IndustrialInternetsecuritytechnologyfoundation工業互聯網安全技術基礎《工業互聯網安全技術基礎》課程組第3章工控控制安全技術控制軟件安全技術目錄010203工控惡意軟件實例工控惡意軟件防御措施工控軟件漏洞修復一、工控惡意軟件實例2017年12月，安全研究人員發現了一款專門針對工控安全系統的惡意軟件變體，該惡意軟件主要以中東地區的重要基礎設施為目標展開攻擊，并成功造成中東多家能源工廠的運營中斷。該惡意軟件被研究人員命名為“TRISIS”(或TRITON)惡意軟件。一、工控惡意軟件實例典型ICS惡意軟件變體2010-震網病毒（Stuxnet）是第一款專門針對SCADA系統（數據采集與監視控制系統）和可編程邏輯控制器（PLC）的惡意軟件，曾對伊朗的核設施造成了難以估量的損害，最終導致伊朗擁有核武器的時間延遲了好幾年。

2013-Havex是一款遠程訪問木馬（RAT），被編寫來感染SCADA系統（數據采集與監視控制系統）和工控系統（ICS）中使用的工業控制軟件，其有能力禁用水電大壩、使核電站過載、甚至可以做到一鍵關閉一個國家的電網。2014-BlackEnergy2（黑暗力量2.0）是BlackEnergy（出現于2007年）的變種，該惡意軟件的攻擊目標為GECimplicity、Advantech/BroadwinWebAccess以及西門子WinCC等少數供應商提供的HMI（人機接口）軟件。該惡意軟件被用于2015年12月攻陷烏克蘭電網的網絡攻擊活動中。2016-Crash

Override/Industroyer，這是第一款用于攻擊電網系統的已知惡意軟件，并成功實踐于2016年12月針對烏克蘭基輔地區變電站的攻擊活動中2017年9月-Dragonfly，賽門鐵克公司發出預警稱，國家型黑客組織“蜻蜓”（Dragonfly）加大力度攻擊美國和歐洲能源公司。二、工控惡意軟件防御措施1.通用防御措施資產所有者考慮采取以下控制措施在技術可行的情況下，將安全系統網絡與過程控制信息系統網絡隔離開。能用來設計SIS控制器的工程工作站不應與其它任何DCS（分布式控制系統）過程控制信息系統網站進行雙宿（Dual-Homed）連接。利用提供物理控制能力的硬件功能對安全控制器進行編程，一般通過物理密鑰控制的交換機實現。在Triconex控制器上，除了預定的編程事件期間，密鑰不應留在PROGRAM模式中。二、工控惡意軟件防御措施1.通用防御措施資產所有者考慮采取以下控制措施通過變更管理程序改變密鑰位置。定期審查當前的密鑰狀態。對于依賴SIS提供數據的任何應用程序，使用單向網關網絡連接，而不是雙向網關。在能通過TCP/IP訪問SIS系統的任何服務器或工作站上采用嚴格的訪問控制和應用白名單措施。監控ICS網絡流量，檢測意外通信流量和其它異常活動。二、工控惡意軟件防御措施2.典型案例分析（1）TRITON惡意軟件簡單分析與防護方案——事件概述2017年12月，安全研究人員發現了一款針對工控系統安全儀表系統（SIS）的惡意軟件“TRITON”，該軟件以施耐德電氣Triconex安全儀表控制系統為目標展開攻擊，目前已造成中東多家能源工廠停產，根據對惡意軟件樣本以及攻擊流程、攻擊方式的分析，其幕后黑手疑似為國家支持的專業黑客組織。二、工控惡意軟件防御措施2.典型案例分析（1）TRITON惡意軟件簡單分析與防護方案-攻擊場景TRITON可實現以下三種場景的網絡攻擊，從而對安全生產構成威脅1.SIS系統意外動作SIS系統失陷后，TRIRON可對SIS系統邏輯進行重編輯，使SIS系統產生意外動作，對正常生產活動造成影響2.SIS系統失效TRIRON可使SIS系統失效，在發生安全隱患或安全風險時無法及時實行和啟動安全保護機制，從而對生產活動造成影響3.影響DCS系統安全運行TRITON可在攻陷SIS系統后，對DCS系統實施攻擊，并通過SIS系統與DCS系統的聯合作用，對工業設備、生產活動以及人員健康造成破壞二、工控惡意軟件防御措施2.典型案例分析（1）TRITON惡意軟件簡單分析與防護方案-防護措施1.終端安全可通過部署主機白名單軟件以及實施主機安全加固進行安全防護，增強線上主機以及終端系統健壯性，消除惡意軟件滋生以及生存環境。2.網絡安全網絡通信病毒防治的核心為阻斷惡意軟件傳播途徑，及時發現惡意軟件傳播行為，并為安全響應贏取必要時間。并通過工業防火墻或工業網閘的深度檢測功能，及時阻斷病毒傳播路徑。3.安全管理在進行TRIRON此類惡意軟件防護時，除部署必要的安全設備外還應制定相應的安全管理制度，在根源上阻止惡意軟件傳入工業網絡三、工控軟件漏洞修復一旦在工業控制網絡及系統中發現漏洞，從安全角度出發就需要立刻進行漏洞修復。根據漏洞的性質和特點，可以采取打軟件補丁、調整配置或者移除等方法進行漏洞修補。整體評估流程如下:三、工控軟件漏洞修復一般來說，進行補丁升級是修復系統漏洞最為可靠和有效的方法，在保證工業生產運行和系統可用性的前提下，企業如果具備升級補丁的條件，推薦及時采取補丁升級措施，在升級之前應對補丁進行仔細調試，并建立補丁管理區域，在在線補丁管理區域和需要升級的系統之間設置緩沖地帶。三、工控軟件漏洞修復調整配置包括：對系統自身的直接調整（如禁用脆弱的或不適用的服務、修改用戶權限）對系統外部配置的調整（如修改防火墻或IPS的策略、通過路由器訪問控制列表限制訪問，以及停止脆弱的服務）配置的變化可能會影響其他的系統或設備，所以需要對重大配置變更制定計劃并進行影響分析，配置變更實施前進行嚴格安全測試。系統自身直接調整系統外部配置調整調整配置三、工控軟件漏洞修復如果漏洞不能通過補丁或更改配置來解決，或者相關工控系統或設備不具備條件進行補丁升級或配置更改，則應該根據系統的關鍵性，考慮停止停用脆弱的服務、移除軟件或設備或系統隔離等手段。在停用存在漏洞的服務將導致工業控制系統關鍵功能不可用的情況下，應該隔離存在漏洞的系統，有效地鎖定其安全區域并防止在邊界有任何異常訪問。系統關鍵性停用脆弱服務移除軟件/設備系統隔離三、工控軟件漏洞修復通過配置管理，記錄所有系統配置，驗證已知的、可行并且有效的系統配置