针对工业控制系统
协议的异常行为分类1. 分类方法论 (基于威胁方式的分类)要全面地认识一个系统可能存在的安全问题,除了要理解上述的基本属性,也应该考虑 其他一些用于描述信息安全 不同特性的属性。例如:Sun 公司一份关于 Solaris 上加固企业计 算的技术报告[SUN]中,对通过窃听技术截获网络数据,通过中间人攻击修改网络数据,通过拒绝服务中断网络流,通过欺骗伪造认证(原文使用 authority,实际上应该是 authentication) 进行了分析,这四种攻击分别违反了保密性、完整性、可用性和认证四种安全属性。 前文中,我们对几种典型的工控协议中存在的若干安全问题进行了研究,指出了与这些 安全问题相关的可疑异常行为。本节,我们根据各种可疑异常行为对六种安全属性的违反情 况,对其进行分类,如图 3.6 所示。这六种安全属性是:保密性、完整性、可用性、认证 (authentication)、授权(authorization)和不可抵赖性(non-repudiation)。 图 3.6 针对 6 种安全属性违反情况的图示 以工控系统为例,认证的重要性在于,保证收到的消息来自合法的用户,允许未认证用 户向设备发送控制命令会造成巨大的危害;授权的重要性在于,保证不同的特权操作需要由 拥有不同权限的认证用户来完成,可降低误操作与内部攻击的概率;不可抵赖性的重要性主 要体现在事后审计上。对于工控系统,总的来说:不可抵赖性的重要性最低,授权、认证、 机密性、完整性、可用性依次增强。 2. 异常行为分类举例一:针对 Modbus 的分类** 根据前文介绍的异常行为分类方法论,本节根据对上述 6 种安全属性的违反情况,对 MODBUS 协议中可能出现的异常行为(表格 15)进行分类,如下表所示。其中,对应位置 的“√”表示可能违反指定的安全属性。 表格 15 针对 MODBUS 协议的异常行为分类 序号** 保密性** 完整性** 可用性** 认证** 授权** 不可抵赖性
工业控制系统漏洞的统计分析
截止到 2012 年 11 月底,绿盟科技安全漏洞库中共收录到 216 个与工业控制系统相关的 漏洞,对这些漏洞我们主要按发布时间、威胁类型、厂商分布、厂商所属地区、受影响的对 象分类以及漏洞的攻击途径等几个角度进行了统计分析,其结果如下:
按发布时间分布情况分析
图 3-7 给出了从 2007 年到 2012 年 11 月之间所发布的工业控制系统相关公开漏洞按年 度进行统计分析的结果。从图中可以很明显地看出:在 2011 年之前,公开披露的工业控制系 统相关漏洞数量相当少。但在 2011 年出现了井喷现象,并持续到 2012 年。这显然和 2010 年的 Stuxnet 蠕虫引起人们对工业控制系统安全问题的广泛关注有关。我们预计至少在未来一 段时间内,工业控制系统仍然将是漏洞研究者们感兴趣的话题。 公开漏洞的年度统计图 2007 2008 2009 2010 2011 2012 漏洞数 1 4 3 4 123 81 图 3.7 公开漏洞数量的年度统计分析图
按威胁类型分布情况分析
按照漏洞可能造成的危害,我们将其分为越权执行、越权写入、越权读取、拒绝服务四 大类威胁: 1、越权执行,指的是缓冲区溢出、命令执行、SQL 注入等可以直接对系统造成较大程度 控制的漏洞。 2、越权写入,指的是能以某种方式在系统上写入文件、修改用户密码和系统配置等,但 无法直接执行代码的漏洞。 3、越权读取,指的是能读取指定或任意文件、内存信息等的漏洞。 4、拒绝服务,指的是可导致进程崩溃、死锁等,使软件无法正常工作的漏洞。 根据我们对工业控制相关漏洞按威胁类型的分析结果(图 3.8 所示)可知,危害最严重的 越权执行类漏洞数量也是最多。 而通过对这类漏洞的详细分析发现,这类漏洞又以缓冲区溢出类漏洞最多,占该类漏洞 的一半以上。从整体上看,近年来缓冲区溢出类漏洞无论是绝对数量还是相对比例都呈下降 趋势,而在工业控制系统领域却出现较多缓冲区溢出类漏洞的现象,我们认为其主要原因可 能是因为以前研究者对此类漏洞关注较少,所以很多软件中累积了大量此类漏洞,而当研究 者们开始对这些软件进行检查时,积累多年的漏洞就暴露了出来。 另外,很多软件为了实现通过浏览器控制管理的功能,自己实现了 WEB 服务器。我们发 现这些自己实现的 WEB 服务器几乎都存在安全漏洞。特别是目录遍历问题,极其普遍。 WEB 服务器属于较容易出漏洞的软件,Apache、IIS 等主流 WEB 服务器软件历史上都 出过很多严重安全问题,软件开发者和漏洞研究者们配合,修改了很多年,到今天才做到相 对比较安全。而由于工业控制系统软件的开发者通常不具备 WEB 服务器的安全开发经验,所 以自行实现的 WEB 服务器很难做到安全。我们建议开发者最好参考一些比较成熟的开源轻量 级 WEB 服务器的代码,而不要完全自己从头开发。 另外,身份验证、权限管理等相关漏洞也相对较多。 公开漏洞的威胁类型分布图 其他 拒绝服务 1.4% 越权读取 14.8% 越权执行 越权写入 61.6% 越权执行 越权写入 越权读取 拒绝服务 其他 图 3.8 公开漏洞按威胁类型分布的统计分析
按厂商分布情况分析
图 3.9 通过对漏洞的统计分析,给出了公开漏洞所涉及的主要工业控制系统厂商及各厂商 系统所发现漏洞占漏洞库中所有漏洞的比例。但需要说明的是:各厂商产品的漏洞数量不仅 与产品自身的安全性有关,而且也和厂商的产品数量、产品的复杂度、受研究者关注程度等 多种因素有关。因此,我们并不能简单地认为公开漏洞数量越多的厂商产品越不安全。 公开漏洞所涉及的主要厂商(TOP 10) 其他 21.3% 西门子 德国3S智能软件 北京三维力控科技 施耐德电气 14.4% 北京亚控科技 DATAC 研华股份 Measuresoft 4.6% 10.6% 4.6% 西门子 施耐德电气 研华股份 DATAC Measuresoft Sielco Sistemi 北京亚控科技 北京三维力控科技 德国3S智能软件 InduSoft 其他 图 3.9 公开漏洞所涉及的主要工业控制系统厂商
按厂商所属地区情况分析
在公开的工业控制系统漏洞中,中国(含港、澳、台地区)的厂商约占五分之一(如图
3.10 所示),但结合市场份额和产品数量等因素综合来看,这个比例其实并不算少。事实上, 由于语言等原因,很多国内工业控制软件(这里主要指大陆地区厂商的 ICS 软件)并未被国 际上的安全研究者所分析,否则这个比例可能更大。 为了解中国大陆地区工业控制系统软件安全的真实情况,我们对 6 家大陆地区主要工业 控制软件提供商的产品进行了为期 1 个月的尝试性分析,在其中 5 家厂商的产品中已发现了 多个严重安全漏洞。
相关漏洞的厂商所属地区分布
国内 19.0%
国外 81.0%
国外 国内
图 3.10 相关漏洞涉及的 ICS厂商所属地区分析
