烽火18台係列之十五： 工控資產普查與漏洞安全檢測

2010年，首個武器級的病毒發現，也是第一個在真實世界中專門針對能源基礎設施的病毒，其通過攻擊伊朗的鈾濃縮設備，令德黑蘭的核計劃拖後了兩年，這個病毒被命名為“震網”（Stuxnet）。

2015年，一個名為“黑暗力量”(BlackEnergy)的惡意軟件，在誘騙烏克蘭電力公司員工運行之後，控製了電力公司的主控電腦，將其與變電站斷連，讓烏克蘭首都基輔的部分地區和烏克蘭西部的140萬名居民在聖誕節前感受了恐怖的黑暗力量。

當前黑客行為愈發產業化、組織化，網絡安全攻防對抗形勢急劇惡化，傳統安全防護技術已逐漸不能滿足重要基礎設施，尤其是工業基礎設施的防護需求。因為工業控製係統與其他係統的操作係統、應用軟件、網絡拓撲和網絡協議等存在極大的不同，安全防護技術必須要對工業控製係統專有協議等方麵進行適應。

完成網絡攻擊的重要條件之一，是存在與網絡的暴露麵。目前工業控製係統最重要的防護手段是網絡隔離，但由於網絡隔離不當或設置不當，大量工業控製係統被直接暴露於互聯網之上。相關機構對互聯網的資產普查也驗證了這一情況。

以工控協議中比較流行的Modbus協議為例，全球目前直接暴露在互聯網上的開放ModBus協議的工控設備數量為62.7萬個，分布情況如下圖：

 

國內泄露在互聯網上的Modbus工控設備有1200個左右，分布如下圖：

以直接暴露在互聯網上的西門子工控設備為例，對互聯網開放訪問權限的有7100個左右，分布圖如下圖所示：

國內泄露在互聯網上的西門子工控設備有220個左右， 分布如下圖：

根據這些統計數據可以明確看出，當前工業控製網絡存在嚴重的安全問題。針對這一情況，工業和信息化部於2017年5月31日印發了《工業控製係統信息安全事件應急管理工作指南》，以指導如何做好工業控製係統信息安全事件應急管理相關工作，保障工業控製係統信息安全。

其中，第十條規定：地方工業和信息化主管部門指導本地區應急技術機構、工業企業建立工控安全應急值守機製，實行領導帶班、專人值守工作製度，做好工控安全風險、威脅、事件信息日常監測和報告工作。應急響應狀態下，實行“7×24”小時值守，加強信息監測、收集與研判，做好信息跟蹤報告。

WebRAY的烽火台監控預警平台目前已支持400多種工業控製係統相關的漏洞、病毒以及安全配置的檢測與發現。烽火台監控預警平台已可針對大規模網絡提供貫穿從工業控製資產普查、工業控製係統漏洞檢查，至工業控製係統風險管理和通告的工業控製係統全生命周期管理功能。

烽火台監控預警平台支持工業控製係統的漏洞檢測

針對西門子、施耐德、GE等主流工控廠商的 DCS係統、PLC控製器的漏洞掃描；

針對Modbus、Profibus、S7、OPC等主流現場工業總線的漏洞掃描；

烽火台監控預警平台支持工控設備安全基線核查

針對工控設備現有特性，製定安全基線規範基準，有效提高檢查結果的準確性和合規性，可用於工控設備的上線安全檢查、第三方入網安全檢查、合規安全檢查、日常安全檢查和安全服務支撐工作，協助查找設備安全配置與最佳配置存在的差距，並與安全整改與安全建設相結合，提升工業公職係統的安全防護能力，全麵達到整體合規要求。

 

烽火台監控預警平台支持工控蠕蟲病毒檢查

采用工業控製係統深度協議檢測技術，可以對工業控製係統安全性進行深度檢查評估，發現工控係統中存在的蠕蟲和病毒，並提供有效的緩解方案。

綜上所示，烽火台監控預警平台可支持工業控製係統全生命周期網絡安全管理，可協助監管單位和工業控製係統用戶全維度普查遺落在互聯網空間的工控係統，快速定位存在的安全問題，進行協助整改和通報，是守護工業控製係統安全的最佳選擇。

原文發布時間為：2017年9月8日

本文來自雲棲社區合作夥伴至頂網，了解相關信息可以關注至頂網。