工控设备更新升级,网络就能安全?

发布时间 2018-08-13
随着“中国制造2025”以及工业4.0的快速发展,工业化与信息化的融合趋势越来越明显,工业控制系统也在利用最新的计算机网络技术来提高系统间的集成、互联以及信息化管理水平。未来为了提高生产效率和效益,工控网络会越来越开放,而开放带来的安全问题将成为制约两化融合以及工业4.0发展的重要因素。


罗克韦尔控制器存多项严重安全漏洞

2018年3月,思科Talos安全研究团队发文指出罗克韦尔自动化企业的 Allen-Bradley MicroLogix 1400系列可编程逻辑控制器( PLC )中存在多项严重安全漏洞,这些漏洞可用来发起拒绝服务攻击、篡改设备的配置和梯形逻辑、写入或删除内存模块上的数据等。

AB-MicroLogix 1400控制器是MicroLogix系列新的产品线,带有内置的模拟量输入、以太网通讯、更快的高速计数器、可调脉冲输出,专为扩展应用范围而设计,目前被广泛应用与关键基础设施、食品生产加工行业、农业及水处理等行业的工业控制现场,用于控制电机、阀门等工业设备。

AB 1400系列PLC 


以下摘录了两个曝出的Allen-Bradley MicroLogix 1400 B 系列漏洞详情:

未经身份验证的数据/程序/功能文件访问控制漏洞不正确(TALOS-2017-0443 / CVE-2017-14462 – CVE-2017-14473)

该漏洞与受影响设备上的文件访问控制不当有关。该漏洞允许未经身份验证的攻击者对存储在设备上的文件实行读取和写入操作,这可以用于从受影响的设备中检索敏感信息(包括设备主密码)、修改设备设置或梯形图逻辑、或导致设备进入导致拒绝服务条件的故障状态。

内存模块存储程序文件写入漏洞(TALOS-2017-0444 / CVE-2017-12092)

该漏洞允许未经身份验证的远程攻击者将在线程序写入受影响设备上已安装的内存模块。攻击者可以使用它来存储程序修改,直到设备重新启动后才能生效。随后,攻击者可以将新存储的程序与“加载内存模块的内存错误”设置结合使用来修改系统设置,从而导致启用的服务发生更改。

通过上述漏洞特性,大家发现,攻击者都会利用漏洞对控制器里面的梯形图程序进行修改和删除。

攻击方式如下:攻击T型图前,先普通PC接入PLC所在网络,利用漏洞向PLC发送获取梯形图指令脚本,获取PLC程序后,通过组态软将T型图还原;在分析流程、工艺、材料、用量后,黑客可非法出售企业生产工艺获取高额利润,对企业造成致命威胁。具体攻击过程如图所示:


黑客攻击路径


除工控设备更新升级外的安全措施

目前,对类似曝出有高危漏洞的工控设备,大家一般采取以下措施:

1、将受影响设备升级到最新版本的固件,以便不再受到这些漏洞的影响;
2、在工控设备前部署安全防护设施,以防止工控设备被攻击。

由于工业现场的特殊性,一般工控设备部署完成后,基本是处于长期稳定运行状态,一年仅会有半个月到一个月左右的检修停机时间,即使利用检修时间去对工控设备进行固件升级,也可能存在内部程序被刷新或者被清空的风险,一旦生产控制程序被清空,那么其造成的损失和恢复成本都是极大的,所以在现场进行固件升级的可行性比较小。

那么第二种方案,在工控设备前部署安全防护设施是目前比较可行的防护方案。通过在PLC前部署工业防火墙,来对PLC设备进行安全防护的功能。

针对时延要求不高的系统,大家可以直接部署在控制器前端进行防护,如下图所示:


工业防火墙部署示意图1


对于时延要求较高的系统,大家则可部署在系统边界出,对工控系统进行整体隔离,如下图所示:

工业防火墙部署示意图2


澳门浦京娱乐场工业防火墙提供多功能安全能力

澳门浦京娱乐场工业防火墙针对工控设备防护有以下功能特点:

  • 工业协议深度解析
  • 工业特有协议指令级检测
  • 工业私有协议检测机制

澳门浦京娱乐场工业防火墙的工业协议识别可实现OPC、Modbus、S7、EIP、IEC104等指令级识别控制,同时内置多种工业协议及模板,支撑自由构造协议内容负载级格式访控规则。在上述总结的漏洞特性中,利用PLC漏洞盗取关键生产数据是工控常见的安全威胁的一种,并非所有工业防火墙都可以防止该漏洞,而澳门浦京娱乐场工业防火墙,采用深度检测策略,对PLC进行指令级的防护,可有效防止T型图泄漏。

该工业防火墙可开启深度检测功能,禁止T型图获取指令及负载中携带获取T型图指令的数据包通过,因此,该工控防火墙适合工控生产环境,提供协议级、指令级安全过滤能力,如下图所示:



工业防火墙阻断攻击路径


澳门浦京娱乐场工业防火墙还可通过域间隔离,通过访问控制策略、DPI策略对边界或工控设备进行隔离,为工业设备、工业网络提供隔离能力,减小、控制威胁扩散范围,满足等保及行业标准安全合规性,使得工业防火墙具备工业网络特殊适应能力。


除此之外,澳门浦京娱乐场工业防火墙还提供以下功能:

1、工作稳定范围宽,适应现场温度可宽达-40~70摄氏度,无风扇设计,在工业粉尘环境下可正常工作;
2、具有bypass接口,保障业务的高可用性;
3、可针对工业环网资产、流量、协议、组播的自动进行多维度识别学习,为工业网络下发管控策略提供重要参考。


本文通过对罗克韦尔工控设备所报出的漏洞的分析,以及对澳门浦京娱乐场工业防火墙的功能和特点的阐述,大家对工业防火墙可以处理的漏洞有了初步的认识。

虽然工业防火墙能够有效防护工控网络中的通信异常和协议异常,并加以阻止,可对控制设备进行协议级的只读防护,实现各生产线之间、各个工艺段之间的网络隔离、访问控制以及专用工控协议的控制,避免PLC、DCS等被攻击造成重大生产事故、人员伤亡和社会影响。但是大家对整体系统的安全防护还是要通过体系化的思路去考虑,同时辅以安全管理思想才能更好的保护工业现场的控制设备不被攻击。