HelenOT&核心基礎架構安全-分會場helen(2)（16頁）.pdf

《HelenOT&核心基礎架構安全-分會場helen(2)（16頁）.pdf》由會員分享，可在線閱讀，更多相關《HelenOT&核心基礎架構安全-分會場helen(2)（16頁）.pdf（16頁珍藏版）》請在三個皮匠報告上搜索。

1、OT&核心基礎架構安全卜嬋敏卜嬋敏Fortinet 華東區技術經理OT環境安全威脅環境安全威脅ICS 惡意軟件和攻擊平面惡意軟件和攻擊平面 在2018的ICS-CERT發布了114份威脅報告 ICS 惡意軟件非常先進 2010-Stuxnet 2013-Havex 2015-BlackEnergy2 2016-Crash Override/Industroyer 2017/2018-Triton 威脅報告分析結果:默認已知的用戶名密碼 配置錯誤/軟件Bugs 跨站腳本攻擊 信息泄露針對核心基礎架構的攻擊針對核心基礎架構的攻擊威脅是真實存在的威脅是真實存在的2015201420132010 St

2、uxnet破壞了伊朗的核計劃 紐約大壩閘門被破壞 德國鋼廠爐被毀 汽車變速器和制動器被控制 烏克蘭電網脫機 醫院藥物輸液泵被黑 密歇根州的交通燈被黑201820192017 默克制藥公司全球生產由于勒索軟件停止（損失10億美元）馬士基航運公司由于勒索軟件全球業務停擺（損失2.5億美元）Trisis/Triton：旨在危害工業生產系統安全的惡意軟件 全球鋁生產商由于勒索軟件關閉 IoT設備的搜索引擎 查找開放的端口和服務 允許攻擊者查找開放的系統 攻擊者可以找到的系統包括：電站,核心基礎設置,或其他開放的服務 包含攝像頭,路由器,服務器ShodanAutosploit 通過Shodan查找可被攻

3、擊的系統 通過Metasploits查找被攻擊的弱點 可發起大規模攻擊通用工控系統網絡架構通用工控系統網絡架構ICS 數字化攻擊鏈數字化攻擊鏈烏克蘭電網烏克蘭電網標準攻擊了解敵人的戰略了解敵人的戰略-知己知彼知己知彼 百戰不殆百戰不殆2016 2016 Analysis Report(SANS and EAnalysis Report(SANS and E-ISAC)ISAC)March 2015December 23rd,2015攻擊時間線計劃準備&數字化滲透攻擊開發和調優驗證ICS 攻擊步驟1-入侵(同標準 IT 環境下入侵做對比)步驟2-ICS 攻擊感染感染Microsoft Offic

4、e文件文件釣魚郵件釣魚郵件BlackEnergy 3VPN&秘鑰竊取秘鑰竊取網絡網絡&主機發現主機發現惡意固件開發惡意固件開發SCADA 劫持劫持斷路器打開命令斷路器打開命令修改修改UPS參數參數上傳固件上傳固件KillDisk改寫改寫Power Outage從IT網絡滲透到OT網絡Fortinets 參考架構參考架構2019 Fortinet Security Fabric Purdue Model,ISA-99,IEC-62443,風險管理框架風險管理框架SECURITYSAFETY特性特性安全對象優先級安全對象優先級中等中等,接受延遲接受延遲Availability requiremen

5、t非常高非常高接受延遲接受延遲Real-time requirement危急危急3-5 年Component lifetime超過20年定期定期/計劃性計劃性Application of patches慢/不頻繁定期委托第三方定期委托第三方Security testing/audit偶爾偶爾成熟度高成熟度高Security awareness逐漸增加逐漸增加可用性需求可用性需求實時性需求實時性需求組件生命周期組件生命周期安全意識安全意識安全測試安全測試/審計審計應用補丁應用補丁可用性可用性保密性保密性完整性完整性可用性可用性保密性保密性完整完整性性ITOTIT和和OT有何不同有何不同控制層次結

6、構的控制層次結構的Purdue模型模型制造系統的基本功能和組成框架在其他模型和行業中采用將設備和設備進行分層基于工廠技術的這種分割，ISA-99/IEC62443制造和控制系統安全委員會確定了水平和邏輯框架Level 5:企業Level 4:現場業務規劃和物流Level 3.5 OT 認證邊界Level 3:現場制造運營和控制Level 2:區域Level 1:基本控制Level 0:Process企業Zone生產 ZoneCell/Area Zone安全區域安全區域-SISHMISCADAHISTORIANHMI/SCADA MASTERPLC/RTU/IED傳感器/傳動器Purdue Mo

7、del和IT安全能力對應表EnterpriseZoneDMZOperations and ControlControl AreaZone(s)BoundaryLayersPhysical01Area2Site3IT4Corporate5企業級防火墻身份認證管理惡意行為發現和響應資產發現,可視化,分類終端防御咨詢集成和服務管理BasicLevel 3操作 DC 生產區域Level 3.5操作DC DMZ 管理區域FortiGateFortiLinkFortiSwitchPrivate VLANs微分段FortiSwtichRemote UserLevel 4External Enterprise

8、 LAN企業環境Level 5Internet DMZ Enterprise企業環境Remote Vendor區域控制區域和管道微分段物理和虛擬分段Engineering Server Zone HistorianServer Zone Application Server Zone Engineering WorkStation Zone Operator WorkStation Zone Domain ControllerFortiClientEMS ServerFortiAuthenticatorFortiManagerFortiAnalyzerFSSOFortiSandboxForti

9、SIEMFortiMailFortiWebEmail ServersWeb ServersEnterprise DesktopsBusiness ServersFSSOAuthentication Services&Domain ControllersLevel External Internet FortiSwtichFortiGateFortiGateFortiGateFortiGuard Threat Intelligence ServiceFortiGuardGlobal Intelligence將將FortinetFortinet的參考架構應用于的參考架構應用于PurduePurdu

10、e模型模型Wide Area Network MPLS,SD-WAN,3G,4G,APN,VPNADSL,Cable支持的協議支持的協議-BACnet DNP3 Elcom EtherCAT EtherNet/IP HART IEC 60870-6(TASE 2)/ICCP IEC 60870-5-104 IEC 61850支持的應用和供應商支持的應用和供應商-7 Technologies/Schneider Electric ABB Advantech Broadwin CitectSCADA CoDeSys Cogent DATAC Eaton GE Iconics InduSoft In

11、telliCom Measuresoft Microsys MOXA PcVue Progea QNX RealFlex Rockwell Automation RSLogix Siemens Sunway TeeChart VxWorks WellinTech Yokogawa深層包檢測(DPI)應用控制協議Modbus,IEC 60870-6(ICCP)and IEC.60870-5.104日志記錄到FortiAnalyzer，FortiSIEM和Syslog LONTalk MMS Modbus OPC Profinet S7 SafetyNET Synchrophasor針對已知威脅的

12、可見性和分段保護針對已知威脅的可見性和分段保護 使用攻擊PC來對PLC進行攻擊 FortiGate 進行攻擊防御switchHMIAttacker PCPLCFortiGateImpactDefendAttack現場現場DEMODEMO演示演示基于標準的工業架構框架基于標準的工業架構框架Enterprise Analytics(Private/Cloud/Hybrid)企業服務廣域網(WAN):物理或虛擬服務器ERP,EmailActive DirectoryCall Control(Hosted,on-prem,or Hybrid)云端訪問Cell/Area#1(冗余的星型拓撲)工業應用服務

13、器Gbps Link forFallover DetectionWebAppsExternalDMZ/Firewall物理或虛擬服務器/應用:補丁管理,應用更新防病毒服務器遠程桌面網關服務器Plant Cyber Security(Perimeter):Inter-Zone 流量分段ACLs,IPS,和 ISDVPN 服務Enterprise ZoneLevels 4-5Firewall(Active)Firewall(Standby)IndustrialDemilitarizedZone(IDMZ)物理或虛擬HMIs/服務器/應用:生產系統和應用網絡服務:DNS/AD/DHCP/AAA防止和

14、緩解操作系統故障Mobility Services無線連接,定位服務Plant Cyber Security(認證服務)基于角色的認證基于角色的VLAN 和系統訪問身份可以是用戶或設備Site OperationsLevel 3Radius(AAA)服務器SDN-ReadyArchitectureRASIndustrial ZoneLevels 0-2工廠生產網絡:無單點故障適合工業環境,DIN導軌安裝支持工業協議增強生產系統可用性彈性，靈活,無處不在數據分段、優先排序數據傳輸一致性連通性提供可見性并實現數據提取自動化快速部署簡單標準管理,數字工廠安全(工業級)控制信令檢測支持工業協議降低風險

15、東西向流量防護基于端口的安全和集中認證提供安全的遠程接入訪問帶有POE的工業交換機Cell/Area#2(環形拓撲)Drive ControllerDistributed I/OHMIControllerHMIDriveDriveControllerDistributed I/OHMIAccessSwitchesIdentityServicesWirelessNetworkPlant Analytics(Private/Cloud/Hybrid)Edge Analytics(IoT Edge Devices)Cell/Area#3(線性拓撲)Fiber PatchFiber PatchIndustrial Firewalls數據分析戰略，結構和管理