电网工控安全威胁分析与应对 孙 歆
目 录 威胁在哪里 1 2 风险有多大 3 我们如何应对
威胁在哪里 设计精密 精准打击 利用多个0day 隐蔽性强 震网病毒事件:2010年11月 Stuxnet蠕虫(震网病毒)攻击伊朗核电厂,该病毒专门针对西门子公司的SIMATIC WinCC监控与数据采集 (SCADA) 系统进行攻击,造成伊朗布什尔核电站瘫痪。 设计精密 精准打击 利用多个0day 隐蔽性强 对于旁观者来说,震网病毒有两个意义: 使得信息安全界开始关注工控安全,使得工控界开始关注信息安全 打破了封闭的安全神话,封闭不等于安全,隔离解决不了一切问题 2016年习近平在网信座谈会讲话指出: “物理隔离”防线可被跨网入侵,电力调配指令可被恶意篡改
威胁在哪里 2012年5月,卡巴斯基实验室发布报告,发现“火焰” 病毒部分特征与“震网”相似,但结构更复杂、损害更大,拥有强大的间谍功能。 2014年7月,赛门铁克披露代号为“蜻蜓”的黑客组织利用Havex木马程序, 攻击了欧美地区的一千多家能源企业。 2014年10月,美国工控网络应急响应中心(ICS-CERT)发现黑客通过恶意软件针对多个厂商的HMI(人机接口)进行攻击,被攻击厂商包括GE、研华WebAccess、西门子WinCC。 ICS-CERT公布数据中,工控安全事件主要集中在能源行业(59%)和关键制造业(20%),工控安全事件呈快速增长的趋势。
威胁在哪里 2015年12月23日,乌克兰电力部门遭到恶意病毒攻击,至少三个区域的电力系统被BlackEnery恶意软件攻击,其中部分变电站的控制系统( SCADA )遭到破坏,监控管理系统同时遭到入侵,导致发电设备产生故障,造成用户大面积停电。 发送恶意邮件 控制配电公司人员电脑 获取身份鉴别信息 攻击SCADA实施破坏操作 攻击电话系统 乌克兰停电事件的意义: 1. 对电网公司敲响警钟
威胁在哪里 震网病毒事件 乌克兰停电事件 攻击目标 PLC 上位机 攻击原理 修改离心机参数 通过SCADA直接攻击 攻击手法 U盘摆渡 恶意邮件 防护程度 物理隔离 与互联网相连 攻击成本 高,多个0day 低,无0day 性质 针对工控的定向攻击 传统信息安全攻击事件在工控领域的展现
目 录 威胁在哪里 1 2 风险有多大 3 我们如何应对
风险在哪里 智能电网是以特高压电网为骨干网架、各级电网协调发展为基础,以信息通信平台为支撑,具有信息化、自动化、互动化特征,在发、输、变、配、用、调各个环节,实现“电力流、信息流、业务流”的高度一体化融合的现代电网。
风险在哪里 控制系统与传统信息系统存在巨大差别,双方管理人员存在信息不对称问题 控制系统 传统信息系统 体系结构 高度集中 分布式 网络开放性 独立封闭 开放 通信协议 TCP/IP、专用协议 TCP/IP 通信内容 电量数据、系统参数、控制指令 业务数据 网络威胁 较少 频繁 安全关注度 重可用性,轻安全性 普遍关注 安全推动方 设备厂商 用户方 主要安全措施 主要依赖物理隔离或隔离网闸 网络、边界、主机、应用、数据多层面防护
风险在哪里 国家电网公司智能电网工控系统严格遵循电力二次系统和管理信息系统相关安全要求,采用“横向隔离,纵向认证”的边界防护措施,总体防护水平较高,但站内防护较弱。 可能的风险 协议缺少认证机制 主机和交换机弱口令 边界防护设备配置失效 监控主机存在高危漏洞 某些设备开启web管理 木马通过U盘传入 设备存在高危漏洞 设备被预置后门 ……
降低风险建议 技术 定期扫描排查弱口令; 关闭主机不必要的应用与服务 加强接入设备监管,U盘接入控制区事先杀毒; 定期进行漏洞扫描,及时修复安全漏洞; 对电力协议深度分析、主动检测特征攻击; 对运维操作全过程审计; 在工控防护墙中设置白名单规则,防止恶意指令的控制下发与配置加载 管理 深化信息安全意识教育; 严格落实防护方案要求; 加强工控运维人员技能; 加强专业融合和复合型信息安全人才培养; 设备入网检测应进行安全测试
目 录 威胁在哪里 1 2 风险有多大 3 我们如何应对
隐患排查 介于目前严峻的工控安全形势和G20峰会安全保障要求,今年上半年多次配合国网公司、省公司对调度、配网、变电站(尤其是杭州特保电站)、所属电厂(包括新能源电站)进行了大力的工控安全检查。 依据 《电力监控系统安全防护总体方案》 《变电站监控系统安全防护方案》 《 配电监控系统安全防护方案》 《发电厂监控系统安全防护方案》 成效 1. 立即消除管理类问题,如弱口令、制度执行不到位等情况 2. 限期整改技术类问题,如系统加固等 3. 根据检修计划解决设备类安全隐患
队伍建设 2015年国网和省公司开始建立信息安全红蓝队,形成红队攻点、蓝队防面、以攻促防、全面消缺的隐患发现机制 依托红蓝队建设提升人员技能,两年多来培养央企技术能手两名,CISSP两名,CISP十余名。 提升工控系统信息安全意识,培养工控安全复合型知识人才,定期开展工控专项技术交流。
漏洞检测 目标发现 端口扫描 系统服务识别 漏洞扫描 漏洞库 配备工控和传统漏洞扫描工具定期开展工控系统漏洞排查 工业控制系统常用漏洞检测工具: PLCScan nmap-scada metasploit Zoomeye/Shodan 漏洞库 未知漏洞挖掘
漏洞检测 协议Fuzz测试平台 主流协议模型 发送测试数据 状态监测 利用漏洞挖掘工具对离线工控设备进行漏洞挖掘和漏洞预警,识别深层次工控设备的安全问题 测试对象: PLC/测控/智能终端/继保等 IEC61850 104/101/103 Modbus 主流协议模型 随机/畸形/超长.. 发送测试数据 协议Fuzz测试平台 状态监测 未知漏洞挖掘 GE CPE 330 的三个modbus协议问题导致系统失去响应 模糊数据生成策略 深度数据变异算法 对象重置 可选择基于Python的开源Fuzz框架:Peach/Sulley
漏洞检测 通过模糊测试,发现GE CPE 330 在处理modbus畸形数据包时,三个测试用例导致系统失去响应 未知漏洞挖掘
攻防演练 目的 调度攻防演练 方式 方案 风控 组织 网络边界防护能力 防渗透能力 针对备用系统或试运行环境进行模拟渗透测试 第三方边界、内部纵向边界 内部横向边界、漏洞验证 风控 组织 指挥组:总体人员和资源调配 配合组:提供所需网络拓扑等基础材料 渗透组:准备演练工具,执行渗透测试 保障组:保障各类设备正常运行,实施应急措施 严格执行方案,不扩大演练范围 严格管控工具,保证正规安全 实施过程监护,攻击点到为止 全程实时监测,及时应急响应
协议加固 基于IEC62351(电力系统运行的数据和通信安全标准)对智能变电站协议进行加固,实现mms/goose/smv协议的加密与认证。 1. 通过TLS协议提供传输层加密 2. 引入AARQ和AARE建立安全关联,AARQ包含认证信息,中实现应用层认证。 goose/smv 利用GOOSE/SV报文格式中的保留字段和扩展协议来实现应用层安全认证。 头部 GOOSE/SMV报文 扩展报文 CRC校验 数字签名
协议加固 优势: 实现站内协议级加密和认证 不足: 缺乏成熟方案,效率和兼容性需要加强
异常监测 针对智能变电站缺少安全监控手段的现状,开展站内异常监测技术研究 流量采集 协议深度解析 提取操作行为 态势展现 异常告警 104 mms 通用应用协议 goose smv 流量采集 协议深度解析 提取操作行为 态势展现 异常告警 异常行为建模 标准规范 行为基线 攻击特征
异常监测 1 2 4 3 攻击告警 行为异常 协议异常 网络异常 DOS攻击 Fuzz测试 非授权修改主站配置 ARP攻击 暴力猜解 木马连接 web应用层攻击 非授权修改主站配置 非授权下达调度操作 攻击告警 行为异常 1 2 4 3 报文长度过长 控制域数据异常 校验和错误 异常报文类型 不允许的协议类型如web 数据流量突然增大或减小 未授权终端接入 跨区外联访问 纵向明文传输 协议异常 网络异常