1.背景
2018年7月16日,乌克兰安全局(SBU)对外声称,乌克兰境内的关键基础设施遭到了VPNFilter恶意软件的攻击,而这款恶意软件据说来源于俄罗斯情报机构。
根据SBU的描述,安全研究人员在乌克兰的第聂伯罗彼得罗夫斯克市(Dnipropetrovsk)Aulska氯气站的工控系统中检测到了这款恶意软件,而该组织是乌克兰国内的重要基础设施之一,因为它主要负责向乌克兰境内的污水处理厂提供用于清洁水处理的氯原料。
据报道,该恶意软件主要针对的是工控系统中的技术处理流程以及安全保护系统,但是乌克兰安全局表示,他们的安全专家迅速检测到了VPNFilter的存在,并屏蔽了它想要尝试进行的恶意操作。SBU表示,此次攻击如果成功的话,将会让Aulska氯气站的工控系统终止运行,并让受影响的系统发生崩溃,甚至还有可能对设备造成物理损害,从而导致“灾难性”的事件发生。安全研究人员认为,此次攻击的主要目标很可能是为了破坏该基础设施的正常运作。
由此可见,工控系统的主机终端作为工控系统控制的核心是尤为重要的,控制系统所有指令的下发和数据的收集都是通过主机终端来完成的,一旦终端受到攻击或破坏,那么整个控制系统将面临无法操作,失控,停机,甚至出现生产事故等危险。所以,实现工控系统主机终端防护势在必行。
2.风险分析
工业控制系统主机侧一般存在风险如下所示:
脆弱性 | 场景描述 | 可能产生的影响 |
---|---|---|
未安装防病毒软件或安装杀毒软件未升级病毒库 | 因担心杀毒软件误杀业务程序,多数业务现场主机类设备未找到合适防病毒方法,少量主机类设备虽安装了传统网络杀病毒软件,但一直处于无法更新病毒库的困境中。 | 主机中毒导致系统运行缓慢,网络被蠕虫病毒阻塞,导致网络不通畅、延迟大、丢包等现象。 |
软件不兼容 | 杀毒软件与业务软件不兼容,有些主机也安装了杀毒软件,但杀毒软件病毒库的不断升级容易造成与业务软件的冲突。 | 杀毒软件误杀文件或者程序,导致业务程序无法正常使用,从而影响正常生产业务。 |
对重要业务程序缺乏保护 | 键业务程序,如工程师站、操作员站、OPC服务器上业务程序可能被恶意卸载。 | 关键业务程序被病毒篡改;关键业务程序被恶意卸载。 |
Windows系统漏洞 | 工程师站、操作员站、部分服务器多采用windows系统,且长时间不更新系统,不进行漏洞和补丁更新,对于系统存在的漏洞束手无策。 | 漏洞容易被黑客利用,导致主机运行缓慢,甚至演变成“肉鸡”利用主机破坏整个网络。 |
移动介质的管理落实不彻底 | U盘随意使用;光驱管理存在问题;U口物理封堵被拆除。 | 导致主机染毒或直接死机、重启等。 |
对发生的安全事件记录不全 | 主机系统缺乏有效的审计能力,对发生的安全事件无法记录,windows自身日志记录不完整。 | 无法通过记录分析主机自身发生的安全事件对主机恶意操作行为的抵赖。 |
关键控制设备存在漏洞 | 大量的终端和现场设备如PLC存在漏洞,如AB、西门子等都被报过存在高危漏洞。 | 控制设备内部存在漏洞、后门,为攻击提供便利条件,攻击者可直接攻击PLC。 |
3.方案设计
3.1.设计思想
根据生产网络安全现状并结合生产系统运行环境相对稳定,系统更新频率较低的特点,结合工业和信息化部印发的《工业控制系统信息安全防护指南》关于工控主机安全软件的选择与管理中的要求,笔者建议采用“白名单 ”机制的工业控制系统信息安全主机防护的解决方案。
“白名单”机制相对“黑名单”而言比较适用于工业控制现场,工业控制现场相对处于比较封闭隔离的状态,无法进行联网更新病毒库。系统一旦建设完成后,很长一段时间不会再进行升级或改造,“白名单”形成后也相对稳定,有利于工业现场的保护。
3.2.参考标准
1.《工业控制系统信息安全防护指南》(工信软函〔2016〕338号)
2.《GB/T 22239-2008 信息系统安全等级保护基本要求》
3.3.设计方案
主机防护软件部署示意图
主机防护软件一般是通过软件方式部署在各个工控主机上,具备以下功能和特征:
1.采样“白名单机制”,从防护原理上杜绝了实时访问互联网、定期查杀的这两个不适合过程控制行业的硬伤 ;
2.支持导出、导入白名单,便于工厂未联网情况下传递白名单。
3.USB可以正常拷贝数据,带入的病毒会被拦截,解决工厂信息传递和防病毒矛盾。
4.游戏、QQ、视频等非工作相关软件,只要不在白名单,都会被拦截。
5.白名单内软件可以正常运行,不受任何影响。拔出加密卡,系统将被锁定,避免人员破坏。
6.兼容Windows系列操作系统,包括:XP、Win7 64位、Win7 32位、Win8 64位、 2003、2008等主流Windows平台。
7.兼容目前主流厂家的工业控制系统,包括:和利时、浙大中控、南京科远、 Emerson、HoneyWell、西门子、ABB、横河等 。
4.部署方式
主机防护软件的部署安装一般是在工控系统停机检修的时间进行,为了保证主机防护软件学习到主机系统的白名单是绝对干净且安全的,不管是新建系统还是老旧系统,笔者都建议对主机进行病毒的查杀检查工作,确保万无一失,然后在进行主机防护软件的部署。以下是主机防护软件的部署步骤,根据硬盘类型的不同分两类方式:
4.1.硬盘类型(非RAID、非SCSI)病毒检测
第一步:将现场主机硬盘进行完全备份(GHSOT);
第二步:对备份硬盘进行病毒检测;
第三步:如果备份硬盘无病毒,直接在主机原有硬盘上安装主机防护软件,进行主机白名单扫描添加,并开启安全防护策略,进行72小时试运行观察,一切正常后,在其它主机上一一进行安装。
第四步:如果备份硬盘有病毒,先备份病毒文件,然后进行病毒查杀。
第五步:病毒查杀完毕后,将备份硬盘替换原主机硬盘,进行试运行启动;如果一切正常执行第六步。
第六步:对主机原有硬盘进行病毒查杀,然后安装主机防护软件,并进行72小时试运行(如果主机是相同配置、相同系统,只对一台主机进行本次操作即可),一切正常后,在其它主机上一一进行安装。
4.2.硬盘类型(RAID和SCSI)病毒检测
1、使用国内或国外最新病毒库的杀毒软件,
2、将杀毒软件安装到相应的主机上。
3、在正式杀毒前进行病毒扫描设置,设置可疑文件或病毒不删除策略,即发现病毒或可疑文件不删除策略。
4、一旦发现可疑文件或病毒,需要和用户及专业病毒技术人员进行确认,确认此病毒或可疑文件是否为真正的病毒。
5、如果确认其是病毒,再删除。
6、如果没有发现病毒或者病毒已清除干净,卸载杀毒软件,重启主机。
7、部署主机防护软件,进行主机白名单扫描添加,并开启安全防护策略,进行72小时试运行观察,一切正常后,在其它主机上一一进行安装。
注:执行主机病毒检查过程中必须要求客户全程在场,必要过程需客户审批同意方可执行。
5.常见问题
笔者在和用户交流和实施过程中,常遇到用户最关心的一个问题,如下:
1、一旦部署完成的白名单被病毒入侵或者被恶意代码攻破怎么办?
解答:目前采用白名单这种部署思路,被攻破的几率不大。但是假如一旦被攻破,那我们将采取如下方法:
①把控制方式从主机控制切到就地控制,优先保障生产的正常运行;
②将受感染主机断网;
③卸载主机防护软件;
④依照第四章部署步骤在重新执行一次病毒排查工作,直到确定主机没有问题;
⑤分析此次被攻破的原因,并升级主机防护软件,重新进行部署最新版本的主机防护软件。
6.小结
通过部署主机防护软件实现主机安全和移动介质管控,满足行业对主机安全的政策法规要求以及相关的技术要求。解决传统防病毒软件不适用于工控现场,导致工控主机运行缓慢、无法升级病毒库、关键配置文件及授权文件等被误杀等问题。加固主机安全配置,统一主机安全基线,提高主机安全防护能力。解决数据交换过程中因U盘滥用导致病毒进入工控网络环境并传播的问题,提高工控主机安全性。
7.致谢
本文在撰写过程中,得到启明星辰工控安全专家谷宝晶老师、新华三技术有限公司网络安全专家李厚军老师的悉心指导,谨此鸣谢。
本文原创作者:liujianshuai
声明:本文来自FreeBuf,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。