全球安全产品与工业控制安全形势分析---科诺康.docVIP

工业控制系统安全 全球工业控制系统安全发展格局 Codenomicon Ltd. ICS Seminar - Beijing April 23, 2014 Sami Petajasoja Vice President, Asia - Pacific Codenomicon科诺康 ?科诺康公司1996年脱胎于芬兰奥卢大学进行专业高效fuzzing技术研究 的研究项目。 ?已经成长为全球最大的商用fuzz测试工具制造商。 ?仍然积极的投身于研究和开发工作 . 新兴产业领域：医疗和智能电网 . 新的fuzzing技术和分析功能：例如Safeguard 3 April 2014, All Rights Reserved. 软件是基础设施 ? 软件总是有漏洞的，问题是有多少可利用的，已知或未知的，是否已暴露？ ? 我们正在进入这样一个时代，软件漏洞可以比以往任何时候都能导致更多的致 命破坏（对物理世界的影响） 4 April 2014, All Rights Reserved. 工业控制安全格局 ?关键控制系统正在被连接到Internet ?通常是基于没有保护机制的传统协议 . 最新一代产品，例如PLC，已经开始实施诸如TLS/SSL的保护措施 ?基于工业控制系统和产品的安全测试国际标准和最佳实践正在形成 ?基于工业控制的内联防火墙产品已经面向市场 . 但是他们需要知道要抵御什么 5 April 2014, All Rights Reserved. 已知和未知漏洞 1995-2000 Satan/Saint 1999- Nessus, ISS 2000- Qualys, HP, IBM, Symantec Codenomicon 已知漏洞管理 总的漏洞管理 未知漏洞管理(UVM) 静态应用安全测试 动态应用安全测试 方法 1980- PC Lint, Coverity, Fortify, IBM 方法 2000- Fuzzing: Codenomicon 黑盒测试 白盒测试 底线: 所有的系统都具有漏洞. - 两种互补的测试手段都需要被覆盖. 6 April 2014, All Rights Reserved. 那么，你如何来找到未知漏洞? “Fuzzing测试是通过向产品发送有组织的异常数据来试图引起异常的状 态或错误. 这些异常的状态可以导致可被利用的漏洞. “ – HD Moore KNOWN VULNERABILITIES Fuzzing可以管理你未知漏洞的暴露 国际工业控制系统安全认证的技术选择 UNKNOWN VULNERABILITIES 7 April 2014, All Rights Reserved. 案例: Heartbleed 漏洞 Heartbleed漏洞 ?Safeguard 功能检测到了 heartbleed漏洞 – 稍后将详细介 绍 ?Heartbleed是OpenSSL协议中的 一个可以导致保密信息泄露的漏洞 ?Heartbleed仅仅是冰山一角! 9 April 2014, All Rights Reserved. Heartbleed如何工作 /1354/ 10 April 2014, All Rights Reserved. 我们是如何发现Heartbleed的 ?Codenomicon对流行的开源平台和关键客户系统进行测试 . 主要目标是验证测试的互通性 ?Heartbleed是当Safeguard新功能被添加到TLS Fuzzing工具时被发 现的 ?Codenomicon总是通过负责的信息披露途径来处理漏洞 ?Codenomicon直接将Heartbleed漏洞上报给了CERT (不是 OpenSSL) 11 April 2014, All Rights Reserved. 潜在的影响是什么 ?尽管网站受到了最多的关注，但是漏洞不仅仅针对网站，也不仅仅针对 服务器。 它影响到所有使用OpenSSL漏洞版本的应用，不论客户端或 者服务器端。 ?同样被影响的是使用了SSL/TLS传输的管理系统 ?在工业控制系统/医疗领域，受影响的部分包括了工业和医疗应用协议， VPNs，远程接入，HMI等等. 以及任何依赖于TLS的物联网设备(假如 他们启用了heartbeat心跳并且使用了有漏洞的OpenSSL版本) 12 April 2014, All Rights Reserved. 这对工业控制系统领域意味着什么 ?ICS-CERT已经向工业控制系统领域发布了Heartbleed告警 . 一些未经证实的报道甚至通告了该漏洞被利用 ?潜在的威胁以及可以被恶意攻击者利用传播攻击的受攻击面是巨大的 . 公司网络, 控制网络/站点, 现场设备 ?影响可能有所缓解，由于工业控制