工控人如何抵御針對PLC、上位機和交換機的網絡攻擊

2021/2/8 3:52:50 人評論次瀏覽分類：PLC應用文章地址：http://www.gsipv.com/tech/3597.html

目前很多企業數據上云，孤島聯網，數據集中管控，遠程訪問與維護，逐漸實現了互聯，但是聯網后隨之而來的網絡安全問題也越來越多......企業既擔心網絡被攻擊，又擔心數據被竊取。那么，怎樣抵御工業控制系統網絡攻擊呢？

工業控制系統網絡攻擊中工控人重點需要保護的設備是：PLC、上位機、交換機。

針對PLC、上位機、交換機的網絡攻擊
1、PLC是如何被網絡攻擊的？
首先，昌暉儀表告知大家的是PLC并不是只有對應的編程軟件才可以讓PLC啟動和停止；通過很多HACK類工具均可對PLC進行停止，寫值等等。

2、上位機是如何被攻網絡擊的？
那對于上位機就簡單多了，比如通過U盤傳播，比如如下路徑：
①某工程師打開一封郵件，該郵件內容再正常不過，但是有一個木馬程序已經進到你的操作系統。
②當操作系統監測到計算機有U盤插入，自動復制一份副本到U盤。
③當這個U盤拷貝了一個文件到現場工控機的時候，該文件自動復制了一份到工控機系統。
④開始搜索注冊表，該系統是否安裝了Wincc。
⑤如果安裝：利用wincc漏洞SQL漏洞和S7otbxdx.dll進行攻擊。
⑥讀取函數HOOK，修改Timer時間為無限長。
⑦通過Step7自動下裝到PLC。

這個過程大家是不是覺得很熟悉？Yes，它就是著名的STUXNET(震網)，該病毒只需要操作員協助做一個動作即可，那就是把U盤插在工控機上，這時STUXNET就會在神不知鬼不覺的情況下獲取工業控制電腦的控制權。

3、EtherNet/IP是如何被網絡攻擊的？
假如企業的系統是AB的PLC或者施耐德PLC，通過EtherNet/IP連接遠程I/O，那么如果我們通過以太網發送極大的數據量到網絡內，將網絡帶寬資源消耗盡或者我們1s發出1000次網絡請求，給其中一個以太網適配器，都會導致PLC和I/O之間網絡出現癱瘓，導致PLC系統失控。
EtherNet/IP被網絡攻擊

PLC、上位機和交換機如何抵御網絡攻擊，避免工業控制系統失控
工控人怎么避免PLC、上位機和交換機被網絡攻擊呢？使用工業安全隔離裝置是一種比較快捷有效的方式，工業安全隔離裝置集成工業防火墻，工業威脅監測，事件中心，跳板機和沙箱；其硬件采用一臺物理服務器，內部部署WiCloud一體化虛擬工控管理平臺，在此平臺上部署了五個虛擬機，分別為WiSecurity工業防火墻，工業威脅捕捉系統，事件中心，跳板機以及沙箱。

下面昌暉儀表簡單介紹工業安全隔離裝置的各項功能：
①WiSecurity工業防火墻
WiSecurity工業防火墻針對PLC具備如下功能：

a、圖片強化的注入防護
◆防地址溢出攻擊
◆防停止/下載/重啟/寫值命令注入
b、CRC錯誤攻擊
◆漏洞利用
◆固件漏洞攻擊防護
◆工控軟件漏洞攻擊防護

工業安全隔離裝置支持多種工業協議

同時可支持如下工業協議，S7NET，EtherNet/IP，Modbus TCP，OPC以及DNP。另外也可告訴大家目前很多的工業協議防火墻，大部分情況只是端口防護。
工業安全隔離裝置在S7NET，EtherNet/IP和Modbus TCP/IP協議中具備協議特征識別的特性，也是防止PLC被惡意重啟，惡意寫值的主要防護。

②工業威脅捕捉系統
什么是工業威脅捕捉系統呢？該系統可以捕捉來自IT網絡邊界和OT網絡邊界的威脅和嗅探，說的更加白話一點就像放這里一個蜜罐，用來吸引攻擊，分析攻擊，推測攻擊意圖，并將結果發送到工業防火墻進行威脅阻斷。工業威脅捕捉系統是典型的主動防御系統。

威脅捕捉技術本質上是一種對攻擊方進行欺騙的技術，通過布置一些作為誘餌的主機、網絡服務或者信息，誘使攻擊方對它們實施攻擊，從而可以對攻擊行為進行捕獲和分析，了解攻擊方所使用的工具與方法，推測攻擊意圖和動機，能夠讓防御方清晰地了解他們所面對的安全威脅，并通過技術和管理手段來增強實際系統的安全防護能力。

工業威脅捕捉系統好比是情報收集系統。好像是故意讓人攻擊的目標，引誘黑客前來攻擊。所以攻擊者入侵后，你就可以知道他是如何得逞的，隨時了解針對服務器發動的最新的攻擊和漏洞。還可以通過竊聽黑客之間的聯系，收集黑客所用的種種工具，并且掌握他們的社交網絡。

通過該工業威脅捕捉系統，當網絡里有攻擊者的時候，威脅捕捉系統會偽裝成PLC系統，當攻擊者攻擊威脅捕捉系統后，系統捕捉到攻擊信息，并進行分析，同時將分析結果補充到防火墻，通過策略阻斷此攻擊。

工業威脅捕捉系統Redis釣魚演示

③事件中心
記錄所有節點的事件記錄，比如防火墻，交換機和計算機、服務器等；當有故障發生的時候可進入事件中心進行事件記錄查詢，進行故障追憶。

④跳板機
部署FireFox，Putty，Java SDK和錄屏軟件，跳板機的作用為當設備廠家要對機器進行遠程維護的時候，不可以直接通過網絡接入設備，而要先經過該跳板機，在跳板機上做維護操作，同時所有的操作會有錄屏，如果設備操作在維護自己設備的時候做了不屬于維護范圍內的操作的時候，跳板機可以直接中斷其操作。

⑤沙箱測試系統
沙箱測試系統，用于測試欲安裝的軟件是否安全，可在沙箱系統做部署測試，如果安全，則可以在實體機安裝，如果有木馬和病毒集成，即將其銷毀。

工業安全隔離裝置可選安裝病毒服務器，病毒服務器軟件用戶自己部署，當現場工控機部署了殺毒軟件，由于現場工控機一般不連接外網，導致病毒庫無法更新，如果部署了病毒服務器，可以通過病毒服務器對現場工控機病毒庫進行更新，而病毒服務器自身病毒庫的更新可通過IFZ內的防火墻后進行更新。

因此，工業安全隔離裝置部署在OT和IT的邊界，可以降低PLC、上位機和交換機網絡攻擊的風險。
作者：曹俊義

相關閱讀
自動化IT系統缺陷導致的安全事故同樣觸目驚心
工業信息安全:國內大部分工業自動化控制系統缺乏安全防護

上一篇：機器視覺軟件HALCON 19.11安裝步驟詳解

下一篇：如何計算S7-200 SMART的電源需求