工控ICS恶意代码包括哪些类型
工控ICS恶意代码包括以下类型:
Rootkit:Rootkit被看作信息安全世界中复杂程度较高的恶意代码之一。对于试图在一段较长的时间内驻留在目标机器内的恶意代码,都可以将其归为Rootkit。除了能够持续驻留在主机中,Rootkit通常还利用反病毒引擎对抗技术来规避检测。Rootkit通常需要获取被感染主机的root或者admin权限,这也是Rootkit得名的原因。
病毒:病毒同用户的交互主要发生在攻击者试图渗透被攻击者的机器时。病毒能够在被攻击者的主机中对从引导扇区到可移动介质,再到二进制文件的多个不同位置进行感染。就像本章所提到的其他形式的恶意代码那样,病毒同样会对工控系统网络与设备造成影响。
广告软件与间谍程序:广告软件,或者说是广告支持软件,是通过播放广告的方式帮助恶意代码的广告商或开发者牟取利益的恶意代码。广告既可以自动包含在软件自身界面中显示,也可以借助Web浏览器显示,还可以借助操作系统中的弹出窗口或者“不可关闭的窗口”进行显示。大多数被分类为恶意代码的广告软件会使用间谍软件或者其他软件采集用户个人信息。
蠕虫:蠕虫是一种已经存在多年的典型恶意软件。蠕虫的主要功能是自我复制,通常借助两种方法实现计算机网络和类似于U盘的可移动介质。蠕虫的独特之处在于,它无须附加到已有的程序就能正常工作。蠕虫可以完全独立于任何应用程序运行。借助网络,蠕虫的影响可更加深远,几乎所有在网络中传播的蠕虫都会导致网络延迟,从而影响控制网络中远程操作的正常进行。
木马:木马一般指木马病毒。 木马病毒是计算机黑客用于远程控制计算机的程序,将控制程序寄生于被控制的计算机系统中,里应外合,对被感染木马病毒的计算机实施操作。一般的木马病毒程序主要是寻找计算机后门,伺机窃取被控计算机中的密码和重要文件等。
勒索软件:勒索软件是一种通过限制受害者访问感染勒索软件的计算机,来向受害者索要赎金的恶意代码,而用户重新获取访问权限的唯一方法就是支付赎金。大多数勒索软件对其感染的硬盘驱动器中的内容进行了加密,只有在受害者支付赎金后攻击者才会赋予受害者访问权限。由于比特币等数字货币的流行,自2013年以来,勒索软件变得越来越流行。
加强工业网络方法有以下这些:
工业主机白名单控制:工业主机由于长期不间断运行,不能及时打补丁,并且受到联网条件的限制,无法实时更新病毒库,因此传统杀毒机制不适用于工业主机。比较有效的方式是采用白名单控制技术,对工业软件相关的进程文件进行扫描识别,为每个可信文件生成唯一的特征码,特征码的集合构成特征库,即白名单。只有白名单内的软件才可以运行,其他进程都被阻止,以防止病毒、木马、违规软件的攻击。
工控协议识别与控制:为了保障数据传输的可靠性与实时性,工业生产网已发展了多套成熟的通信协议,主流的有几十种,大致分为工业总线协议和工业以太网协议两大类,如Modbus、S7、OPC、Profinet、IEC104等。工控协议的识别能力是安全设备工作的基础,也是评价产品能力的重要指标。
工控漏洞利用识别与防护:工控系统漏洞是工控网络安全问题的主要来源。由于工控设备很少升级或者不升级,因此普遍存在可被攻击的漏洞,而由于技术的专业性和封闭性,这些漏洞很容易被作为0day利用。因此工控安全产品对工控漏洞利用行为的识别能力,以及相应的防护能力,是工控安全防护能力建设的核心。
工控网络流量采集与分析:获取网络流量是发现网络攻击的前提,流量采集与分析广泛应用于网络安全方案,是一项比较成熟的技术。对于工控网络,除了基本的流量识别与统计分析外,还需要理解生产过程的操作功能码,根据业务逻辑判断是否发生异常。此外,根据设备间通信的规律建立流量基线模型,对多源数据进行关联分析,能够有效地识别异常行为和网络攻击。
工业网络安全态势感知:态势感知是安全防御的重要手段,对于工控网络,通过安全态势感知平台,可以直观地了解网络中的资产分布、漏洞分布、网络攻击事件,对网络的整体风险水平进行量化评估。态势感知平台需要多种核心能力支持,包括完善的数据获取能力、大数据分析与建模能力、网络攻击溯源分析能力、安全事件闭环处理能力等,是工控网络安全防护的核心产品。