本书为一位BOSS主编的信息安全类的书,我特别关注了第九章“智慧城市工业控制系统安全实践”,所谓不动笔墨不读书,在BLOG上记录一些关键信息吧。
本章9.1是介绍了工控系统,包括DCS\SCADA\PLC和常见工控网络协议,9.2介绍了工控系统信息安全标准发展的情况,9.3介绍了工控网络现状,9.4介绍了几种工控系统的信息安全解决方案,9.5介绍了APT攻击,9.6介绍了应用案例,9.7介绍了从技术、生产、运维管理多角度提出的安全防护建议。
作者有过自控工程师的经验,以前觉得有些小厂工控网络是封闭的,不连接互联网的,应该不存在信息安全的隐患,看了这章后彻底颠覆了。文中介绍了APT攻击。
APT(Advanced Persistent Threat)是指隐匿而持久的电脑入侵过程,通常由某些人员精心策划,针对特定的目标。大致的周期活动如下:
1.侦查:在发动攻击行动之前,必要的信息收集作为社工的一部分,大部分的APT是以组织员工为切入口,因此攻击者收集员工的个人信息、社会关系以及爱好等。
2.初始入侵:采用恶意代码攻击组织员工的个人电脑,攻击方法包括:!)社会工程学方法,通过email给员工发送包含恶意代码的文件附件等。2)远程漏洞攻击方法,比如在员工经常访问的网站上挂马。
3.站稳脚跟:在网络中植入远程访问工具,帮助攻击者开启网络后门。
4.提权:攻击者将员工电脑当做跳板,通过利用漏洞和破解密码获得电脑权限。
5.内部勘察:攻击者在内部渗透和长期潜伏的过程中,有意识地收集其他设施、安全信任关系等信息。
6.横向发展:攻击者将控制权扩展到其他工作站、服务器及设施,收集数据。
7.保持现状:巩固之前获取的访问权限和登录凭证。
8.任务完成: 成功盗取数据。
看似黑客大片,其实早已在现实中上演,如2010年著名的伊朗Stuxnet(震网)病毒,就是APT攻击的典型案例。震网病毒利用了windows操作系统的5个漏洞和西门子wincc软件的2个漏洞,配合多个数字签名,最后寻找到一个特别信号的“变频转速器”,并对其数据进行了修改,从而无法生成浓缩铀,且这种修改使机组转速突然下降,造成了设备的永久损坏。
由此看到,关系国家和民生的工业系统确实在遭受着越来越大的威胁,提升工控系统的信息安全防护能力迫在眉睫,技术和管理双通道都需要提升。国家也已出台了2项相关标准,后续还有更多的细则标准。
我看目前工业中信息安全建设的实际案例中用到的安全产品并不多,还主要是网关、防火墙类的,后续看看态势感知类的产品是否能赢得市场认可。
工控行业的信息安全,让我们拭目以待吧。
欢迎大家批评指正,共同进步^^