概述
⼯控系统资产构成复杂、数量巨⼤,给资产管理带来了巨⼤挑战。在不具备⾃动化资产探测发现⼯具⽀撑的情况下,资产的登记、管理主要依赖⼈⼯,⽽⼯业企业普遍只关⼼产量和效率,对于⼯控系统持有“能⽤就⾏”的态度,由于⼯控系统均是⼯业级品质,长久运⾏也不会轻易出现故障,在⼯控系统正常运⾏的情况下并不会主动关⼼资产属性,资产出现异常时也直接由供应商单点修复进⾏原件替换,经年累⽉运⾏后,原始资产明细丢失或未及时更新维护,导致⼯控系统中资产⽆⼈管理的情况普遍存在。
本⽂重点介绍⼯控系统资产主动探测技术,解决⼯控系统中资产难管理的问题。
资产探测技术原理
⼯控系统资产探测的场景主要包括:设备接⼊互联⽹探测和⼯业企业内部探测。设备接⼊互联⽹探测,要求在海量的⽹络空间中快速、⽆损发现联⽹的⼯控设备。⼯业企业内部探测,要求在企业的局域⽹空间中限速、⽆损发现⼯控设备。 针对上述两种资产探测的场景,我们设计了扫描探测引擎,该引擎通过Web代理获取扫描任务,并返回扫描进度和结果。 基于流⽔线作业的并⾏⽆损扫描探测技术
针对⽹络空间⼯控设备快速、⽆损探测的问题,本⽂提出⼀种基于流⽔线作业的并⾏⽆损扫描探测技术,可以快速⽆损识别⼯控设备。
图1、资产探测的流⽔线作业流程
⾸先,系统采⽤了分布式并⾏扫描技术,每个扫描代理主动向任务中⼼请求待扫描的任务,扫描到数据后反馈,扫描代理动态可扩展。
其次,扫描代理中的扫描引擎采⽤了流⽔线作业技术,将扫描探测过程拆分为端⼝扫描、协议识别、设备识别、漏洞验证等多个步骤,每个步骤作为流⽔线的⼀个环节。端⼝扫描,会反馈活跃的IP和端⼝;协议识别,会反馈活跃的协议、服务和APP版本;设备识别,仅会对有限的⼯控协议进⾏深度交互,反馈设备的类型、⼚商、型号和固件版本;漏洞验证,会根据上述获取的协议、APP版本和固件版本,选择⽆损的漏洞进⾏漏洞验证,精准识别漏洞。采⽤流⽔线作业式的扫描技术,每个环节的扫描任务量指数级递减,可以快速、精准的发现资产和漏洞。 最后,扫描引擎的漏洞验证模块采⽤了⽆损探测技术,将设备的⼚商、型号、固件版本和APP版本去匹配查询漏洞库,获取设备的漏洞,同时对验证过程⽆损的漏洞进⾏漏洞验证。在整个漏洞发现过程中,没有对⼯控设备发任何带有攻击
获取设备的漏洞,同时对验证过程⽆损的漏洞进⾏漏洞验证。在整个漏洞发现过程中,没有对⼯控设备发任何带有攻击性的漏洞验证报⽂,保证了⼯控设备的⽆损探测。
针对局域⽹空间⼯控设备限速、⽆损探测的问题,可在端⼝扫描、协议识别、设备识别和漏洞验证的各环节实现限速管理,在保证⽆损探测的同时限制扫描带宽,保障⼯业企业的主流业务正常运⾏。
基于⼯控协议深度交互的设备识别技术
针对⼯控设备的⽆损识别问题,本⽂提出⼀种基于⼯控协议深度交互的设备识别技术,通过⼯控协议深度交互,模拟PLC编程软件与被扫描设备协议交互,读取设备型号、固件版本等信息,实现设备识别。
1)施耐德PLC设备识别
通过modbus协议深度交互,模拟Unity Pro XL软件与被扫描设备交互。该软件使⽤modbus 90功能码进⾏通信,协议内容⽆加密、⽆认证,可以仿真交互。
通过modbus 90功能码进⾏⾝份识别与握⼿请求,读取CPU模块、内存卡和⼯程项⽬信息,通过modbus 43功能码读取设备型号、固件版本号等信息。
表1、modbus探测报⽂组合
图2、施耐德PLC modbus协议探测实例
2)西门⼦PLC设备识别
通过S7协议深度交互,模拟STEP7或TIA Portal软件与被扫描设备交互。这两款软件均使⽤S7协议进⾏通信,协议内容⽆加密、⽆认证,可以仿真交互。
针对S7协议扫描时,先进⾏TPKP和COTP连接,暴⼒破解COTP报⽂中的Source TSAP和Destination TSAP字段,通过多次尝试上述两个字段的不同的值,建⽴起S7协议的交互会话。
图3、西门⼦PLC S7协议暴⼒破解COTP的字段
通过S7协议的功能函数读取系统状态列表SSL(System State List)的条⽬,西门⼦PLC有差不多1000个SSL条⽬;另外,还可以通过S7协议的功能函数对西门⼦PLC特定的区块进⾏枚举。
在西门⼦S7系列PLC中,⽤户在通过STEP7以及TIA Portal软件定义的PLC⼀些功能,在PLC内部主要是以不同的区块存在,已知的区块有如下⼏种:
◇组织块(OB)(主程序块,负责所有FC程序块的调⽤)
◇数据块(DB)(⽤于存放⽤户和系统定义的变量数据)
◇程序块(FC)(由⽤户编写的程序块)
◇功能块(FB)(由⽤户编写的专⽤数据块)
◇系统程序块(SFC)(调⽤系统某些功能时⾃动创建)
◇系统功能块(SFB)(调⽤系统某些数据功能时⾃动创建)
◇系统数据块(SDB) (由编程软件⾃动⽣成主要存放PLC的硬件组态等信息,⽤户⽆法直接打开和更改)
以SDB 2000块为例⼦,如果该PLC内有PROFIBUS slaves则SDB 2000块就会存在,同样在枚举SDB块的LIST时也会发现存在该块,那么就能获取到SDB 2000的Block info。
发现存在该块,那么就能获取到SDB 2000的Block info。
表2、S7探测报⽂组合
图4、西门⼦PLC S7协议探测实例
资产探测技术应⽤
⼯控系统资产主动探测技术已经应⽤于威努特多款产品中,包括:⼯业互联⽹雷达、⼯控等保检查⼯具箱、统⼀安全管理平台、⼯业安全威胁态势感知平台。
⼯业互联⽹雷达
威努特⼯业互联⽹雷达是为政府、监管部门、能源等⼤中型企事业单位提供⼯业互联⽹资产探测、漏洞预警与宏观安全形势展现等服务的技术平台。该平台⽀持Siemens S7、Modbus、IEC 60870-5-104、DNP3等43种以上的⼯控协议指纹识别,⽀持⼯控设备⽆损漏洞探测,可实现全球⼯控设备信息和漏洞信息的隐匿探测及全局采集,同时准确定位⼯控设备。其搜索内容全、范围⼴、效率⾼,可⽀撑监管单位完成安全监测、检查、整改的闭环⼯作,对于评估⼯业控制系统的安全性,推动国家关键信息基础设施的⽹络安全保障⼯作具有极为重要的意义。
图5、⼯业互联⽹雷达-联⽹设备搜索引擎截图
⼯控等保检查⼯具箱
威努特公司作为公安部指定⼯控等保检查⼯具箱研制单位,依据《信息安全技术⽹络安全等级保护基本
要求》、《⼯控系统安全等级保护检查⼯具技术规范》等权威标准开展⼯具箱设计和开发⼯作,本⼯具箱结合各类⼯业环境特点,融⼊威努特在⼯控安全领域等级保护、风险评估、安全咨询等服务经验,实现⼯控等级保护⼯作中“定级、备案、测评、整改、安全⾃查和监督检查”的全流程管理,为监管检查、企业⾃查、以及安全评估⼯作提供技术⽀撑。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议