入侵者视角下的工控网络安全分层架构

将二进制空间安全设为"星标⭐️"

第一时间收到文章更新

本文从入侵者的视角, 重点介绍如何帮助企业识别和预防运营技术环境中的威胁, 并以实际案例进行演示, 这些案例涉及一些关键组件,例如: SCADA(监控与数据采集系统)、PLC(可编程逻辑控制器)和HMI(人机界面)。

基础定义

美国国家标准与技术研究院（NIST）计算机安全资源中心将运营技术（OT）定义为：“可编程系统或设备，它们与物理环境交互（或管理与物理环境交互的设备）。这些系统/设备通过监测和/或控制设备、流程和事件来检测或引发直接变化。例如，工业控制系统（ICS）、楼宇管理系统、消防控制系统和物理访问控制机制。

工业控制系统（ICS）进一步被定义为：“用于控制工业流程的信息系统，例如制造、产品处理、生产和分配。工业控制系统包括用于控制地理上分布资产的 SCADA 系统，以及使用可编程逻辑控制器（PLC）控制局部流程的分布式控制系统和较小的控制系统。

与传统渗透测试不同，APT(高级可持续性威胁)专注于在特定范围内识别和利用漏洞，而入侵者视角主要是基于特定的目标来进行模拟攻击，以适应独特的环境。在 OT 领域，这些目标通常包括访问现场设备或测试 IT 与 OT 边界的安全性。

在入侵者视角下会模拟现实世界的攻击，采用已知高级持续威胁（APT）组织的战术、技术和程序（TTPs）。这种方式可以帮助企业评估其人员、流程和技术在预防、检测和响应方面的能力，从而确定现实攻击可能带来的影响，并找出改进空间。

以下举两个真实案例:

(1).在OT(运营技术)领域, 有一个名叫Electrum的APT组织, 该组织直接导致2016 年基辅大停电事件, 该事件突显了针对 OT 攻击的现实威胁。 该事件中的CRASHOVERRIDE 恶意软件是一个包含多个模块的框架，可以与不同的 ICS 网络协议（如 IEC 101、IEC 104、IEC 61850 和 OPC）交互。在 2016 年的停电事件中，该组织利用恶意软件攻击远程终端单元（RTU）上的断路器，这些 RTU 设备连接到变电站的物理设备，最终导致多个变电站断电。该组织以其复杂的技术手段而著称，并专注于破坏关键基础设施。据最新报告显示，该组织仍然活跃，并可能扩展攻击范围至乌克兰以外的地区。

(2).另一个值得关注的事件是:FrostyGoop, 这是一种高度复杂的ICS恶意软件。FrostyGoop 被设计用于利用 ModbusTCP 协议（工业控制系统中常用的协议）来操控控制系统的操作。该恶意软件突显了关键基础设施领域面临的日益严重的威胁。FrostyGoop 允许攻击者注入未经授权的指令，从而导致变电站断电或供暖系统故障等破坏性后果。

从技术角度来看, 在OT环境中, 常规IT环境下的一些例行操作不太适用,主要表现以下几方面:

(1).漏洞扫描:在 IT 环境中，漏洞扫描是例行操作，但在 OT 环境中，未经谨慎评估的扫描可能会引发不可预测的安全问题。

(2).加密:OT 设备通常具有实时通信需求，处理能力和带宽有限，因此加密方式必须考虑这些因素，而 IT 环境对此限制较少。

(3).补丁管理:OT 设备通常需要在严格测试和计划停机的情况下进行补丁更新，以避免对关键操作产生影响，而 IT 环境的补丁管理则相对自动化和频繁。

(4).端点安全:OT 设备应避免频繁的互联网更新，并需要谨慎管理误报，应用白名单（allowlisting）是一种更有效的安全策略。

(5).入侵检测与防御:在 OT 环境中，入侵检测系统（IDS） 的应用比 入侵防御系统（IPS） 更普遍，因为 IPS 可能会阻断重要的工业控制系统（ICS）流量。

工控网分层安全架构

下面是一个安全分层架构图, 图中不同的攻击向量用红色突出显示, 如图:

下面解释一下图中的层级:

• Level 4: Enterprise（企业层）:包含 DC（域控制器）、Web 服务器、业务服务器和企业工作站，主要负责企业 IT 运营和管理。风险点: 1.感染的 USB 设备：可能会通过员工的无意操作传播恶意软件。2.不安全的远程支持：攻击者可能通过远程访问漏洞进行入侵。

• DMZ（隔离区）:连接企业 IT 网络与工业 OT 网络的中间层，包括补丁服务器、历史数据库服务器和跳板机等。风险点:不良访问规则：防火墙或访问控制规则配置错误，可能导致未授权访问。

• Level 3: Operations Systems（操作系统层）:1.主要用于工程管理和数据处理，如工程工作站、历史数据库、应用服务器等。2.该层通常是工控系统管理和维护的核心部分，如果被攻击，可能导致整个 ICS 系统瘫痪。

• Level 2: Supervisory Control（监控层）：主要是 HMI（人机界面）和 SCADA 服务器，负责监控和控制工业过程。风险点:1.感染的 USB 设备：可能通过维护或更新时被插入 HMI，从而传播恶意软件。2.不安全的 WiFi：无线网络可能被攻击者利用进行中间人攻击或未经授权的访问。

• Level 1: Control（控制层）：包含 RTU（远程终端单元）和 PLC（可编程逻辑控制器），用于执行具体的控制任务。风险点:感染的笔记本电脑：工程师的笔记本如果连接到控制设备，可能带入恶意软件。

• Level 0: Physical Process（物理过程层）:直接与工业生产过程相关，例如机器人、传感器和机械设备。风险点:供应链攻击：如果供应链环节被攻击，恶意代码可能直接嵌入设备固件或硬件，难以检测。

攻击者视角渗透

渗透任何一个组织,首先要获取目标网络的访问权限, 在这次模拟渗透过程中, 利用了一次有效的钓鱼活动成功获取到了目标网络的访问权限, 而通过这个起点, 进一步寻找更多的信息,包括: 内部知识库、共享环境(例如: Active Directory), 在其中寻找有关OT环境的更多信息。这个阶段属于侦查阶段, 可能要持续很长一段时间, 获取的信息越多越详细, 成功几率就越高。

为了获取对OT环境的访问权限, 需要两样关键东西:

(1).关于如何访问OT环境的相关知识。

(2).访问OT环境的权限。

在工控网络,一般要找到明显的高权限目标是很困难的事情, 但也不排除一些例外, 比如: 可以识别出一些可读和可写的网络共享, 不求能在共享网络中找到有价值的东西, 但投毒也是有行的。

例如这里, 在具备有可写权限的网络共享中放置一个恶意LNK文件, 当员工访问共享时, Windows资源管理器会尝试从攻击者控制的目录中检索LNK文件的图标。在Windows环境中, 该请求还会包含该员工的密码哈希值。通过实验, 也确实成功捕获了多个用户的NetNTLM哈希, 随后, 这些NetNTLM哈希可以在离线环境下进行破解。最终,成功破解了一名工作站的管理员密码。

Active Directory 描述通常能为未知环境提供很多有价值的描述信息, 在本次安全评估中, 发现了多个系统, 并有迹象表明其中安装了SIEMENS  TIA Protal。TIA Portal 是由西门子开发的一款工程软件套件，用于配置、编程和维护自动化系统。部署了该软件的系统很可能也连接到了公司的 OT 网络。

使用之前的凭据果然可以访问其中一台系统, 目标主机属于两个网络分段, 并且被用作OT网络中的跳板机, 如图:

利用 TIA Portal，可以实施多种攻击，首先是窃取敏感数据，例如 PLC 项目文件。此外，攻击者还可以修改 PLC 的配置。

这次演练展示了精细化访问控制和网络隔离对于 OT 环境的重要性。

总结

常见的OT攻击向量包括:

• 感染 USB 设备：USB 设备可能携带恶意软件，导致 OT 关键控制系统受到破坏或被未经授权访问。

• 感染的笔记本电脑：技术人员或工程师使用的笔记本电脑如果遭受感染，可能会将恶意软件传播到 ICS 网络，威胁控制系统的安全性。

• 不安全的 WiFi 连接：攻击者可利用不安全的 WiFi 进入 OT 环境，获得未授权访问权限，破坏系统完整性。

• 不安全的远程支持：缺乏适当安全措施的远程支持系统可能成为攻击者的入侵入口。

• 错误的访问控制规则：不合理的网络边界访问规则可能导致未经授权的访问和滥用，增加恶意活动和运营中断的风险。

• 不安全的互联网连接：OT 设备直接连接互联网可能暴露于外部威胁，使其易受攻击。

• 供应链攻击：供应链攻击通过受感染的第三方供应商或软件更新渗透 OT 环境，将恶意代码植入关键系统。

• 物理攻击：缺乏物理安全保护的 OT 设施可能遭受入侵者攻击，安装恶意设备或直接破坏环境。

原文始发于微信公众号（二进制空间安全）：入侵者视角下的工控网络安全分层架构