*本文原創作者:liujianshuai,本文屬FreeBuf原創獎勵計劃,未經許可禁止轉載
摘要:
自 2003年來,以SQL蠕蟲、“尼姆達”、“衝擊波”、“震盪波”、“熊貓燒香”、“永恆之藍”等病毒的連續性爆發爲起點,到計算機文件泄露、口令泄露、 硬件資產丟失、服務器系統癱瘓等諸多終端安全事件在各地網絡頻繁發生,使政府機關、企事業單位、能源領域和其他工業領域的網絡管理人員頭痛不已。17年某 能源企業大面積感染勒索病毒更是加快了行業內工控安全整體建設的步伐,如何對主機終端的進行更好的安全防護一直是我們思考的問題。
關鍵字:工控安全 主機防護 網絡安全
1.背景
2018年7月16日,烏克蘭安全局(SBU)對外聲稱,烏克蘭境內的關鍵基礎設施遭到了VPNFilter惡意軟件的攻擊,而這款惡意軟件據說來源於俄羅斯情報機構。
根據SBU的描述,安全研究人員在烏克蘭的第聶伯羅彼得羅夫斯克市(Dnipropetrovsk)Aulska氯氣站的工控系統中檢測到了這款惡意軟件,而該組織是烏克蘭國內的重要基礎設施之一,因爲它主要負責向烏克蘭境內的污水處理廠提供用於清潔水處理的氯原料。
據報道,該惡意軟件主要針對的是工控系統中的技 術處理流程以及安全保護系統,但是烏克蘭安全局表示,他們的安全專家迅速檢測到了VPNFilter的存在,並屏蔽了它想要嘗試進行的惡意操作。SBU表 示,此次攻擊如果成功的話,將會讓Aulska氯氣站的工控系統終止運行,並讓受影響的系統發生崩潰,甚至還有可能對設備造成物理損害,從而導致“災難 性”的事件發生。安全研究人員認爲,此次攻擊的主要目標很可能是爲了破壞該基礎設施的正常運作。
由此可見,工控系統的主機終端作爲工控系統控制的核心是尤爲重要的,控制系統所有指令的下發和數據的收集都是通過主機終端來完成的,一旦終端受到攻擊或破壞,那麼整個控制系統將面臨無法操作,失控,停機,甚至出現生產事故等危險。所以,實現工控系統主機終端防護勢在必行。
2.風險分析
工業控制系統主機側一般存在風險如下所示:
| 脆弱性 | 場景描述 | 可能產生的影響 |
|---|---|---|
| 未安裝防病毒軟件或安裝殺毒軟件未升級病毒庫 | 因擔心殺毒軟件誤殺業務程序,多數業務現場主機類設備未找到合適防病毒方法,少量主機類設備雖安裝了傳統網絡殺病毒軟件,但一直處於無法更新病毒庫的困境中。 | 主機中毒導致系統運行緩慢,網絡被蠕蟲病毒阻塞,導致網絡不通暢、延遲大、丟包等現象。 |
| 軟件不兼容 | 殺毒軟件與業務軟件不兼容,有些主機也安裝了殺毒軟件,但殺毒軟件病毒庫的不斷升級容易造成與業務軟件的衝突。 | 殺毒軟件誤殺文件或者程序,導致業務程序無法正常使用,從而影響正常生產業務。 |
| 對重要業務程序缺乏保護 | 鍵業務程序,如工程師站、操作員站、OPC服務器上業務程序可能被惡意卸載。 | 關鍵業務程序被病毒篡改;關鍵業務程序被惡意卸載。 |
| Windows系統漏洞 | 工程師站、操作員站、部分服務器多采用windows系統,且長時間不更新系統,不進行漏洞和補丁更新,對於系統存在的漏洞束手無策。 | 漏洞容易被黑客利用,導致主機運行緩慢,甚至演變成“肉雞”利用主機破壞整個網絡。 |
| 移動介質的管理落實不徹底 | U盤隨意使用;光驅管理存在問題;U口物理封堵被拆除。 | 導致主機染毒或直接死機、重啓等。 |
| 對發生的安全事件記錄不全 | 主機系統缺乏有效的審計能力,對發生的安全事件無法記錄,windows自身日誌記錄不完整。 | 無法通過記錄分析主機自身發生的安全事件對主機惡意操作行爲的抵賴。 |
| 關鍵控制設備存在漏洞 | 大量的終端和現場設備如PLC存在漏洞,如AB、西門子等都被報過存在高危漏洞。 | 控制設備內部存在漏洞、後門,爲攻擊提供便利條件,攻擊者可直接攻擊PLC。 |
3.方案設計
3.1.設計思想
根據生產網絡安全現狀並結合生產系統運行環境相對穩定,系統更新頻率較低的特點,結合工業和信息化部印發的《工業控制系統信息安全防護指南》關於工控主機安全軟件的選擇與管理中的要求,筆者建議採用“白名單 ”機制的工業控制系統信息安全主機防護的解決方案。
“白名單”機制相對“黑名單”而言比較適用於工業控制現場,工業控制現場相對處於比較封閉隔離的狀態,無法進行聯網更新病毒庫。系統一旦建設完成後,很長一段時間不會再進行升級或改造,“白名單”形成後也相對穩定,有利於工業現場的保護。
3.2.參考標準
1.《工業控制系統信息安全防護指南》(工信軟函〔2016〕338號)
2.《GB/T 22239-2008 信息系統安全等級保護基本要求》
3.3.設計方案
主機防護軟件部署示意圖
主機防護軟件一般是通過軟件方式部署在各個工控主機上,具備以下功能和特徵:
1.採樣“白名單機制”,從防護原理上杜絕了實時訪問互聯網、定期查殺的這兩個不適合過程控制行業的硬傷 ;
2.支持導出、導入白名單,便於工廠未聯網情況下傳遞白名單。
3.USB可以正常拷貝數據,帶入的病毒會被攔截,解決工廠信息傳遞和防病毒矛盾。
4.遊戲、QQ、視頻等非工作相關軟件,只要不在白名單,都會被攔截。
5.白名單內軟件可以正常運行,不受任何影響。拔出加密卡,系統將被鎖定,避免人員破壞。
6.兼容Windows系列操作系統,包括:XP、Win7 64位、Win7 32位、Win8 64位、 2003、2008等主流Windows平臺。
7.兼容目前主流廠家的工業控制系統,包括:和利時、浙大中控、南京科遠、 Emerson、HoneyWell、西門子、ABB、橫河等 。
4.部署方式
主機防護軟件的部署安裝一般是在工控系統停機檢修的時間進行,爲了保證主機防護軟件學習到主機系統的白名單是絕對乾淨且安全的,不管是新建系統還是 老舊系統,筆者都建議對主機進行病毒的查殺檢查工作,確保萬無一失,然後在進行主機防護軟件的部署。以下是主機防護軟件的部署步驟,根據硬盤類型的不同分 兩類方式:
4.1.硬盤類型(非RAID、非SCSI)病毒檢測
第一步:將現場主機硬盤進行完全備份(GHSOT);
第二步:對備份硬盤進行病毒檢測;
第三步:如果備份硬盤無病毒,直接在主機原有硬盤上安裝主機防護軟件,進行主機白名單掃描添加,並開啓安全防護策略,進行72小時試運行觀察,一切正常後,在其它主機上一一進行安裝。
第四步:如果備份硬盤有病毒,先備份病毒文件,然後進行病毒查殺。
第五步:病毒查殺完畢後,將備份硬盤替換原主機硬盤,進行試運行啓動;如果一切正常執行第六步。
第六步:對主機原有硬盤進行病毒查殺,然後安裝主機防護軟件,並進行72小時試運行(如果主機是相同配置、相同系統,只對一臺主機進行本次操作即可),一切正常後,在其它主機上一一進行安裝。
4.2.硬盤類型(RAID和SCSI)病毒檢測
1、使用國內或國外最新病毒庫的殺毒軟件,
2、將殺毒軟件安裝到相應的主機上。
3、在正式殺毒前進行病毒掃描設置,設置可疑文件或病毒不刪除策略,即發現病毒或可疑文件不刪除策略。
4、一旦發現可疑文件或病毒,需要和用戶及專業病毒技術人員進行確認,確認此病毒或可疑文件是否爲真正的病毒。
5、如果確認其是病毒,再刪除。
6、如果沒有發現病毒或者病毒已清除乾淨,卸載殺毒軟件,重啓主機。
7、部署主機防護軟件,進行主機白名單掃描添加,並開啓安全防護策略,進行72小時試運行觀察,一切正常後,在其它主機上一一進行安裝。
注:執行主機病毒檢查過程中必須要求客戶全程在場,必要過程需客戶審批同意方可執行。
5.常見問題
筆者在和用戶交流和實施過程中,常遇到用戶最關心的一個問題,如下:
1、一旦部署完成的白名單被病毒入侵或者被惡意代碼攻破怎麼辦?
解答:目前採用白名單這種部署思路,被攻破的機率不大。但是假如一旦被攻破,那我們將採取如下方法:
①把控制方式從主機控制切到就地控制,優先保障生產的正常運行;
②將受感染主機斷網;
③卸載主機防護軟件;
④依照第四章部署步驟在重新執行一次病毒排查工作,直到確定主機沒有問題;
⑤分析此次被攻破的原因,並升級主機防護軟件,重新進行部署最新版本的主機防護軟件。
6.小結
通過部署主機防護軟件實現主機安全和移動介質管控,滿足行業對主機安全的政策法規要求以及相關的技術要求。解決傳統防病毒軟件不適用於工控現場,導 致工控主機運行緩慢、無法升級病毒庫、關鍵配置文件及授權文件等被誤殺等問題。加固主機安全配置,統一主機安全基線,提高主機安全防護能力。解決數據交換 過程中因U盤濫用導致病毒進入工控網絡環境並傳播的問題,提高工控主機安全性。
7.致謝
本文在撰寫過程中,得到啓明星辰工控安全專家谷寶晶老師、新華三技術有限公司網絡安全專家李厚軍老師的悉心指導,謹此鳴謝。
*本文原創作者:liujianshuai,本文屬FreeBuf原創獎勵計劃,未經許可禁止轉載