首頁 > 關于我們 > 新聞動態 > 產品動態

工控設備更新升級,網絡就能安全?

發布時間 2018-08-13
隨著“中國制造2025”以及工業4.0的快速發展,工業化與信息化的融合趨勢越來越明顯,工業控制系統也在利用最新的計算機網絡技術來提高系統間的集成、互聯以及信息化管理水平。未來為了提高生產效率和效益,工控網絡會越來越開放,而開放帶來的安全問題將成為制約兩化融合以及工業4.0發展的重要因素。


羅克韋爾控制器存多項嚴重安全漏洞

2018年3月,思科Talos安全研究團隊發文指出羅克韋爾自動化公司的 Allen-Bradley MicroLogix 1400系列可編程邏輯控制器( PLC )中存在多項嚴重安全漏洞,這些漏洞可用來發起拒絕服務攻擊、篡改設備的配置和梯形邏輯、寫入或刪除內存模塊上的數據等。

AB-MicroLogix 1400控制器是MicroLogix系列新的產品線,帶有內置的模擬量輸入、以太網通訊、更快的高速計數器、可調脈沖輸出,專為擴展應用范圍而設計,目前被廣泛應用與關鍵基礎設施、食品生產加工行業、農業及水處理等行業的工業控制現場,用于控制電機、閥門等工業設備。

AB 1400系列PLC 


以下摘錄了兩個曝出的Allen-Bradley MicroLogix 1400 B 系列漏洞詳情:

未經身份驗證的數據/程序/功能文件訪問控制漏洞不正確(TALOS-2017-0443 / CVE-2017-14462 – CVE-2017-14473)

該漏洞與受影響設備上的文件訪問控制不當有關。該漏洞允許未經身份驗證的攻擊者對存儲在設備上的文件執行讀取和寫入操作,這可以用于從受影響的設備中檢索敏感信息(包括設備主密碼)、修改設備設置或梯形圖邏輯、或導致設備進入導致拒絕服務條件的故障狀態。

內存模塊存儲程序文件寫入漏洞(TALOS-2017-0444 / CVE-2017-12092)

該漏洞允許未經身份驗證的遠程攻擊者將在線程序寫入受影響設備上已安裝的內存模塊。攻擊者可以使用它來存儲程序修改,直到設備重新啟動后才能生效。隨后,攻擊者可以將新存儲的程序與“加載內存模塊的內存錯誤”設置結合使用來修改系統設置,從而導致啟用的服務發生更改。

通過上述漏洞特性,我們發現,攻擊者都會利用漏洞對控制器里面的梯形圖程序進行修改和刪除。

攻擊方式如下:攻擊T型圖前,先普通PC接入PLC所在網絡,利用漏洞向PLC發送獲取梯形圖指令腳本,獲取PLC程序后,通過組態軟將T型圖還原;在分析流程、工藝、材料、用量后,黑客可非法出售企業生產工藝獲取高額利潤,對企業造成致命威脅。具體攻擊過程如圖所示:


黑客攻擊路徑


除工控設備更新升級外的安全措施

目前,對類似曝出有高危漏洞的工控設備,我們一般采取以下措施:

1、將受影響設備升級到最新版本的固件,以便不再受到這些漏洞的影響;
2、在工控設備前部署安全防護設施,以防止工控設備被攻擊。

由于工業現場的特殊性,一般工控設備部署完成后,基本是處于長期穩定運行狀態,一年僅會有半個月到一個月左右的檢修停機時間,即使利用檢修時間去對工控設備進行固件升級,也可能存在內部程序被刷新或者被清空的風險,一旦生產控制程序被清空,那么其造成的損失和恢復成本都是極大的,所以在現場進行固件升級的可行性比較小。

那么第二種方案,在工控設備前部署安全防護設施是目前比較可行的防護方案。通過在PLC前部署工業防火墻,來對PLC設備進行安全防護的功能。

針對時延要求不高的系統,我們可以直接部署在控制器前端進行防護,如下圖所示:


工業防火墻部署示意圖1


對于時延要求較高的系統,我們則可部署在系統邊界出,對工控系統進行整體隔離,如下圖所示:

工業防火墻部署示意圖2


啟明星辰工業防火墻提供多功能安全能力

啟明星辰工業防火墻針對工控設備防護有以下功能特點:

  • 工業協議深度解析
  • 工業特有協議指令級檢測
  • 工業私有協議檢測機制

啟明星辰工業防火墻的工業協議識別可實現OPC、Modbus、S7、EIP、IEC104等指令級識別控制,同時內置多種工業協議及模板,支持自由構造協議內容負載級格式訪控規則。在上述總結的漏洞特性中,利用PLC漏洞盜取關鍵生產數據是工控常見的安全威脅的一種,并非所有工業防火墻都可以防止該漏洞,而啟明星辰工業防火墻,采用深度檢測策略,對PLC進行指令級的防護,可有效防止T型圖泄漏。

該工業防火墻可開啟深度檢測功能,禁止T型圖獲取指令及負載中攜帶獲取T型圖指令的數據包通過,因此,該工控防火墻適合工控生產環境,提供協議級、指令級安全過濾能力,如下圖所示:



工業防火墻阻斷攻擊路徑


啟明星辰工業防火墻還可通過域間隔離,通過訪問控制策略、DPI策略對邊界或工控設備進行隔離,為工業設備、工業網絡提供隔離能力,減小、控制威脅擴散范圍,滿足等保及行業標準安全合規性,使得工業防火墻具備工業網絡特殊適應能力。


除此之外,啟明星辰工業防火墻還提供以下功能:

1、工作穩定范圍寬,適應現場溫度可寬達-40~70攝氏度,無風扇設計,在工業粉塵環境下可正常工作;
2、具有bypass接口,保障業務的高可用性;
3、可針對工業環網資產、流量、協議、組播的自動進行多維度識別學習,為工業網絡下發管控策略提供重要參考。


本文通過對羅克韋爾工控設備所報出的漏洞的分析,以及對啟明星辰工業防火墻的功能和特點的闡述,我們對工業防火墻可以處理的漏洞有了初步的認識。

雖然工業防火墻能夠有效防護工控網絡中的通信異常和協議異常,并加以阻止,可對控制設備進行協議級的只讀防護,實現各生產線之間、各個工藝段之間的網絡隔離、訪問控制以及專用工控協議的控制,避免PLC、DCS等被攻擊造成重大生產事故、人員傷亡和社會影響。但是我們對整體系統的安全防護還是要通過體系化的思路去考慮,同時輔以安全管理思想才能更好的保護工業現場的控制設備不被攻擊。
上一篇 下一篇