IIoT小课堂 | 工控安全篇（答疑与实操大全）

剑指工控

发布于 2021-11-09 15:14:20

9330

发布于 2021-11-09 15:14:20

文章被收录于专栏：剑指工控

JZGKCHINA

工控技术分享平台

尊重原创勿抄袭

勿私放其他平台

第五讲

工控安全篇

记得几年前写过一篇自己亲身经历的一次工控网络中毒的案例，题目《网络安全不容小觑》大家可以点击回顾一下。目前很多企业数据上云，孤岛联网，数据集中管控，远程访问与维护，逐渐实现了互联，但是联网后随之而来的网络问题也越来越多......

既担心网络被攻击

又担心数据被窃取

那么，到底怎样进行网络防护呢？

工业控制系统中，针对网络攻击，我们重点需要保护的设备是：

PLC、上位机、交换机

设备是如何被攻击的？

PLC

首先，告知大家的是PLC并不是只有对应的编程软件才可以让PLC启动和停止；通过很多HACK类工具均可对PLC进行停止，写值等等。

上位机

那对于上位机就简单多了，比如通过U盘传播，比如如下路径：

某工程师打开一封邮件，该邮件内容再正常不过，但是有一个木马程序已经进到你的操作系统。

当操作系统监测到计算机有U盘插入，自动复制一份副本到U盘。

当这个U盘拷贝了一个文件到现场工控机的时候，该文件自动复制了一份到工控机系统。

开始搜索注册表，该系统是否安装了Wincc。

如果安装：利用wincc漏洞SQL漏洞和S7otbxdx.dll进行攻击。

读取函数HOOK，修改Timer时间为无限长。

通过Step7自动下装到PLC。

这个过程大家是不是觉得很熟悉？Yes，

他就是著名的STUXNET（震网），该病毒只需要操作员协助做一个动作即可，那就是把U盘插在工控机上，这时STUXNET就会在神不知鬼不觉的情况下获取工业控制电脑的控制权。

EtherNet/IP

那么假如你的系统是AB的PLC或者施耐德PLC，通过EtherNet/IP连接远程IO，那么如果我们通过以太网发送极大的数据量到网络内，将网络带宽资源消耗尽或者我们1s发出1000次网络请求，给其中一个以太网适配器，都会导致PLC和IO之间网络出现瘫痪，导致PLC系统失控。

如何抵御攻击，避免系统失控

那对于工控人，我们怎么避免如上情况发生呢？那今天给大家推荐一款集成产品北京伟联科技有限公司的WL-650D-S工业安全隔离装置，该产品集成伟联科技WiSecurity工业防火墙，工业威胁监测，事件中心，跳板机和沙箱；

WL-650D-S硬件采用一台物理服务器，内部部署WiCloud一体化虚拟工控管理平台，在此平台上我们部署了五个虚拟机，分别为WiSecurity工业防火墙，工业威胁捕捉系统，事件中心，跳板机以及沙箱。各项功能分别说明如下：

功能

WiSecurity工业防火墙

针对PLC具备如下功能：

强化的注入防护

• 防地址溢出攻击

• 防停止/下载/重启/写值命令注入

CRC错误攻击

• 漏洞利用

• 固件漏洞攻击防护

• 工控软件漏洞攻击防护

同时可支持如下工业协议，S7NET，EtherNet/IP，Modbus TCP，OPC以及DNP

另外也可告诉大家目前很多的工业协议防火墙，大部分情况只是端口防护。

但是伟联科技在S7NET，EtherNet/IP和Modbus TCP/IP协议中具备协议特征识别的特性，也是防止PLC被恶意重启，恶意写值的主要防护。

功能

工业威胁捕捉系统

什么是工业威胁捕捉系统呢？该系统可以捕捉来自IT网络边界和OT网络边界的威胁和嗅探，说的更加白话一点就像放这里一个蜜罐，用来吸引攻击，分析攻击，推测攻击意图，并将结果发送到工业防火墙进行威胁阻断。工业威胁捕捉系统是典型的主动防御系统

威胁捕捉技术本质上是一种对攻击方进行欺骗的技术，通过布置一些作为诱饵的主机、网络服务或者信息，诱使攻击方对它们实施攻击，从而可以对攻击行为进行捕获和分析，了解攻击方所使用的工具与方法，推测攻击意图和动机，能够让防御方清晰地了解他们所面对的安全威胁，并通过技术和管理手段来增强实际系统的安全防护能力。

该系统好比是情报收集系统。好像是故意让人攻击的目标，引诱黑客前来攻击。所以攻击者入侵后，你就可以知道他是如何得逞的，随时了解针对服务器发动的最新的攻击和漏洞。还可以通过窃听黑客之间的联系，收集黑客所用的种种工具，并且掌握他们的社交网络。

通过该系统，当网络里有攻击者的时候，威胁捕捉系统会伪装成PLC系统，当攻击者攻击威胁捕捉系统后，系统捕捉到攻击信息，并进行分析，同时将分析结果补充到防火墙，通过策略阻断此攻击。