工业ICS高级可持续威胁有哪些
工业ICS高级可持续威胁有以下这些:
伪装攻击:通过指定路由或伪造假地址,攻击者以假冒身份与其他主机进行合法通信或发送假数据包,使受攻击主机出现错误动作,如IP欺骗。
探测攻击:通过扫描允许连接的服务和开放的端口,攻击者能够迅速发现目标主机端口的分配情况、提供的各项服务和服务程序的版本号以及系统漏洞情况,并找到有机可乘的服务、端口或漏洞后进行攻击。常见的探测攻击程序有Nmap、Nessus、Metasploit、Shad-ow Security Scanner、X-Scan等。
嗅探攻击:将网卡设置为混杂模式后,攻击者对以太网上流通的所有数据包进行嗅探,以获取敏感信息。常见的网络嗅探工具有SnifferPro、Tcpdump、Wireshark等。
解码类攻击:即用口令猜测程序破解系统用户账号和密码。常见工具有L0phtCrack、John the Ripper、Cain&Abel、Saminside、WinlogonHack等。此外,还可以破解重要支撑软件的弱口令,例如使用Apache Tomcat Crack破解Tomcat口令。
缓冲区溢出攻击:通过往程序的缓冲区写入超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其他的指令。缓冲区攻击的目的在于扰乱某些以特权身份运行的程序的功能,使攻击者获得程序的控制权。
欺骗攻击:利用TCP/IP本身的一些缺陷对TCP/IP网络进行攻击,主要方式有ARP欺骗、DNS欺骗、Web欺骗、电子邮件欺骗等。
拒绝服务和分布式拒绝服务攻击:这种攻击行为通过发送一定数量和序列的数据包,使网络服务器中充斥了大量要求回复的信息,消耗网络带宽或系统资源,导致网络或系统不胜负荷以至于瘫痪、停止正常的网络服务。常见的拒绝服务(Denial of Service,DoS)攻击有SYN Flooding、Smurf等。近年,DoS攻击有了新的发展,攻击者通过入侵大量有安全漏洞的主机并获取控制权,在多台被入侵的主机上安装攻击程序,然后利用所控制的这些大量攻击源,同时向目标机发起拒绝服务攻击,称之为分布式拒绝服务(Distribute Denial of Service,DDoS)攻击。常见的DDoS攻击工具有Trinoo、TFN等。
Web脚本入侵:由于使用不同的Web网站服务器和开放语言,网站中存在的漏洞也不相同,所以使用Web脚本攻击的方式也很多。例如黑客可以从网站的文章系统下载系统留言板等部分进行攻击,也可以针对网站后台数据库进行攻击,还可以在网页中写入具有攻击性的代码,甚至可以通过图片进行攻击。Web脚本攻击常见方式有注入攻击、上传漏洞攻击、跨站攻击、数据库入侵等。
0day攻击:0day通常是指还没有补丁的漏洞,而0day攻击则是指利用这种漏洞进行的攻击。提供该漏洞细节或者利用程序的人通常是该漏洞的发现者。0day漏洞的利用程序对网络安全具有巨大威胁,因此0day不但是黑客的最爱,掌握0day的数量也成为评价黑客技术水平的一个重要参数。
加强工业网络方法有以下这些:
工业主机白名单控制:工业主机由于长期不间断运行,不能及时打补丁,并且受到联网条件的限制,无法实时更新病毒库,因此传统杀毒机制不适用于工业主机。比较有效的方式是采用白名单控制技术,对工业软件相关的进程文件进行扫描识别,为每个可信文件生成唯一的特征码,特征码的集合构成特征库,即白名单。只有白名单内的软件才可以运行,其他进程都被阻止,以防止病毒、木马、违规软件的攻击。
工控协议识别与控制:为了保障数据传输的可靠性与实时性,工业生产网已发展了多套成熟的通信协议,主流的有几十种,大致分为工业总线协议和工业以太网协议两大类,如Modbus、S7、OPC、Profinet、IEC104等。工控协议的识别能力是安全设备工作的基础,也是评价产品能力的重要指标。
工控漏洞利用识别与防护:工控系统漏洞是工控网络安全问题的主要来源。由于工控设备很少升级或者不升级,因此普遍存在可被攻击的漏洞,而由于技术的专业性和封闭性,这些漏洞很容易被作为0day利用。因此工控安全产品对工控漏洞利用行为的识别能力,以及相应的防护能力,是工控安全防护能力建设的核心。
工控网络流量采集与分析:获取网络流量是发现网络攻击的前提,流量采集与分析广泛应用于网络安全方案,是一项比较成熟的技术。对于工控网络,除了基本的流量识别与统计分析外,还需要理解生产过程的操作功能码,根据业务逻辑判断是否发生异常。此外,根据设备间通信的规律建立流量基线模型,对多源数据进行关联分析,能够有效地识别异常行为和网络攻击。
工业网络安全态势感知:态势感知是安全防御的重要手段,对于工控网络,通过安全态势感知平台,可以直观地了解网络中的资产分布、漏洞分布、网络攻击事件,对网络的整体风险水平进行量化评估。态势感知平台需要多种核心能力支持,包括完善的数据获取能力、大数据分析与建模能力、网络攻击溯源分析能力、安全事件闭环处理能力等,是工控网络安全防护的核心产品。