ICS工控网络安全的奇妙探索

前期借助项目机会，有幸参与到ICS工业控制领域网络安全实践的探索。现回顾一些令人比较兴奋和眼前一亮的知识点：

Evil PLC Attack

从传统资产权重视角看待ICS网络，PLC往往是攻击者的重点目标，如震网病毒造成PLC工作状态异常等。而结合Claroty Team82研究组分析发现，已有红蓝对抗体系尝试从PLC的数据交互模式角度看待安全威胁：一旦PLC被用作武器，由PLC出发攻击EWS，借助EWS终端可能会造成更大的危害和损失。因此我们在安全体系建设中应着重关注和防范此类攻击行为。

（图片引用自Claroty Team82研究组分析报告）

Evil PLC Attack是一种典型的PLC武器化手段，通过PLC和EWS（工程师工作站）之间的upload数据交互进行恶意程序传播，借助metadata和Original textcode等数据块夹带恶意代码，并利用EWS工作站应用程序的漏洞（缓冲区溢出、反序列化、关键文件提取等），实现EWS工作站终端恶意代码执行。（终究离不开人性的弱点，EWS工作站相关人员经常依赖PLC端保存的原始代码，而不会信任自己终端本地保存的版本，因此upload过程会时常产生且不会受到严格限制和拦截。）

附上PLC和EWS之间通信涉及的数据块：

三种非常典型的Evil PLC Attack场景，可应用在红蓝攻防体系中，包括：Initial Access获取初始访问权、Attacking Traveling Integrators 攻击厂房内运维集成商、Honeypot蜜罐诱捕反制。

（图片引用自Claroty Team82研究组分析报告）

（图片引用自Claroty Team82研究组分析报告）

（图片引用自Claroty Team82研究组分析报告）

MITRE ATT&CK for ICS

借助MITRE ATT&CK模型在ICS领域的探索，尝试映射威胁扩散面。

（图片引用自Dragos威胁分析团队网站页面）

ICS工业控制领域的MITRE ATT&CK模型详细展示了工控安全领域攻防技战法，更加专注于工业领域的特定攻击方式和攻击指令，比如firmware固件持久化、合作运维人员投毒、程序下载横向移动、PLC运行模式篡改等。根据NIST 800-82和IEC 62443等工业领域标准文件，梳理ICS工业控制领域的威胁，其来源通常是三类：外部攻击者、内部员工、错误操作或异常配置等。我们可以根据不同威胁来源所处物理位置、可造成扩散范围增大的技战术手段，结合企业IT和OT网络拓扑，映射威胁地图进行狩猎。

Anomaly detection

借助机器学习的Anomaly detection异常检测方法，学习baseline行为基线，并发现异常。在应对从前未知的威胁时，最有效的检测方法之一是识别资产、区域和工业网络其他组件之间典型通信的偏差。但是，鉴于这些环境的规模和复杂性，每个区域的 "正常 "情况可能大不相同，因此需要联合样本学习和业务确认。

（图片引用自geeksforgeek异常检测算法）

网络入侵者使用已知技术（如网络钓鱼或漏洞利用）进入工业网络并驻扎数周、数月甚至数年的情况并不少见。这种长时间的存在，使得入侵者能够从网络中收集到潜在的有价值信息，而不会提供被识别为已知威胁特征的有效载荷。另外在某些情况下，配置更改和固件升级等看似常规的操作实际上可能是离散的威胁行为者为避免被发现而采取的谨慎措施。因此通过行为模式的学习和分类，识别IT和OT特定网络入侵方法背后的行为模式，可使得安全团队能够检测并消除隐蔽威胁行为者的存在。

零信任思维保护legacy asset遗留资产

借助零信任的思维，利用Applocker和软件限制策略解决遗留（老旧）资产安全隐患。

遗留资产在各个行业中均是企业安全风险管理上的重要隐患和长期痛点。很多资产识别和风险分析解决方案采用定期漏洞扫描、虚拟补丁、区域隔离等方式进行遗留资产管理和风险规避。前一阵在相关文献中看到了“利用零信任的思路管理遗留资产”，觉得比较有新意，因为它能够借助资产本身操作系统特性建立起白名单防护，而不会受限于第三方软件的系统版本限制。其中，Applocker利用白名单技术允许指定文件在系统上运行，可在一定程度上防护恶意程序的植入运行和扩散，针对文件签名、文件名、文件hash等进行权限管控，并且按照用户/组进行分配。（很不幸的是win xp系统并不支持Applocker，不过好在，还有Software Restriction Policy软件限制策略可用。）

声明：文章仅应用于知识分享，不会应用于商业目的。引用安全厂商相关图片，如有侵权，请联系删除。

原文始发于微信公众号（道哥的谜底）：ICS工控网络安全的奇妙探索