工控防火墙
智能工业控制网络安全专家
工业控制系统安全防护技术
• 方程式特别强化了其驻留硬 盘的能力,躲过杀毒软件、 操作系统重装、乃至硬盘格 式化。
智能工业控制网络安全专家
知己知彼:方程式的隔绝网络感染能力
• 隔离网络在工控中应用广泛, “方程式”病毒特别擅长攻击隔离 网络,并在隔离网络和互联网之间传送信息。步骤如下:
1 病毒会通过网络,感染某台能够上网的电脑A。 2 当电脑A插入某个U盘时,这个U盘也会被感染。
• cim 或者.bcl文件是Cimplicity的工程文件,一个典型的Cimplicity工程显 示如下
智能工业控制网络安全专家
沙虫攻击概述
• 攻击者在成功利用沙虫病毒成功植入了恶意构造的CIM工程文件,该工程 文件植入了特定的攻击指令。
• 通过执行上述指令,攻击者下载了恶意程序并伪装成GE Cim软件进程进行 隐藏。至此攻击者已经植入了复数的木马并成功控制了目标主机。
感染“方程式”最 多的国家,除了俄罗斯 和中国以外,伊朗、巴 基斯坦、阿富汗、叙利 亚等国,都是比较落后 的国家,计算机和互联 网的使用率都很低。
凡是美国和它的盟 国,感染率都很低, 凡是美国的敌国或美 国蓄意打压的国家, 病毒感染率都名列前 茅。
智能工业控制网络安全专家
知己知彼:方程式的工具组件
内部人员(误操作)攻击
攻击路径介绍
控制系统
传感器、变送器、执行机构
损坏 智能工业控制网络安全专家
互联网
企业管理网 车间监控网 现场控制网
智能设备引入攻击
攻击路径介绍
控制系统
传感器、变送器、执行机构
损坏 智能工业控制网络安全专家
信息化和软件服务业司
目录
01 工控事件攻击技术概述 02 工控系统安全防护技术 03 工控系统防护体系思考 04 工控系统安全解决方案 05 结束语
智能工业控制网络安全专家
沙虫攻击概述
• 通过分析恶意的工程文件(poc)的16进制数据流能够发现恶意嵌入的命令, 当用户打开该工程文件时,就会执行恶意嵌入的命令,打开如下的工程文 件会在用户界面弹出一个计算器。
智能工业控制网络安全专家
沙虫攻击概述
• 该攻击主要利用了GE Cimplicity HMI软件的一个安全隐患,当打开攻击者 恶意构造的.cim或者.bcl文件时将允许在用户HMI主机上执行任意代码以及 安装木马文件。
一步的命令,存储在U盘之中。 7 当U盘再次插入电脑B,则那些命令将会自动执行,执行更有针对性的窃取和
破坏行为。
智能工业控制网络安全专家
沙虫攻击概述
• 沙虫攻击主要源自微软Windows对PowerPoint文件的处理错误,影响几乎所有
的Windows版本。通过利用该漏洞可以通过OFFICE文档嵌入恶意程序,造成任意 代码执行,从而让黑客完全控制被攻击的电脑。 • 在针对能源企业的事件中,攻击者通过沙虫攻击入侵了目标主机后使用了GE Cimplicity HMI软件的一个安全漏洞进一步控制了现场的HMI主机,植入木马用 于窃取数据或进行其他工作。
智能工业控制网络安全专家
工业控制系统安全防护技术
信息化和软件服务业司
• 工业防火墙
工业防火墙技术是防范工控网络攻击最常用的技术手段,通过在工 控网络和信息网络(或互联网)之间设置中间防护系统,形成一个安全 屏障,将工控网络和信息网络分割开。
智能工业控制网络安全专家
工业控制系统安全防护技术
• 工业防火墙功能:
工控安全隔离网关
智能工业控制网络安全专家
工业控制系统安全防护技术 • 单向导入技术
单向导入技术的工作原理类似于“二极管”单向导电的特性,采用 硬件架构设计使数据仅能从外网主机(非信任端)传输至内网主机(信 任端),中间没有任何形式的反馈信号,所有需要“握手”确认的通信 协议在信息单向导入系统中都会失去意义。
智能工业控制网络安全专家
方程式的攻击目标:以工业控制设施为主
它所瞄准的不是 个人用户,或普 通的商业用户, 而是一个国家的 关键设施、经济 命脉。
它的目的不是普通 多种证据显示, 病毒的窃取信息、 “方程式”跟美 经济诈骗,而是破 国国家安全局、 坏工业生产,制造 以色列情报机 社会混乱,乃至直 构、以及英国军 接打击军事设施。 方具有密切的联
• 首先进行端口扫描,获取目标工控设备、工控软件等指纹信息; • 通过获取的指纹信息识别目标系统的种类、型号或版本等,将这些相
关信息与网络漏洞扫描系统提供的漏洞库进行匹配,查询相关安全漏 洞。
扫描客户端模块
1 扫描命令 6 扫描结果
系统漏洞库 5 漏洞数据
扫描引擎模块 2 扫描方法
3 扫描网络 4 主机响应
系。
结论:“方程 式”是一种主要 以工业控制网络 为目标的病毒武 器。
智能工业控制网络安全专家
方程式的攻击目标:以美国敌国为主
欧洲、北美、日 本 、澳洲等地区是世界 上经济最发达地区,拥 有最多的计算机和最高 的互联网普及率,从概 率上而言,这些国家感 染病毒的几率应该也是 最高的。但实际上,他 们的感染率却是最低 的。
FTP,HTTP等),记录目标主机的应答,从而收集目标系统的安全漏 洞信息。 • 模拟攻击:通过模拟攻击的方法,如:IP欺骗、缓冲区溢出、DOS攻 击等方法对目标系统可能存在的已知安全漏洞进行逐项检查,从而发 现系统的安全漏洞所在。
智能工业控制网络安全专家
工业控制系统安全防护技术
工控漏洞扫描过程:
OPC服务 • 随后Havex可以连接到OPC服务器,通过调用IOPCBrowse DCOM接口获取敏感信息
智能工业控制网络安全专家
方程式组织曝光—2015年信息安全界最重大的新闻
智能工业控制网络安全专家
方程式潜伏二十年,肆虐全球
• 从2001年到现在,“方程式组织”已经在伊朗、俄罗斯、叙利亚、阿富汗、 阿拉伯联合大公国、中国(香港)、英国、美国等全球超过30个国家感染了 数千个,甚至上万受害者。
网络隔离技术相对于防火墙技术的优势在于:防火墙的思路是在保 障互联互通的前提下,尽可能安全;而网络隔离的思路是在必须保证安 全的前提下,尽可能支持数据交换,如果不安全则断开。网络隔离技术 可以解决以下问题:
Ø 操作系统漏洞 Ø TCP/IP 漏洞 Ø 应用协议漏洞 Ø 链路连接漏洞 Ø 安全策略漏洞 Ø 文件带有病毒/
供应商官方网站
1
篡改供应商网站,在下载软件升级 包中包含恶意间谍软件
2 被攻击用户下被载篡改的升级包
工控 网络
OPC客户端
OPC客户端
OPC服务器 OPC服务器
生产线
PLC
PLC
3 恶意间谍代码自动安装到OPC客户端
4
恶意间谍代码通过OPC协议发出非法数据 采集指令
7
黑客采集获取 的数据
5 OPC服务器回应数据信息
• “程式组织”发展了极为强大的“军火库”,恶意间谍软件至少包括 EquationLaser、EquationDrug、DoubleFantasy、TripleFantasy、 Fanny 、Gray Fish等。
智能工业控制网络安全专家
知己知彼:方程式的硬盘感染能力
• “方程式”可以对数十种常 见品牌的硬盘固件进行重新 编程的。包括三星、西数、 希捷、迈拓、东芝以及日立 等公司。这些受到感染的硬 盘使得攻击者可以持续的对 受害者的计算机进行控制和 数据窃取。是首个已知的能 够直接感染硬盘的恶意软 件。
客户端
监视数据 工控漏洞发现与挖掘系统
测试数据 监视数据
点对点测试
被检测设备
被检测设备 控制系统
正常数据包
测试数据
监视数据 工控漏洞发现与挖掘系统
监视数据
被检测设备
客户端
桥接/online测试
智能工业控制网络安全专家
工业控制系统安全防护技术
• 网络隔离技术
网络隔离技术的目标是确保隔离有害的攻击,在可信网络之外和保 证可信网络内部信息不外泄的前提下,完成网间数据的安全交换。
• 抓包分析技术
抓包分析技术是从微 观上保证网络安全的技术 手段,通过捕获网络中传 输的数据包并对数据包进 行统计和分析,可以从中 了解协议的实现情况、是 否存在网络攻击等,为制 定安全策略及进行安全审 计提供直接的依据。抓包 分析技术是实现工业防火 墙、工控审计系统、工业 协议防护等防护技术和策 略的基础。
智能工业控制网络安全专家
沙虫攻击流程
利用漏洞 安装木马
木马下载GE 恶 意
工程文件
进一步攻击 工控环境
用户打开恶意文 件执行恶意代码
智能工业控制网络安全专家
最新工控攻击技术:PLC蠕虫
• 通过引入PLC蠕虫,PLC成为了攻击源,而不只是攻击目标。受感染的 PLC可能通过工控组件提供商或者在组件传输过程中被掺入其中而进入 到工控系统中。
智能工业控制网络安全专家
互联网
企业管理网 车间监控网 现场控制网
边界攻击
攻击路径介绍
控制系统
传感器、变送器、执行机构
损坏 智能工业控制网络安全专家
互联网
企业管理网 车间监控网 现场控制网
介质攻击
攻击路径介绍
控制系统
传感器、变送器、执行机构
损坏 智能工业控制网络安全专家
互联网
企业管理网 车间监控网 现场控制网
规则匹配库
智能工业控制网络安全专家
工业控制系统安全防护技术
工控漏洞fuzzing测试:
输入
输出
模糊测试
输入
输出
固件分析
智能工业控制网络安全专家
模糊测试
工业控制系统安全防护技术
变形后报文集
正常报文模板 变形算法
发送报文 对比特征模型 确认潜在漏洞
记录入库等待分析
智能工业控制网络安全专家
工业控制系统安全防护技术
• 蠕虫之后便可以在工控网络内部进行扩散,且不需要任何标准电脑和 服务器。因此它不会被任何杀毒软件做侦测到。
智能工业控制网络安全专家
最新工控攻击技术:PLC Rootkit
• 阿巴斯和哈舍米实现了基于可加载内核模块 (LKM)的rootkit 。这种方 式可绕过现有基于主机的入侵检测和用于嵌入式系统的控制流完整性 工具,比如 Autoscopy Jr 和Doppelganger。
• 就像著名的Stuxnet蠕虫病毒,Havex也是被编写来感染SCADA和工控系统中使用的工业控
制软件,这种恶意软件在有效传播之后完全有能力实现禁用水电大坝、使核电站过载、甚至
有能力关闭一个地区和国家的电网。
智能工业控制网络安全专家
1
通过社会工程向 工程人员发送 包含恶意间谍 代码的钓鱼邮件
HAVEX病毒攻击路径概述
工控审计系统
智能工业控制网络安全专家
Hale Waihona Puke Baidu
工业控制系统安全防护技术
• 工控漏洞扫描技术
传统网络安全漏洞挖掘技术可以预先发现网络安全漏洞,提前采取 补救措施,从而预防网络安全事故的发生。网络安全漏洞挖掘技术通常 包括漏洞扫描和模拟攻击两种。 • 漏洞扫描:通过与目标主机TCP/IP端口建立连接并请求某些服务(如
工业控制系统信息安全防护技术
信息化和软件服务业司
目录
01 工控事件攻击技术概述 02 工控系统安全技术 03 工控系统防护体系思考 04 结束语
智能工业控制网络安全专家
HAVEX病毒
• 2014年,安全研究人员发现了一种类似震网病毒的恶意软件,并将其命名为:Havex,这种
恶意软件已被用在很多针对国家基础设施的网络攻击中。
6
将信息加密并传输到C&C (命令与控制)网站
智能工业控制网络安全专家
Havex 传播途径
在被入侵厂商的主站上,向用户提供包含恶意代码的升级软件包
利用系统漏洞,直接将恶意代码植入
包含恶意代码的钓鱼邮件
l 有三个厂商的主站被这种方式被攻入,在网站上提供的软件安装包中包含了 Havex。这三家公司都是开发面向工业的设备和软件,这些公司的总部分别位于德 国、瑞士和比利时。
l 其中两个供应商为ICS系统提供远程管理软件,第三个供应商为开发高精密工业摄 像机及相关软件。
智能工业控制网络安全专家
Havex 深度解析
• 通过反向Havex程序,我们发现它会枚举局域网中的RPC服务,并寻找可连接的资源 • Havex通过调用IOPCServerList和IOPCServerList2 DCOM接口来枚举目标机器上的
3 当被隔离的电脑B需要拷贝文件,插入被感染的U盘时,电脑B被感染。
4 病毒会从电脑B以及跟它联网的其他设备中收集信息,保存到U盘上。 5 当这个U盘又被拿出去,接到电脑A上时,前面收集到的信息,则会通过网络
传回病毒的服务器。 6 服务器会分析通过U盘收集到的电脑B、以及电脑B所在网络的信息,发出进
• 支持多种工业控制协议 • 支持OPC协议 • 支持指令集的白名单控制 • 支持阈值的控制 • 日志记录及使用统计 • 其它安全机制
• 下一代智能防火墙功能:
• 工业协议智能建模深度解析
• 智能配置访问控制规则
• 隐形防攻击
工控防火墙
下一代智能 工控防火墙
智能工业控制网络安全专家
工业控制系统安全防护技术
• 方程式特别强化了其驻留硬 盘的能力,躲过杀毒软件、 操作系统重装、乃至硬盘格 式化。
智能工业控制网络安全专家
知己知彼:方程式的隔绝网络感染能力
• 隔离网络在工控中应用广泛, “方程式”病毒特别擅长攻击隔离 网络,并在隔离网络和互联网之间传送信息。步骤如下:
1 病毒会通过网络,感染某台能够上网的电脑A。 2 当电脑A插入某个U盘时,这个U盘也会被感染。
• cim 或者.bcl文件是Cimplicity的工程文件,一个典型的Cimplicity工程显 示如下
智能工业控制网络安全专家
沙虫攻击概述
• 攻击者在成功利用沙虫病毒成功植入了恶意构造的CIM工程文件,该工程 文件植入了特定的攻击指令。
• 通过执行上述指令,攻击者下载了恶意程序并伪装成GE Cim软件进程进行 隐藏。至此攻击者已经植入了复数的木马并成功控制了目标主机。
感染“方程式”最 多的国家,除了俄罗斯 和中国以外,伊朗、巴 基斯坦、阿富汗、叙利 亚等国,都是比较落后 的国家,计算机和互联 网的使用率都很低。
凡是美国和它的盟 国,感染率都很低, 凡是美国的敌国或美 国蓄意打压的国家, 病毒感染率都名列前 茅。
智能工业控制网络安全专家
知己知彼:方程式的工具组件
内部人员(误操作)攻击
攻击路径介绍
控制系统
传感器、变送器、执行机构
损坏 智能工业控制网络安全专家
互联网
企业管理网 车间监控网 现场控制网
智能设备引入攻击
攻击路径介绍
控制系统
传感器、变送器、执行机构
损坏 智能工业控制网络安全专家
信息化和软件服务业司
目录
01 工控事件攻击技术概述 02 工控系统安全防护技术 03 工控系统防护体系思考 04 工控系统安全解决方案 05 结束语
智能工业控制网络安全专家
沙虫攻击概述
• 通过分析恶意的工程文件(poc)的16进制数据流能够发现恶意嵌入的命令, 当用户打开该工程文件时,就会执行恶意嵌入的命令,打开如下的工程文 件会在用户界面弹出一个计算器。
智能工业控制网络安全专家
沙虫攻击概述
• 该攻击主要利用了GE Cimplicity HMI软件的一个安全隐患,当打开攻击者 恶意构造的.cim或者.bcl文件时将允许在用户HMI主机上执行任意代码以及 安装木马文件。
一步的命令,存储在U盘之中。 7 当U盘再次插入电脑B,则那些命令将会自动执行,执行更有针对性的窃取和
破坏行为。
智能工业控制网络安全专家
沙虫攻击概述
• 沙虫攻击主要源自微软Windows对PowerPoint文件的处理错误,影响几乎所有
的Windows版本。通过利用该漏洞可以通过OFFICE文档嵌入恶意程序,造成任意 代码执行,从而让黑客完全控制被攻击的电脑。 • 在针对能源企业的事件中,攻击者通过沙虫攻击入侵了目标主机后使用了GE Cimplicity HMI软件的一个安全漏洞进一步控制了现场的HMI主机,植入木马用 于窃取数据或进行其他工作。
智能工业控制网络安全专家
工业控制系统安全防护技术
信息化和软件服务业司
• 工业防火墙
工业防火墙技术是防范工控网络攻击最常用的技术手段,通过在工 控网络和信息网络(或互联网)之间设置中间防护系统,形成一个安全 屏障,将工控网络和信息网络分割开。
智能工业控制网络安全专家
工业控制系统安全防护技术
• 工业防火墙功能: