攻击向量评估
工业控制系统
常见的攻击向量如下表所示:表 5.2 工业控制系统常见攻击向量检查表
访问向量 可能的攻击向量
相邻的内部网络、被入侵的双宿主网络、互联网(云、多租户环境)、WIFI以及其他无线电
连接方式, 网络如 HART、ZigBee、卫星链路等。
工业控制系统及设备 其他设备、控制器
等。网络服务端口;文件输入与插入;用户输入(包括本地应用程序与 Web 界面);数据输入,如库函数、 应用程序
动态链接库等。
USB接口、串口以及其他数据端口(SATA、HDMI、DisplayPort 等)。 物理访问
键盘或者鼠标输入(来自攻击者)。
访问向量 可能的攻击向量
通过电话或者人员直接进行基于社交工程学的互动。 人员 / 用户 电子邮件与社交媒体。
客户端应用程序,如电子邮件客户端、浏览器等。
芯片或者硬件篡改。 供应链
应用程序或固件代码篡改。
威胁事件构建
工业控制系统常见的威胁事件如下 :
表 5.3 工业控制系统常见威胁检查表
VLAN跃进或跳跃。 网络设备 生成树协议攻击。
MIB读、写。
源代码篡改。 规范化攻击。
Web 服务端
服务器扩展攻击。 文件包含(本地和远程)。
JavaScript 活动脚本攻击。 Cookie 或会话窃取和劫持。 跨站脚本攻击。
Web 客户端
跨站请求伪造。
SQL注入。 跨框架或跨域攻击。
设备驱动程序攻击。
冷启动密码旁路。 主机 拒绝服务攻击。
口令提取、口令破解。
端口重定向。
内存损坏攻击。
释放后重用攻击。
缓冲区溢出攻击。 运行在设备上的应用程序 格式化字符串漏洞攻击。
输入验证攻击。
文件、页面文件交换攻击。
共享库和第三方库攻击。
网络钓鱼。 人员 / 用户 水坑攻击。
社交媒体攻击。
结合以上表格列举的常见攻击类型,构建出的威胁事件如下表所示(举例展示)。
表 5.4 PLC 设备威胁示例
项目 描述
威胁源 国家资助的攻击者 / 内部人员 / 前内部人员 / 恶意代码 攻击类型 栈缓冲区溢出
攻击向量 Web 界面 / 本地网络
脆弱性(漏洞) CVE-2016-0868
目标对象 Allen-Bradley MicroLogix1100
风险场景构建
常见的工业控制系统攻击手法常见案例:
威胁事件构建 
攻击手法刻画 潜在后果
威 攻 脆 攻 目 胁 击 弱 击 标 源 向 性 类 对 量 型 象
图 5.2 风险场景构建要素与过程
以下为常见工业控制系统攻击手法刻画案例:
表 5.5 工业控制系统常见攻击方法
资产 / 系统 攻击手法刻画
通过扫描与枚举方法探测所使用的工业控制系统设备、工作站和协议。
通过网络嗅探获取认证信息。
通过嗅探数据包对其进行逆向分析获取工业控制系统协议信息。 工业控制系统网络
记录或重放工业控制系统网络流量以尝试更改设备行为。 注入数据或数据包以尝试更改设备行为。 伪造、欺骗工业控制系统网络数据包以尝试更改设备行为或者人机界面显示画面。
获取远程访问或者控制权限。 篡改、屏蔽控制器的输入或者输出行为。 修改配置以更改控制器行为。 修改控制算法以更改控制器行为。 修改动态数据以更改控制算法的结果。
控制器
修改 I/O 数据以更改控制算法的结果。 修改控制器固件以更改控制器行为。 使用欺骗性指令以更改控制器行为(通过网络协议)。 降级攻击、拒绝服务攻击。
持久驻留(恶意代码)。
权限提升。
获取远程访问或者权限。
复制或泄露敏感信息。
修改或删除信息(标签图形或 XML文件)。 工程师、操作员站 修改存储配置信息。
修改在线配置信息。
向控制器发送指令。
持续驻留(恶意代码)。
降级攻击、拒绝服务攻击。
迫使工作人员获取信息。 人员或用户
诱骗工作人员犯错或做出不当操作。
上表描述的仅为部分工业控制系统常见的攻击手法刻画,不包含全部工业控制系统或者全部攻击手 法,因为攻击手法随着攻击能力的增强而提高,也会根据所处环境的不同而有所变化。表中所列出的是 整个行业在报告中最常出现且接受程度较高的攻击手法刻画案例,可以作为风险场景构建的参考。
下表将列举主要工业控制系统遭受攻击的潜在后果案例,同样仅是列举常见的接受程度较高的案例。
除此外还需要考虑评估范围内的 IT资产如路由器、交换机等,这部分需要参考其他方面的文档。
表 5.6 工业控制系统遭受攻击的影响
目标对象 潜在后果
控制器处于故障状态。
工厂陷入混乱状态或停工。
过程退化、过程故障。 控制器
过程控制中断。 过程图像中断。 各类数据损坏无参考价值。
工厂陷入混乱或停工。
工厂启动延迟。
机械损坏或被蓄意破坏。 操作员图像界面的未授权操作。
过程操作的不当响应。 工业控制系统数据库的未授权改动。
工程师 / 操作员站 临界状态、报警阈值的未授权改动。
存在缺陷的固件未授权分发。 工业控制系统设备的未授权启动、关闭。 过程、工厂信息泄露。 工业控制系统设计或应用程序认证信息泄露。 工业控制系统访问控制机制的未授权改动。 对大多数工业控制系统资产的未授权访问(跳板攻击)。
对过程或批处理记录的操作。 认证信息泄露(业务、控制)。
工业实时历史数据库
对其他资产的未授权访问(MES、ERP 等的跳板攻击)。 对其他业务资产的未授权访问(跳板攻击)。
工厂停工。
装备损坏或被蓄意破坏。
环境影响。
功能安全系统
人身伤亡。
产品质量下降。
公司声誉受损。
分析仪及管理系统 产品质量下降、生产损失、收入损失、产品召回等。
依照上述的工业控制系统常见攻击手法案例与潜在后果,联同威胁事件便可以展示一个基本的风险 场景。如下表:
表 5.7 PLC 设备风险场景示例
项目 描述
威胁源 国家资助的攻击者 / 内部人员 / 前内部人员 / 恶意代码 攻击类型 栈缓冲区溢出
攻击向量 Web 界面 / 本地网络
脆弱性(漏洞) CVE-2016-0868
目标对象 Allen-Bradley MicroLogix1100
执行任意代码。
攻击手法 获取完整的控制权限。
修改配置以改变过程行为。 控制器处于故障状态。
过程控制中断。
潜在后果 过程故障。
数据信息受损。 装备损坏或被蓄意破坏。
表 5.8 工程师站风险场景示例
项目 描述
威胁源 国家资助的攻击者 / 内部人员 / 前内部人员 / 恶意代码
攻击类型 内核模式驱动攻击导致的内存损坏。
攻击向量 在 web 界面通过以下方式打开恶意文件:USB/ 网络 / 邻接网络 / 互联网。 脆弱性(漏洞) CVE-2016-0005/CVE-2016-0008/CVE-2016-0009
目标对象 运行 Windows 7 SP1 及 IE浏览器的工程师站 PCDENG-0024。
执行任意代码。
获取管理员控制权限。
攻击手法 利用跳板实施对其他工业控制系统的资产攻击。
对操作员图像界面的未授权操作。 获取其他工业控制系统资产的直接控制权限。
机械损坏或被蓄意破坏。; 对过程操作的不当响应。
潜在后果 临界状态、报警阈值的未授权改动。
工业控制系统未授权启动、关闭。 对工业控制系统资产的未授权访问(跳板攻击)。
如果将工程师站添加进 PLC设备的风险场景中,就会形成新的攻击向量,完成更加明晰的攻击路径 分析与推演。如下表所示:
表 5.9 带有关联攻击向量的 PLC 设备风险场景示例
项目 描述
威胁源 国家资助的攻击者 / 内部人员 / 前内部人员 / 恶意代码 攻击类型 栈缓冲区溢出
攻击向量 Web 界面 / 本地网络 / 工程师站 PCDENG-0024 脆弱性(漏洞) CVE-2016-0868
目标对象 Allen-Bradley MicroLogix1100
执行任意代码。
攻击手法 获取完整的控制权限。
修改配置以改变过程行为。
控制器处于故障状态。
过程控制中断。 潜在后果 过程故障。
数据信息受损。
装备损坏或被蓄意破坏。
因此,在大多数情况下,将存在已知漏洞的资产或者同危险系数较高资产存在关联关系的资产列举 为攻击向量是很有必要的。至此,已经初步完成了工业控制系统中针对目标对象的风险场景构建,但整 个评估过程中不仅要跟踪单个资产的每个风险场景,还要建立这些风险场景之间彼此关联的整体关系, 形成一个整体架构范围内的风险场景矩阵,从而使分析人员能够站在更加全面地角了解整体的攻击面 及其安全状态。
476
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
