工业互联网安全 课件 任务1 工业互联网FTP暴力破解的应急响应.pptx

任务1工业互联网FTP暴力破解的应急响应

FTP是一个文件传输协议，用户通过FTP可从客户机程序向远程主机上传或下载文件，常用于网站代码维护、日常源码备份等。如果攻击者通过FTP匿名访问或者弱口令获取FTP权限，可直接上传webshell，进一步渗透提权，直至控制整个网站服务器。任务描述本任务主要讲解如何判断FTP暴力破解事件，以及如何对FTP暴力破解事件做出相应的应急响应。

资产侦测与安全管理1资产作为IT安全管理的对象，包括信息（或数据）、硬件、软件、资金、服务、人员等。工业互联网资产侦测是指追踪、掌握工业互联网资产情况的过程。在工业互联网的IT与OT环境中，如何针对终端、设备、服务等典型的网络软硬件资产进行侦测，它是实现工业互联网安全管理的重要前提，在工业互联网安全相关工作中具有广泛的应用价值。知识导入

现有网络资产的探测方法及其特点知识导入类型范围主要特点存在的问题传统人工统计内网，小规模可以发现新型探测方法无法分析到的部分（不产生网络流量或探测数据包无法触及的网络资产）耗时费力，时效性差基于客户端需要大规模安装客户端，由客户端自动采集，上报网络资产数据，速度快，效率高，节省人力入侵性最强，限制因素多；客户端开发、设计成本高

现有网络资产的探测方法及其特点知识导入类型范围主要特点存在的问题新型主动探测全网/内网，各种规模均适用无须安装客户端，在网内一个节点运行并收发探测数据包即可；速度快，能及时发现不产生网络流量的资产噪声大，易触发报警；仅能了解当次探测的状态；对安全设备保护的网络资产探测的难度大被动探测仅限于内网无网络流量插入，入侵性小；对安全设备保护的网络资产具备一定的探测能力；支持历史数据的积累适用范围限于内网；探测结果受限于所分析网络流量的全面性；不产生流量的资产无效搜索引擎通用网络安全专用仅限于公网（目标资产必须有公网IP）以查询的方式探测，隐蔽性强，探测速度快；支持全网探测；支持历史数据的积累仅对Web相关网络资产有效，对公网网络组件、网络设备、网络服务等的控测具有优势无法对内网资产进行控测；受限于搜索引擎的数据获取能力；易被欺骗，准确率较低

安全风险评估的概念和方法1（1）基于通用搜索引擎的探测谷歌黑客技术是一种利用谷歌搜索引擎进行漏洞目标探测以及敏感信息挖掘的技术，可以实现网站映射、查看站点目录列表、查找登录页面、查找口令文件、查找网络设备等功能，因此具备一定的网络资产探测能力。GHDB（GoogleHackingDataBase）是一个谷歌黑客搜索查询指令的数据库，可以基于GHDB中的特定搜索查询串、某些服务的页面脚注、Web服务器返回的错误消息中携带的信息实现端口、操作系统及版本的探测。知识导入

安全风险评估的概念和方法1（2）基于网络安全专用搜索引擎的探测Shodan侧重对所有连接互联网的设备及其组件类型信息的搜索，可以使用Shodan搜索摄像头、打印机、工业控制器，甚至是粒子加速器、核电站控制设备。Censys系统可以对搜集的数据进行数据处理汇总，提取结构化数据，并将其保存于谷歌云存储平台。它还可以利用开源的ElasticSearch平台和谷歌BigQuery分别在前端和后台为用户提供ZMap全网端口、服务扫描结果的搜索查询。知识导入

安全风险评估的概念和方法1360公司的工业互联网安全态势感知平台。该平台通过引入多维度的协议识别技术实现了广泛的协议解析。除了可以识别HTTP、HTTPS、FTP、Telnet、SNMP等通用协议外，还支持主流工控协议的指纹识别，包括SiemensS7、Modbus、IEC608705104、DNP3、OMRONFINS、PCWORK、EtherNet/IP、BACnet、TridiumNiagaraFox等。知识导入

数据保护与安全审计2知识导入网络安全风险已经成为所有组织面临的风险管理挑战之一，开展数据保护与网络安全审计更加必要和重要。如表所示为网络安全审计的关系、目标和意义。网络安全中的关系管理网络安全审计的目标审计在网络安全中的角色1.信息技术2.信息安全3.信息风险管理4.合规和其他团队1.三道防线2.超越合规性3.预防、检测和响应的三阶段战略4.专业的网络评估1.网络安全框架2.内部审计将发生的变化3.未来的技能需求4.寻找和留住人才

工业互联网安全审计的对象知识导入类型ITOT网络设备网络交换机、路由器、负载均衡设备等工控交换机、网络交换机、物联网关、边缘计算设备等服务器通用服务器、域控服务器、DNS服务器等OPC服务器、MTU服务器、CA服务器等计算终端电脑、手机、平板、打印机、摄像头等电脑、HMI、IOT设备、IED、RTU、PLC、DCS控制单元、SIS控制单元、机器人、数控机床、遥控终端、打印机、摄像