工控网络安全测试

©2012WurldtechSecurityTechnologiesInc.–ProprietaryandConfidentialPage1WurldtechAchilles——Security&RobustnessTestingAchilles测试平台简介达信通成科技（北京）有限公司电话：86-10-62358098Email：sales@dtnetworks.com.cn©2012WurldtechSecurityTechnologiesInc.–ProprietaryandConfidentialPage2AGENDAWurldtech公司工控网络面临的安全威胁Achilles测试平台Achilles测试方法©2012WurldtechSecurityTechnologiesInc.–ProprietaryandConfidentialPage3Wurldtech公司Wurldtech公司成立于2007年，总部位于加拿大的温哥华。Wurldtech通过为工控领域提供丏业的网络安全测试和认证解决斱案，是国际公认的工业网络的安全丏家WurldtechAchilles认证已成为工业自劢化安全领域最权威的国际认证©2012WurldtechSecurityTechnologiesInc.–ProprietaryandConfidentialPage4Wurldtech应用领域与客户Wurldtech应用领域工控设备商西门子、ABB、EMERSON……工业企业电力、水力、石油、冶金、化工……集成商和服务供应商测评机构、实验室……©2012WurldtechSecurityTechnologiesInc.–ProprietaryandConfidentialPage5Wurldtech应用领域与客户Achilles测试平台是工业自动化领域权威的设备安全性测试平台，主要用户包括：•西门子SIEMENS•ABB•霍尼韦尔Honeywell•爱默生EMERSON•横河电机YOKOGAWA•英维思INVENSYS•申舒斯SENSUS•风河系统WINDRIVER•黑马HIMA•壳牌石油SHELL•英国石油BP•沙特国家石油ARAMCO……•雪佛龙CHEVRON•贝尔BELL•阿克苏诺贝尔NOBLE•库珀公司COOPER•南斱电力SOUTHENCOMPANIES•拉伯雷立克LABORELEC•（根据协议，部分客户名单需保密无法展示）©2012WurldtechSecurityTechnologiesInc.–ProprietaryandConfidentialPage6Achilles认证基于Achilles测试平台的权威性，Wurldtech可以提供业内最权威的安全认证：•Achilles认证已经成为事实上的行业标准，IEC（国际电工委员会）62443-2-4即将颁布，该标准完全参照Achilles实斲认证；•Achilles测试平台是ISA（国际自劢化学会）的SecureEDSA认证使用工具；•WIB（国际仪表工具使用者协会）与Wurldtech合作制定了首个工厂信息安全标准；•日本已经规定从2013年起所有工控产品必须通过完全参照Achilles认证的国家标准才能在国内使用；•十大工控设备生产厂商已经有八家采用Achilles认证；•一些全球巨头已经将Achilles认证作为企业的强制性标准，要求所有供货商必须通过该认证。©2012WurldtechSecurityTechnologiesInc.–ProprietaryandConfidentialPage7AGENDAWurldtech公司工控网络面临的安全威胁Achilles测试平台Achilles测试方法©2012WurldtechSecurityTechnologiesInc.–ProprietaryandConfidentialPage8工控网络特点（相对于传统IT网络）强调实时I/O能力，而非更高的网络安全能力极少安装普通的防病毒软件，就算安装了也难以实时更新病毒库工业控制网络各个子系统乊间缺乏有效的隔离现场设备有网络或USB端口广泛支持OPC协议，大量采用现场管理工作站不同厂商控制设备采用不同通信协议，很多协议不公开现场设备越来越多具备无线接入功能各个分厂、子单位乊间采用无线连接作为备份通信线路操作人员缺乏应对黑客攻击的警惕性和经验©2012WurldtechSecurityTechnologiesInc.–ProprietaryandConfidentialPage9工控网络安全状况不容乐观控制设备接入网络的数量越来越多•工业控制设备接入网络的数量从2007年的130万增加到了2012年的450万，年增长28%（来源：VDCResearch）网络安全威胁越来越多•美国计算机安全应急响应组US-CERT公开披露从2011年到2012年安全漏洞跃升了900%！安全忧患意识迅速增长•调查显示，超过33%受访的工业管理者相信针对工业基础设斲的网络攻击在上升•其中40%预期在一年内企业将面临一场大型网络攻击（来源：国际研究和策略中心CenterforStrategicandInternationalStudies）©2012WurldtechSecurityTechnologiesInc.–ProprietaryandConfidentialPage10现状：大量未受保护的设备接入网络©2012WurldtechSecurityTechnologiesInc.–ProprietaryandConfidentialPage11现状：工控网络设备缺陷Wurldtech多年来用Achilles测试平台对全世界前十位工控产品供应商的测试结果，结果非常惊人：•几乎所有的现场控制设备和网络都有不同程度的安全问题；•阿基里斯测试平台已经帮劣许多工控产品供应商改进了他们的产品；•阿基里斯测试平台已经发现了超过350个漏洞，防止了大量攻击事件；•阿基里斯测试平台已经帮劣许多最终用户修复了网络安全问题，有的用户甚至指定所有供应商的产品都需要通过阿基里斯测试平台的测试，例如壳牌石油公司和阿克苏诺贝尔公司。©2012WurldtechSecurityTechnologiesInc.–ProprietaryandConfidentialPage12对工控网络的攻击正在悄然变化攻击种类的变化：以前的攻击大多数是偶然的，很多攻击来自于企业内部，有的是员工蓄意报复，有的只是不小心，总体上攻击的技术层次不高，造成的破坏不大；现在的攻击大部分为蓄意的，绝大部分来自于外部，技术层次非常高，破坏性巨大攻击者的变化以前的攻击主要来自于普通个体黑客或企业内部员工；现在的攻击者主要来自于黑客组织、竞争对手被攻击对象的变化以前攻击对象主要是大型网站和银行系统；现在的攻击对象已经延伸到大型生产企业，甚至政府©2012WurldtechSecurityTechnologiesInc.–ProprietaryandConfidentialPage13工控网络安全问题越来越受到关注Brum2600BlackhatConference:•“事情开始变得有趣了…讨论议题就像是讨论‘用玱璃杯装着的水是多么的安全’，英国水资源管理部门讨论一次用无线电射频系统来控制的系统故障分析，这种系统可以被滥用、擅自试用和轻易地破坏”•Source:TheRegister,October20,2003Nationsprepareforcyberwar•“就算黑客不具备通过网络攻击置人于死地的能力，但毫无疑问他们已经越来越具备摧毁性。例如8月份对沙特Aramco石油公司的攻击，瘫痪了3万台电脑；一个月后，一系列的攻击让美国最大的几家银行网站瘫痪。”•Source:CNNMoneyTechJanuary7,2013©2012WurldtechSecurityTechnologiesInc.–ProprietaryandConfidentialPage14工控网络安全事件（水处理）SaltRiverProjectSCADAHack(2010.1.3112岁男孩侵入亚利桑那州的罗斯福大坝，150万英亩的水域，可把整个凤凰城淹掉，）MaroochyShireSewageSpill（Maroochy郡水污染，被解雇的员工侵入控制系统，寻致数百万升污水直接流入公园）SoftwareFlawMakesMAWaterUndrinkableTrojan/KeyloggeronOntarioWaterSCADASystemVirusesFoundonAuzzieSCADALaptopsAudit/BlasterCausesWaterSCADACrashDoSattackonwatersystemviaKoreantelecomPenetrationofCaliforniairrigationdistrictwastewatertreatmentplantSCADA.SCADAsystemtaggedwithmessage,IenterinyourserverlikeyouinIraq.©2012WurldtechSecurityTechnologiesInc.–ProprietaryandConfidentialPage15工控网络安全事件（石油化工）ElectronicSabotageofVenezuelaOilOperationsCIATrojanCausesSiberianGasPipelineExplosionSaudi-Aramco（2011）：ApreviouslyunknowngroupcalledCuttingSwordofJusticeclaimedresponsibilityfortheattack,whichaffectedthreeinfouroftheestimated40,000workstationsusedbytheoilgiantVirusInfectionofOperatorTrainingSimulatorElectronicSabotageofGasProcessingPlantSlammerImpactsOffshorePlatformsSQLSlammerImpactsDrillSiteCodeRedWormDefacesAutomationWebPagesPenetrationTestLocks-UpGasSCADASystemContractorLaptopInfectsControlSystem©2012WurldtechSecurityTechnologiesInc.–ProprietaryandConfidentialPage16工控网络安全事件（电力）Stuxnet:(震网病毒，2010)：HighlysophisticatedwormthattargetedSiemensS7PLCs，DamageduraniumenrichmentinfrastructureinIranSlammerCausesLossofCommstoSubstationsSlammerInfectsOhioNuclearPlantSPDSIranianHackersAttempttoDisruptIsraelPowerSystemUtilitySCADASystemAttacked2003Slammerworm（targetsMicrosoftSQLservers）penetratedtheDavis-BessenuclearplantinOhio.ItdidsofirstthroughtheunsecurednetworkofaDavis-Bessecontractor,thenhitchedaridealongaT1high-speedphonelinebetweenthatnetworkandDavis