- 网络安全测试工具
常用的网络安全测试工具既包括应用于IT领域的测试工具,也包括针对工业控制领域的测试工具,主要类型包括系统发现命令行工具、端口扫描工具以及网络协议分析工具。
| 类型 | 功能 | 举例 |
| 系统发现命令行工具 | 用于系统发现和识别命令的工具。通过向任意主机发送请求并获取返回信息,来发现网络上的所有主机,包括被防火墙隔离的IP设备。此外,还能够进行IP冲突检测。 | ARP-SCAN、ARPing等 |
| 端口扫描工具 | 用于网络探测和安全审核的工具。可用于目标主机是否在线、端口开放情况、主机服务(包括应用程序名和版本)、操作系统等并对网络行为、性能、应用产生和接收的网络流量进行分析。 | Tcpdump、Nmap等 |
| 网络协议分析工具 | 可截取并显示网络数据包数据,分析网络实时流量、捕捉和查看公共网络协议和专有网络协议,包括无线网络数据包。主要用于网络故障的处理和分析、通信协议的开发和培训。 | Wireshark、Capsa Packet Sniffer、NetworkMiner、SnifferPass等 |
对工业控制系统的在线测试应极为慎重,通常测试应在离线或非真实运行的状态下进行。
- 工业控制网络安全漏洞分析技术
工控系统已被发现的漏洞,并且已经公布在专门的平台上,这些漏洞称为“已知漏洞”。对于已知漏洞,检测相对简单。而工业控制系统的一些漏洞被发现以前,对它们一无所知,即使发现一段时间后,也是束手无策,这些漏洞称为“未知漏洞”。未知漏洞危险极大,需要进行专门深度发掘才能发现。
(1) 已知漏洞的检测技术
A. 现状
| 序号 | 技术 | 说明 |
| 1 | 美国能源部SCADA测试平台计划(2008-2013) | 提供各种工控系统真实测试环境,实现对石油、电力等行业工控系统的安全测评。 |
| 2 | 欧洲SCADA漏洞检测平台 | 平台采用现场系统进行渗透测试,建立风险分析方法,测试、评估SCADA系统的安全性。 |
| 3 | 学术界工控系统漏洞检测技术研究院 | 搭建SCADA系统真实测试环境,模拟攻击行为,通过仿真和建模分析SCADA系统的安全性。 |
| 4 | 国际知名工业安全测试公司相关产品和解决方案 | (1)Achilles测试工具采用漏洞扫描和模糊测试的方法,测试工控系统中设备和软件安全问题; (2)ICS Sandbox测试平台采用渗透测试方法,通过模拟真实网络攻击,测试SCADA系统中关键基础设施的脆弱性; (3)Condenomicon Defensics工控健壮性/安全性测试平台采用基于主动性安全漏洞挖掘的健壮性评估与管理方案,与ISASecure合作,并遵循IEC 63443标准。 |
B. 工业控制系统漏洞检测的关键技术
- 构建工业控制系统漏洞库
由于通信协议的特殊性,传统漏洞库并不适用于工业控制系统漏洞测试领域,需要构建工业控制系统专有漏洞库。
- 基于工业漏洞库的漏洞检测技术
基于工业漏洞库的漏洞检测技术通过漏洞扫描引擎选用合适的规则,结合工业控制系统漏洞库,扫描系统中关键目标系统和设备的脆弱性。另外,需要完整支持Modbus、DNP3、Profinet等工业通信协议,以及支持ICMP Ping扫描、端口扫描等传统扫描技术。
漏洞检测的主要方法包括:直接测试、推理测试以及凭证测试三种。
(2) 未知漏洞的检测技术
传统信息的漏洞挖掘方法很难获取工控应用软件的源代码或目标文件,因此目前对工控系统未知漏洞的挖掘主要采用的是模糊测试(Fuzzing)的方法。模糊测试(Fuzzing)的详细介绍后面会有专门的笔记。
- 白名单技术
白名单是一个列表或者是实体的注册表,在列表上的实体是可以接受、获准或认可的。白名单的未知威胁防御技术是一种与黑名单思路截然相反的防御方式,它本身不需要分析和检测谁是威胁,只需关心谁不是威胁,就能做到安全防护效果。
白名单技术包含以下类型:应用程序白名单、用户白名单、资产白名单以及行为白名单。
- 防火墙技术
工业防火墙在种类方面与一般IT防火墙种类类似,总体上分为包过滤、状态包检测和代理服务器等几大类型。有关工业防火墙详细内容,后面会整理专门的笔记。
- 安全审计
安全审计是指对运维人员的操作权限进行控制,并记录和审查操作行为的过程。它解决了运维人员权限混乱、难以控制的问题,同时对违规操作行为进行控制和审计。安全审计系统有时也称为运行维护堡垒机(简称“堡垒机”)。
