暗潮汹涌的工控系统网络安全-2017工业控制系统信息安全峰会.PPT

* 通过邮件入侵 * 工控系统与传统信息系统威胁来源 2015年工控网络攻击方式统计 工控漏洞及相应的工控产品统计 工控系统的脆弱性 1、工业控制应用系统有其特点，但大部分都类似，但安全防护远远落后于传统IT系统的安全防护 2、工控系统大量采用IT通用软硬件，如PC服务器和终端产品、操作系统和数据库系统 3、由于工控系统兼容性的问题，系统补丁和杀毒软件的安全措施不到位，使系统的脆弱性得以放大！ 4、工控软件与通信协议不健壮，工业控制系统在设计过程中主要考虑可用性，实时性、对安全性考虑不足；通信协议缺乏授权和加密、缺乏对用户身份的鉴别和认证等安全机制 5、很多工业控制系统安全主要基于物理安全保证，而实际很难做到真正物理隔离 工控系统面临的威胁分析 来自于经营管理网与互联网的威胁 “两化”融合，信息化带动了工业化，工业化促进了信息化。产生了新型工业化，同时是也把传统IT风险延伸到了工控系统 使工控系统面临来自经营管理网和互联网的威胁 来自于工控系统内网的威胁： 操作系统漏洞已知与无法修复的尴尬！ 病毒木马横行与无法杀毒的尴尬！ 非工控应用软件的存在，带来的未知风险！ 移动介质的随意使用带来的风险！ 移动笔记本随意接入带来的风险！ 工业无线网络边界的不可见与非法接入的不可控风险！ 3 工控系统安全应对 工控环境防护 * 工控系统安全检查 弱点检测： 对工控设备进行低风险扫描，探测脆弱点所在，挖掘潜在威胁 资产 探查 弱点 检测 流量 解析 风险 评估 流量解析： 深入解析工控协议流量，检测异常行为流量、进行中的入侵 资产探查： 探查网络环境中的工控设备，准确获取设备信息 风险评估： 结合权威知识库，对目标工控系统进行全方位检查 针对工控系统特性，研发专用工具。查看并运行相应的工具开始检查 工控系统安全检查 针对传统网络服务器设备的检测 服务器安全问题 安全配置核查 针对工控系统的检测 上位机安全 控制器安全 网中异常协议的检测 APT 攻击方式 APT攻击预警能力 发现APT APT攻击预警能力 WEB应用安全和数据库安全的领航者 WEB应用安全和数据库安全的领航者 THANK YOU WEB应用安全和数据库安全的领航者 * * * * * * * * * * 杭州安恒信息技术有限公司 DBAPPSecurity * 杭州安恒信息技术有限公司 DBAPPSecurity * 日志为什么能有如此大的作用呢？ 我们都知道：日志本身能全面地反映和记录IT系统活动的过程和状态，从而能能告诉我们整个IT系统发生的活动情况，例如：系统错误在哪里，哪些活动违反策略可能异常等等，因此日志应用能极大地帮我们解决在很多方面的技术困惑！ （点击鼠标） * 工业互联网的新型威胁分析及应对 杭州安恒安全研究院 吴卓群 1 工控系统安全事件 高级攻击不断出现 高技术含量的攻击手段不断出现 2010年9月24日，伊朗布什尔核电站的工业控制系统遭到震网(Stuxnet)病毒攻击，导致其核设施不能正常运行 ，同时造成上千台的离心机报废 是第一个专门定向攻击真实世界中工控设施的“蠕虫”病毒，引发了人们对工控系统安全的重视 暗潮汹涌的工控系统网络安全 危害 攻击伊朗核设施，使得伊朗核计划拖后两年，60%的个人电脑感染病毒； 全球超过45000个网络遭受攻击； 多个行业的领军企业的工控系统受此感染。 时间表 2010年6月，震网病毒首次发现，并且攻击伊朗核设备成功； 2010年12月，微软推出针对Stuxnet所利用的漏洞修复补丁； 2012年7月，西门子公司宣布修复Stuxnet利用的软件漏洞。 从发现病毒，到发布修复补丁，一共两年多时间 暗潮汹涌的工控系统网络安全 蜻蜓组织： 是俄罗斯政府支持下的东欧黑客团体 暗潮汹涌的工控系统网络安全 2014年6月，东欧黑客团体黑客“蜻蜓组织”， 利用恶意程序Havex(与震网类似)，对欧美地区的一千多家能源企业进行了攻击。已经使1000多家欧洲和北美能源公司受损 这表明随着攻击者对工控系统研究的深入，针对工控系统攻击的恶意代码也将会层出不穷，而且还可能在攻击活动的背后具有国家支持的潜在因素 暗潮汹涌的工控系统网络安全 研究认为：自2013年初开始，“蜻蜓组织”为达到远程控制木马（RAT）访问工控系统的目的，一直在使用不同的技术手段对美国和其他一些欧洲国家的能源供应商实施攻击并利用特殊编制的恶意代码感染其工业软件，这些手段包括在电子邮件、网站和第三方程序中绑定恶意软件以及“水坑攻击”技术，并在18个月的时间里影响了几乎84个国家，但大多数受害机构位于美国、西班牙、法国、意大利、德国、土耳其和波兰等国家 暗潮汹涌的工控系统网络安全 2016年3月 美国起诉国外黑客，指控黑客攻击纽约