真攻实防！工业控制系统安全防护如何“固若金汤”？

工业控制系统是现代工业化的核心设施，对精密制造、规划化生产和关键基础设施控制的连续性和安全性起到重要支撑，在能源、环保、医疗、食品和装备制造等领域中广泛应用。

相对开放式的互联网系统，工业控制系统较为封闭，具有协议较为特殊、开放的服务端口少、人机交互的场景单一等特点，在攻防实战演练中，给攻击方渗透入侵并夺取工业控制系统权限带来了一定的困难。

面对上述现状，作为攻防实战演练的攻击方，可以采用攻击工业控制系统中容易被忽视的辅助业务，基于辅助业务的安全漏洞和系统后门对其它核心业务进行横向攻击，进而获得整个系统的控制权限。辅助业务主要包括计算服务、历史服务、运维服务和设计服务等，此类业务不是工业生产制造过程控制的核心，其软、硬件大多为国外品牌产品，版本相对老旧，更容易存在安全漏洞和功能缺陷，被入侵后不会直接影响工业控制逻辑的运行，不易被运维人员察觉，而且此类辅助业务在运行过程中普遍需要接入互联网，具备通过外部网络远程控制的条件，是成功获取目标工业控制系统权限的理想突破口。本篇案例将详细讲述网御星云作为攻防实战演练的攻击方的演练过程，并结合工业控制系统中可能存在的安全短板，提出防守应对建议。

实战案例

在对某知名跨国公司进行高仿真工业控制系统攻防演练项目中，靶标系统为该公司所使用的工业控制系统。攻击方利用社会工程学钓鱼技术手段成功进入目标公司办公内网。首先通过内网扫描，发现工业控制系统所在内网IP地址段和相关设备的IP地址。随后，通过对控制系统进行扫描探测和信息收集，发现该控制系统使用了国内某知名工控厂商的程序软件。攻击方通过互联网搜索查找该软件相关信息，最终在某工控论坛成功获取同款软件。

通过在虚拟机中调试该软件，发现该软件具有“操作员站”“工程师站”“历史服务器”“计算服务器”等多个角色。攻击方随即启用多台虚拟机部署不同角色的功能软件，经过测试发现各虚拟机之间存在通信交互，例如“历史服务器”在运行过程中与其它辅助系统需要大量通信，不断收集状态信息、日志信息和告警信息。通过对“历史服务器”的通信程序进行逆向分析，发现该软件二进制代码存在编写不规范等问题。随后经过动态测试发现“历史服务器”的通信服务存在内存破坏漏洞，可为后续的攻击实施提供有利条件。

攻击方通过通信服务漏洞成功渗透“历史服务器”，在获得该服务器控制权限后，利用该服务器对目标单位工业网络进行扫描探测，发现网络中并未细化访问控制策略，“历史服务器”可以横向访问目标系统网络中包括“工程师站”“操作员站”“计算服务器”“现场控制站DPU”在内的任意节点。通过“历史服务器”成功攻击DPU并影响正在运行的控制逻辑，成功拿下靶标系统的所有控制权。

应对建议

通过上述案例可以看出，在工业控制系统的安全防护中，用户不仅要关注高权限关键节点（操作员站、工程师站、控制站）的安全防护，还应关注作为配套设备的辅助业务节点，防止工业控制系统中存在安全短板。对此，网御星云建议：

全面资产摸底

使用网御星云物联网安全接入系统梳理工业控制系统中各类软、硬件，重点排查环境支撑和运维保障等辅助业务节点。通过测试和分析，发现辅助业务节点与操作员站、工程师站、控制站等重要节点之间的访问需求和通信协议是否存在安全漏洞。

建立有效规则

根据梳理出的通信需求和协议端口，制定网络控制规则，并在网络交换设备和网御星云工业防火墙上配置更新访问控制策略，细化端口IP和访问权限，阻断除正常业务访问需求之外的通信流量。

注重威胁识别

辅助业务节点的通信主要面向工业控制过程，其通信模式和数据特征较为明显，除了在工业网络中部署网御星云工业安全监测与审计系统等威胁识别工具外，还可借助机器学习等方法来自动学习辅助业务节点的正常通信流量，并用于识别和定位异常流量，从而为发现潜在攻击提供线索支持。

强化系统加固

采用网御星云工业主机安全防护系统对辅助业务节点的硬件环境、操作系统、业务软件进行安全配置，同时利用网御星云工业堡垒机对工控系统的远程运维进行管控和审计。例如采用白名单方式控制，只有合法的系统程序和业务软件才能加载运行，只允许业务软件访问特定目录，有效限制辅助节点被攻陷后的对外攻击能力。此外，还可以通过网御星云工业漏洞扫描系统修复已知安全漏洞，通过加装防病毒软件等方式防止攻击方植入木马病毒。

提升处置能力

通过网络攻防实战演练和网御星云安全风险评估等服务，发现工业控制系统安全短板并及时进行安全加固，帮助用户逐步提升应急响应能力。