工控系統(tǒng)攻擊行為分析

網(wǎng)絡(luò)攻擊可能來自多種原因，黑客、職業(yè)罪犯、遭公司解雇或?qū)静粷M而離開的員工、公司競爭對手等都可能發(fā)起網(wǎng)絡(luò)攻擊行為。有些攻擊行為是明顯的，能發(fā)現(xiàn)某些地方出現(xiàn)了問題，有些攻擊行為是隱秘的，用戶很難發(fā)現(xiàn)，比如入侵一臺控制器、PC或通信設(shè)備中，偷聽會話，竊取數(shù)據(jù)，甚至進行破壞操作。

網(wǎng)絡(luò)攻擊的基本步驟和方法同樣適用于工業(yè)控制系統(tǒng)，不過由于工業(yè)控制系統(tǒng)使用專門的系統(tǒng)和協(xié)議，其攻擊步驟和方法也有一定的差異性。針對工控系統(tǒng)的攻擊主要包括四個方面。

1.信息搜集。工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)、協(xié)議和系統(tǒng)都比較特殊，攻擊者要搜集到相關(guān)信息并不容易，但他們通常會從企業(yè)的公開信息、輪班時間表、合作服務(wù)和貿(mào)易往來，尤其是企業(yè)供應(yīng)商所提供產(chǎn)品的協(xié)議規(guī)范等入手，以了解控制系統(tǒng)相關(guān)設(shè)備的漏洞和后門。

2.網(wǎng)絡(luò)掃描。利用網(wǎng)絡(luò)掃描可以通過端口、協(xié)議等信息快速定位SCADA和DCS系統(tǒng)。值得注意的是，很多工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)協(xié)議對延時非常敏感，如果硬掃描，很可能導(dǎo)致整個網(wǎng)絡(luò)癱瘓。

3.賬戶破解。很多工業(yè)控制系統(tǒng)是基于Windows系統(tǒng)的，那些專門破解Windows賬戶信息的方法和工具也可以應(yīng)用到工控系統(tǒng)上。尤其是運行在WindowsOLE和DCOM上的OPC系統(tǒng)，只要通過主機認(rèn)證就可以全面控制OPC環(huán)境。所以從功能上將物理設(shè)備和邏輯設(shè)備全部隔離到安全區(qū)域是非常重要。NIST800-82（工業(yè)控制系統(tǒng)安全防護指南）建議采用賬戶復(fù)合認(rèn)證方式，也就是說，即使知道了某個用戶名或密碼，也很難通過賬戶認(rèn)證。

4.實施攻擊。如前所述，一次簡單的網(wǎng)絡(luò)掃描就可以破壞工業(yè)控制系統(tǒng)網(wǎng)絡(luò)。因為工業(yè)控制系統(tǒng)網(wǎng)絡(luò)協(xié)議非常敏感，信息流稍有變化，協(xié)議就會失效。所以，利用硬掃描來破壞系統(tǒng)，利用軟掃描來偵測信息成為安全隱患。另外，風(fēng)險還存在于通過防火墻實施網(wǎng)絡(luò)掃描，因為通過防火墻的開放端口進行分組交換更加容易。一旦掃描通過，黑客就可偽裝合法通訊并實施DoS攻擊。