OT环境与核心基础架构安全.pptx

OT环境与核心基础架构安全技术创新，变革未来

OT环境安全威胁

ICS恶意软件和攻击平面在2018的ICS-CERT发布了114份威胁报告ICS恶意软件非常先进?2010-Stuxnet?2013-Havex?2015-BlackEnergy2?2016-CrashOverride/Industroyer?2017/2018-Triton威胁报告分析结果:?默认已知的用户名密码?配置错误/软件Bugs?跨站脚本攻击?信息泄露

针对核心基础架构的攻击–威胁是真实存在的2015201420132010Stuxnet破坏了伊朗的核计划纽约大坝闸门被破坏德国钢厂炉被毁汽车变速器和制动器被控制乌克兰电网脱机医院药物输液泵被黑密歇根州的交通灯被黑201820192017默克制药公司全球生产由于勒索软件停止（损失10亿美元） 马士基航运公司由于勒索软件全球业务停摆（损失2.5亿美元）Trisis/Triton：旨在危害工业生产系统安全的恶意软件全球铝生产商由于勒索软件关闭

IoT设备的搜索引擎查找开放的端口和服务允许攻击者查找开放的系统攻击者可以找到的系统包括：电站,核心基础设置,或其他开放的服务包含摄像头,路由器,服务器Shodan

Autosploit通过Shodan查找可被攻击的系统通过Metasploits查找被攻击的弱点可发起大规模攻击

通用工控系统网络架构

ICS数字化攻击链–乌克兰电网标准攻击了解敌人的战略-知己知彼百战不殆2016–AnalysisReport(SANSandE-ISAC)March2015December23rd,2015攻击时间线计划准备数字化渗透攻击开发和调优验证ICS攻击步骤1-入侵(同标准IT环境下入侵做对比)步骤2-ICS攻击感染MicrosoftOffice文件钓鱼邮件BlackEnergy3VPN秘钥窃取网络主机发现恶意固件开发SCADA劫持断路器打开命令修改UPS参数上传固件KillDisk改写PowerOutage从IT网络渗透到OT网络

Fortinet’s参考架构2019FortinetSecurityFabricPurdueModel,ISA-99,IEC-62443,风险管理框架

SECURITYSAFETY特性中等,接受延迟安全对象优先级Availab可ilit用yr性eq需uir求ement非常高接受延迟Real-tim实e时re性q需uir求ement危急3-5年Com组po件ne生nt命li周fet期ime超过20年定期/计划性Applicat应io用no补fp丁atches慢/不频繁定期委托第三方Secu安rit全yt测es试tin/g/审a计udit偶尔成熟度高Securi安ty全aw意ar识eness逐渐增加可用性完整性可用性完整性IT保密性OT保密性IT和OT有何不同

控制层次结构的Purdue模型制造系统的基本功能和组成框架在其他模型和行业中采用将设备和设备进行分层基于工厂技术的这种分割，ISA-99/IEC62443制造和控制系统安全委员会确定了水平和逻辑框架Level5:企业Level4:现场业务规划和物流Level3.5OT认证边界Level3:现场制造运营和控制Level2:区域Level1:基本控制Level0:Process企业Zone生产ZoneCell/AreaZone安全区域-SISHMISCADAHISTORIANHMI/SCADAMASTERPLC/RTU/IED传感器/传动器

PurdueModel和IT安全能力对应表EnterpriseZoneDMZOperationsandControlControlAreaZone(s)BoundaryLayers0 Physical12 Area3 Site4 IT5 Corporate企业级防火墙身份认证管理恶意行为发现和响应资产发现,可视化,分类终端防御咨询集成和服务管理Basic

Level3操作DC生产区域Level3.5操作DCDMZ管理区域FortiGateFortiLinkFortiSwitchPrivateVLANs微分段FortiSwtichRemoteUserLevel4ExternalEnterpriseLAN企业环境Level5InternetDMZEnterprise企业环境RemoteVendor区域控制区域和管道微分段物理和虚拟分段g