plc網(wǎng)絡(luò)安全架構(gòu)

發(fā)布時(shí)間：2024-03-03

國家標(biāo)準(zhǔn)文件《gb 40050-2021網(wǎng)絡(luò)關(guān)鍵設(shè)備安全通用要求》其中指出：“為了落實(shí)《網(wǎng)絡(luò)安全法》第二十三條網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品應(yīng)當(dāng)按照相關(guān)國家標(biāo)準(zhǔn)的強(qiáng)制性要求，由具備資格的機(jī)構(gòu)安全認(rèn)證合格或者安全檢測(cè)符合要求后，方可銷售或者提供”。該標(biāo)準(zhǔn)于2021年2月20日正式發(fā)布，并于2021年8月1日起實(shí)施。標(biāo)準(zhǔn)適用于網(wǎng)絡(luò)關(guān)鍵設(shè)備，為網(wǎng)絡(luò)運(yùn)營者采購網(wǎng)絡(luò)關(guān)鍵設(shè)備時(shí)提供依據(jù)，還適用于指導(dǎo)網(wǎng)絡(luò)關(guān)鍵設(shè)備的研發(fā)、測(cè)試、服務(wù)等。
目前，根據(jù)四部門聯(lián)合發(fā)布的公告《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專用產(chǎn)品目錄(第一批)》，第一批網(wǎng)絡(luò)關(guān)鍵設(shè)備包括了性能較高的路由器、交換機(jī)、服務(wù)器和plc設(shè)備，具體設(shè)備類型及范圍如下表：
我看了文件以后，產(chǎn)生一個(gè)疑問，是不是要求接入網(wǎng)絡(luò)的關(guān)鍵設(shè)備plc其指令執(zhí)行時(shí)間必須小于等于0.08微秒？那么這個(gè)指令執(zhí)行時(shí)間是指最快指令執(zhí)行時(shí)間還是平均指令執(zhí)行時(shí)間？如果是指平均指令執(zhí)行時(shí)間，那么平均執(zhí)行時(shí)間又如何定義？依據(jù)又是什么？難道指令執(zhí)行時(shí)間大于0.08微秒的plc就沒有接入網(wǎng)絡(luò)的需求？目前幾十萬臺(tái)在役運(yùn)行的老型號(hào)plc就沒有接入工業(yè)互聯(lián)網(wǎng)的資格，如果接入就難以保證網(wǎng)絡(luò)安全嗎？
有鑒于此，引發(fā)出本文想討論的主題，即plc接入網(wǎng)絡(luò)后要保證具有足夠的安全性，即使在黑客攻擊之下仍能安全運(yùn)行，關(guān)鍵是什么呢？
plc信息安全的架構(gòu)概述
按照isa 95基于普渡模型的定義，從結(jié)構(gòu)化的架構(gòu)的視角看工業(yè)自動(dòng)化控制系統(tǒng)(iacs)，可以分成四個(gè)區(qū)域(圖1)：安全區(qū)、單元/區(qū)段(生產(chǎn)線車間)、制造運(yùn)營與控制區(qū)，以及企業(yè)區(qū)?，F(xiàn)場(chǎng)的實(shí)際情況可能與普渡模型有一些差異，但將安全系統(tǒng)與控制自動(dòng)化系統(tǒng)分割，是大多數(shù)工業(yè)行業(yè)遵循的原則，特別是那些有防爆嚴(yán)格要求的行業(yè)，如石化、化工等。
圖1 基于普渡模型的企業(yè)信息架構(gòu)
以往plc與企業(yè)網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間往往采用多層結(jié)構(gòu)、便于實(shí)施網(wǎng)絡(luò)安全的隔離方法。但是，由于實(shí)時(shí)數(shù)據(jù)遠(yuǎn)程存取的需求不斷增長，許多連接進(jìn)入了控制自動(dòng)化系統(tǒng)。這種增長還有一個(gè)原因在于：通常要求分散分布的傳感器、過程和控制數(shù)據(jù)，以實(shí)時(shí)或近實(shí)時(shí)的方式接入互聯(lián)網(wǎng)，這導(dǎo)致工業(yè)物聯(lián)網(wǎng)的導(dǎo)入以及其部件進(jìn)入控制自動(dòng)化系統(tǒng)(即圖1所示的level 0和level 1)。在實(shí)現(xiàn)這些設(shè)備的互聯(lián)網(wǎng)接入時(shí)，分層的方法不得不讓步于在企業(yè)區(qū)和制造運(yùn)營區(qū)進(jìn)行連接，甚至還有從控制層直接接入公有云或私有云進(jìn)行數(shù)據(jù)存取。這就使得原來圍繞單元或區(qū)段建立的防衛(wèi)被旁路了，因此需要在這些設(shè)備中內(nèi)置網(wǎng)絡(luò)安全的功能(cyber-resilience capabilities)。還存在一種趨勢(shì)就是由于預(yù)測(cè)性維護(hù)的需要，一些關(guān)鍵的傳感器或儀表測(cè)量裝置可能跨越分層架構(gòu)直接與云端連接。
控制系統(tǒng)網(wǎng)絡(luò)安全承受的挑戰(zhàn)
除了上述因plc跨越分層架構(gòu)連接網(wǎng)絡(luò)可能招致的攻擊而外，另外一個(gè)網(wǎng)絡(luò)安全的挑戰(zhàn)來自內(nèi)部。往往通過受到病毒感染的臺(tái)式計(jì)算機(jī)的途徑或明或暗地引入了網(wǎng)絡(luò)安全問題，如在向plc下載軟件或打補(bǔ)丁時(shí)；或者通過usb、智能手機(jī)或類似的輕型設(shè)備或私人設(shè)備(如ipad)導(dǎo)入了惡意軟件。事實(shí)上絕大部分指向plc的網(wǎng)絡(luò)攻擊都是通過內(nèi)部直接或間接引入。
與其他類型的計(jì)算機(jī)系統(tǒng)一樣，對(duì)plc的網(wǎng)絡(luò)攻擊可能以破壞可信性、完整性、可用性或這些的任何組合為目標(biāo)。攻擊的實(shí)施往往針對(duì)plc本身的細(xì)節(jié)(硬件、邏輯和固件)以及準(zhǔn)備后續(xù)進(jìn)行攻擊plc的惡意程序。例如，某種間諜軟件可以遠(yuǎn)程安裝在工程工作站、編程設(shè)備或人機(jī)界面上，也可以通過usb或本地plc上的軟件更新引入。新一代網(wǎng)絡(luò)攻擊，也被稱為高級(jí)持續(xù)威脅(advanced persistent threats，apts)，通常首先使用間諜軟件下載額外的惡意軟件，然后使用它建立從plc或工程站到i/o的連接。例如在震網(wǎng)病毒stuxnet攻擊中就是這樣做的，這是隱形apt的一個(gè)重要組成部分。
當(dāng)前受到工業(yè)界關(guān)注的plc攻擊病毒主要有下列4種類型：
1、接入互聯(lián)網(wǎng)的遠(yuǎn)程存取攻擊；
2、經(jīng)典的震網(wǎng)病毒stuxnet，又稱plc蠕蟲；
3、破壞有效載荷攻擊；
4、難以檢測(cè)的直接攻擊plc i/o的根程序病毒包rootkit，又稱plc鬼魂。
接入互聯(lián)網(wǎng)的遠(yuǎn)程存取攻擊
shodan是一種在線工具，與谷歌、百度等搜索引擎以爬取網(wǎng)頁信息為目標(biāo)不同，它爬取的是互聯(lián)網(wǎng)上所有設(shè)備的ip地址及其端口號(hào)，用于查找在線存在的特定設(shè)備和設(shè)備類型。因此使用shodan在線工具搜索面向互聯(lián)網(wǎng)的plc，可以廣泛搜索并獲取訪問權(quán)限，從而通過互聯(lián)網(wǎng)訪問特定的plc。這種直接訪問的方法盡管只是訪問plc的web服務(wù)器,但可以從互聯(lián)網(wǎng)上運(yùn)用很多辦法進(jìn)行遠(yuǎn)程訪問攻擊,包括拒絕服務(wù)(denial-of-service ，dos)攻擊和完整性攻擊，諸如下載和覆蓋plc程序來破壞原有的plc程序，損害其完整性。
經(jīng)典的震網(wǎng)病毒stuxnet
stuxnet是一種獨(dú)立的計(jì)算機(jī)蠕蟲病毒，僅針對(duì)西門子的監(jiān)控和數(shù)據(jù)采集(scada)系統(tǒng)。該蠕蟲被設(shè)計(jì)用來攻擊特定的西門子plc，并利用了四個(gè)零日漏洞。2010年6月，卡巴斯基實(shí)驗(yàn)室在白俄羅斯首次發(fā)現(xiàn)了stuxnet的最終版本。實(shí)際上早在2009年，stuxnet病毒的早期版本就已被發(fā)現(xiàn)。然而，蠕蟲的發(fā)展要早得多，甚至可能早在2005年。stuxnet主要是為了破壞位于伊朗納坦茲的一座核電站。不幸的是，stuxnet病毒蔓延到超過115個(gè)國家，這說明，即使是有針對(duì)性的攻擊，也可能擴(kuò)散并造成核心目的以外的破壞。
破壞有效載荷的攻擊
通過破壞有效載荷對(duì)plc進(jìn)行攻擊(payload sabotage attacks)，就是采用惡意軟件工具(例如sobot)遠(yuǎn)程或就地修改或覆蓋plc上原有的控制程序，從而達(dá)到通過plc的固件來篡改輸入/輸出映射表的狀態(tài)或數(shù)據(jù)，直接破壞對(duì)物理過程的正?？刂频哪康?。我們從plc的硬件和軟件架構(gòu)圖(見圖2)可以清晰了解其機(jī)理關(guān)系。
圖2 plc的硬件和軟件架構(gòu)
圖3進(jìn)一步闡述了plc的有效荷載程序執(zhí)行的流程，即輸入掃描讀取刷新輸入數(shù)據(jù)、程序掃描按指令逐條執(zhí)行運(yùn)算、輸出掃描將程序運(yùn)算結(jié)果輸出到輸出映射表、然后進(jìn)入內(nèi)部處理階段，接著又按上述順序執(zhí)行。由此可見一旦外部攻擊破壞了plc的有效荷載程序，導(dǎo)致輸出映射表產(chǎn)生異常輸出，結(jié)果必然是破壞了plc所控制的物理過程的正常運(yùn)轉(zhuǎn)，其后果難以預(yù)料。還以針對(duì)伊朗核電站的震網(wǎng)stuxnet攻擊為例，stuxnet有一個(gè)病毒的功能是能通過首先感染工程工作站，然后下載惡意代碼塊對(duì)plc發(fā)動(dòng)有效荷載攻擊，致使鈾離心機(jī)的轉(zhuǎn)速越轉(zhuǎn)越快直至失速并發(fā)生故障。
圖3 plc有效荷載程序執(zhí)行模型
直接攻擊 plc i/o的rootkit根程序病毒包
2016年11月在倫敦舉行的黑帽歐洲大會(huì)(black hat europe)上，荷蘭university of twente的ali abbasi和majid hashemi介紹了他們開發(fā)的一種不可檢測(cè)的plc rootkit。這種病毒可能比stuxnet更危險(xiǎn)，因?yàn)樗请[形的，直接影響plc的i/o。plc rootkit不像其他類似的攻擊那樣以plc邏輯代碼為目標(biāo)，而是選擇干擾plc運(yùn)行時(shí)邏輯運(yùn)算的結(jié)果，具體表現(xiàn)為對(duì)i/o動(dòng)態(tài)存儲(chǔ)空間的破壞，因此難以被檢測(cè)到。由于它位于系統(tǒng)的較低層次，又是一個(gè)跨平臺(tái)的plc威脅，因此它能夠感染幾乎任何供應(yīng)商生產(chǎn)的plc。而且這種對(duì)plc內(nèi)核之外實(shí)施攻擊的開銷低于1%，即使監(jiān)控plc的電源功耗的變化也無濟(jì)于事。惡意軟件駐留在plc的動(dòng)態(tài)內(nèi)存中，操縱i/o和plc控制的過程。一般plc的soc上缺乏硬件中斷，并且無法進(jìn)行硬件級(jí)輸出端配置檢測(cè)，致使這種攻擊是可行的。
這類攻擊主要按以下三個(gè)步驟進(jìn)行：
第一步：進(jìn)入。
有三種可能方式，其一是將惡意固件安裝到plc中；其二是針對(duì)plc的runtime程序進(jìn)行控制流的攻擊；其三是攻擊者通過猜測(cè)默認(rèn)密碼對(duì)plc進(jìn)行存取。其結(jié)果是攻擊者獲得plc的底層操控權(quán)。
第二步：映射。
通過映射輸入和輸出模塊及其在內(nèi)存中的空間，目的是覆蓋輸入和輸出參數(shù)?；蛘邔/o映射至調(diào)試寄存器(debug registers)，目標(biāo)是攔截i/o的讀寫。
第三步：操縱。
通過改變i/o的初始化順序，其結(jié)果是攻擊者可以操縱plc的運(yùn)行。
圖4 直接攻擊plc i/o的根程序病毒的操作順序
震網(wǎng)病毒stuxnet詳解
stuxnet被稱為世界上第一個(gè)數(shù)字武器，它摧毀了伊朗納坦茲電廠內(nèi)大約1000個(gè)離心機(jī)。網(wǎng)絡(luò)攻擊造成的物理破壞徹底改變了網(wǎng)絡(luò)安全專家進(jìn)行威脅分析的方式，以及plc制造商設(shè)計(jì)plc的方式。
stuxnet攻擊之所以成為可能，是因?yàn)橐粋€(gè)在windows環(huán)境下運(yùn)行的人機(jī)界面和四個(gè)此前未知的零日漏洞。由于這些漏洞還沒有被發(fā)現(xiàn)，因此沒有針對(duì)這些漏洞的補(bǔ)丁。這種蠕蟲病毒目的性明確，專門用來改變納坦茲核電站內(nèi)離心機(jī)的轉(zhuǎn)速。在實(shí)施病毒攻擊引發(fā)plc運(yùn)行異常的同時(shí)，人機(jī)界面卻因受到病毒的欺詐沒有反映異常情況，致使操作人員誤以為運(yùn)行正常，于是乎機(jī)械設(shè)備出現(xiàn)故障并最終損壞。
stuxnet的巧妙之處在于，它是一種經(jīng)過精心設(shè)計(jì)、目標(biāo)明確的蠕蟲，只有在滿足某些預(yù)設(shè)條件的情況下才會(huì)造成傷害，這意味著大多數(shù)受感染的工廠和裝置不會(huì)受到傷害。事實(shí)上，只有當(dāng)工業(yè)控制系統(tǒng)的結(jié)構(gòu)與納坦茲核電站相匹配時(shí)，stuxnet才會(huì)提高離心機(jī)的轉(zhuǎn)速。由于其設(shè)計(jì)的復(fù)雜性，stuxnet被定義為高級(jí)持久威脅(apt)的病毒。apt可在長時(shí)間隱匿而不被檢測(cè)到的情況下連續(xù)收集數(shù)據(jù)和執(zhí)行命令，由此也被稱為“低速”攻擊。stuxnet使用的零日漏洞中有一個(gè)針對(duì)的是windows操作系統(tǒng)。正如美國國家漏洞數(shù)據(jù)庫漏洞報(bào)告cve-2008-4250所記錄的那樣，它是通過服務(wù)器-消息-塊(server-message-block，smb)文件共享協(xié)議傳播的。該漏洞允許遠(yuǎn)程執(zhí)行代碼，并在本地網(wǎng)絡(luò)上進(jìn)行攻擊型的傳播。該蠕蟲還有其他幾個(gè)特性，比如自我復(fù)制、使用命令和控制中心自行更新、包含一個(gè)隱藏的二進(jìn)制文件的windows rootkit，并試圖繞過信息安全的軟件產(chǎn)品。
據(jù)悉stuxnet蠕蟲是通過一個(gè)u盤進(jìn)入納坦茲工廠的，使其能夠從內(nèi)部攻擊系統(tǒng)。這是攻擊的先決條件，因?yàn)闆]有遠(yuǎn)程連接，納坦茲設(shè)施無法直接從互聯(lián)網(wǎng)訪問。一旦納坦茲設(shè)施被感染，蠕蟲首先在受感染的主機(jī)上本地執(zhí)行，盡管它實(shí)際上并沒有對(duì)受感染的主機(jī)做任何事情。在執(zhí)行后，蠕蟲傳播到整個(gè)控制網(wǎng)絡(luò)，直到它找到一個(gè)運(yùn)行step 7的windows操作系統(tǒng)。step 7是西門子plc的編程軟件。運(yùn)行step 7的計(jì)算機(jī)是該控制系統(tǒng)的工程工作站，直接與plc交互并向plc發(fā)出修改控制程序的命令。一旦成功到達(dá)step 7工程工作站，stuxnet就會(huì)操縱它發(fā)送代碼塊，使plc執(zhí)行危險(xiǎn)的命令，即讓離心機(jī)以高于最初編程的轉(zhuǎn)速旋轉(zhuǎn)。對(duì)plc的攻擊大約每27天執(zhí)行一次，這使得攻擊更加隱秘和難以察覺。stuxnet還接管了工程工作站，并在step 7軟件上顯示與實(shí)際輸出不一致的數(shù)值。這個(gè)攻擊步驟是攻擊的核心部分，被稱為欺騙。在這種真相被掩蓋的情況下，鈾濃縮工廠的運(yùn)行工程師沒有發(fā)現(xiàn)任何錯(cuò)誤的跡象，還認(rèn)為離心機(jī)轉(zhuǎn)速正常。如果在step 7上顯示出轉(zhuǎn)速錯(cuò)誤的數(shù)值，工程師就會(huì)認(rèn)為故障是由人為錯(cuò)誤造成的，而不是源于惡意軟件，然后采取相應(yīng)的行動(dòng)。stuxnet病毒感染后還將代碼直接隱藏在plc上，因此也被定義為plc 根程序病毒包(rootkit)。
stuxnet的部分病毒通過plc rootkit和操縱控制計(jì)算機(jī)和plc之間的通信，利用目標(biāo)plc作為黑客工具。通過同時(shí)瞄準(zhǔn)控制計(jì)算機(jī)和plc, stuxnet成功地實(shí)現(xiàn)了它的目標(biāo)，同時(shí)欺騙了操作人員，為摧毀離心機(jī)贏得了足夠的時(shí)間。stuxnet作為apt是一種復(fù)雜的攻擊，需要大量的情報(bào)收集(intelligence-gathering)和資源來執(zhí)行。為制作plc rootkit它也有必要深入了解使用的專有通信協(xié)議和深入了解目標(biāo)plc的體系結(jié)構(gòu)。
值得注意的是stuxnet的代碼現(xiàn)在是可以公開提供的，方便懷有不良動(dòng)機(jī)的黑客實(shí)施攻擊。stuxnet還激勵(lì)了可用于plc和工業(yè)控制系統(tǒng)的黑客課程的數(shù)量顯著增加。除了如何使用公開可用的黑客工具(如metasploit框架)之外，還可以通過參加課程學(xué)習(xí)如何攻擊plc和工業(yè)控制系統(tǒng)。
以往工業(yè)控制系統(tǒng)和plc使用多種通信協(xié)議，最常用的協(xié)議有profinet、profibus和modbus。大多數(shù)為工業(yè)控制設(shè)計(jì)的協(xié)議都沒有內(nèi)置任何安全措施，由于缺乏身份驗(yàn)證和加密，可能允許遠(yuǎn)程代碼執(zhí)行、數(shù)據(jù)包偵聽和重放攻擊。