什么是工业控制系统网络杀伤链模型
工业控制系统网络杀伤链是由SANS研究所的Michael J. Assante和Robert M. Lee撰写并于2015的发布的一个报告,该报告介绍了攻击者攻击ICS的具体过程,并将这些过程进行抽象,形成ICS网络杀伤链,报告介绍了ICS杀伤链的两个阶段,并通过Havex和Stuxnet的案例分析来演示ICS网络杀伤链的实际应用。
从防范与溯源的角度看,工业控制系统网络杀伤链模型中的每个阶段或环节都是安全人员做出侦测和响应的机会,不同的环节也对应了不同的侦测与响应措施。该模型给安全人员分析安全事件,构建防护框架提供了参考依据。工业控制系统网络杀伤链模型主要分为两个阶段,下面将介绍两个阶段的主要流程。
(1)工业控制系统网络杀伤链模型第1阶段:网络入侵准备和执行
第1阶段与传统“网络杀伤链”的攻击相似,主要的目的是获取工业控制系统的相关信息,寻找突破方法,从而进入工业控制系统
① 计划阶段(Planning)
第1步是计划阶段,主要是对目标进行侦察。侦察是通过观察或其他检测方法获取有关信息的活动,对目标系统进行研究,可以使用Google和Shodan等开源信息收集工具,以及利用公告和社交媒体资料来搜索公开可用的数据。
计划阶段还可以研究工业控制系统漏洞和技术特征,以及了解如何实施攻击。
② 准备阶段(Preparation)
第2步是准备阶段,包括武器化或目标定位。武器化就是修改某些正常文件,使其变为网络武器。目标定位指攻击者或其代理(如脚本或工具)识别潜在的受害者的过程。
武器化和目标定位不一定全部执行,如攻击者可以直接通过获取的凭据进入目标网络,从而无须武器化的过程。同样,攻击者可以将武器化文件发送到多个目标,则攻击前无须进行专门的目标定位,在获得初始访问权限后再进行目标选择即可。
③ 网络入侵阶段(Cyber Intrusion)
第3步是网络入侵阶段,是攻击者为了获得对目标网络或系统的访问控制权,而进行的成功或不成功的任何尝试行为。首先,攻击者进行恶意投递,使用某种方法与攻击目标进行交互,如发送带有恶意程序钓鱼邮件。然后,进行漏洞利用,是攻击者用来执行恶意操作的手段,如在PDF或其他文件打开时引发漏洞溢出获取权限,或者利用VPN的访问凭证直接获取网络的访问权限。
当漏洞利用成功后,攻击者将安装远程访问工具或者特洛伊木马等功能组件。攻击者还可以替换或者修改系统现有功能。
④ 管理和控制阶段(Management and Enablement)
第4步是管理和控制阶段。攻击者可以使用先前安装的功能组件或者盗用注入VPN这样的可信通信信道实现对目标网络的管理和控制功能(Command and Control,C2)。
⑤ 维持、巩固、发展、执行阶段(Sustainment、Entrenchment、Development、Execution)
为了达到最终的目标,第5步是维持、巩固、发展、执行阶段。此时攻击者开始行动,常见的活动包括发现新的系统或数据、在网络中横向移动、安装和执行附加功能、启动附加功能、捕获传输的通信(如获取用户凭证)、收集数据、向攻击者传输数据,以及消除活动痕迹和防止被发现的反取证技术,如清除攻击活动的痕迹或者在遇到网络防御者事件响应之类的活动时保护自己的立足点。
大量关于工业控制系统和工业过程、工程和运营的相关信息保存在连接因特网的网络中。因此,防御者要评估在不受保护的网络中,存在哪些信息和工具可以帮助攻击者实现攻击。还必须注意,攻击者可以针对供应商或合作伙伴网络执行第1阶段攻击,以获得必要的信息。当攻击者成功破坏了工业控制系统的安全性并且能够进入第2阶段时,第1阶段完成。
信息网络中的违规行为为第1阶段的攻击提供了必要的条件。需要强调的是,如果目标网络拥有连接因特网的工业控制系统组件,或者关于工业控制系统的重要信息可以通过攻击第三方获取,则可以绕过此阶段,如Black-Energy系列的恶意软件就试图通过攻击连接因特网的设备进入目标系统。
(2)工业控制系统网络杀伤链模型第2阶段:工业控制系统攻击开发和执行
因为工业控制设备的敏感性,第1阶段攻击操作可能会导致意外的攻击结果。如尝 试主动发现工业控制系统网络上的主机可能会中断必要的通信或导致通信模块失效。在第2阶段,攻击者必须利用在第1阶段中获得的信息来专门开发和测试攻击工业控制系统的方法。
① 攻击开发和优化阶段(Attack Development and Tuning)
第2阶段从攻击开发和优化阶段开始,在此阶段中,攻击者需要开发一个专门用于工业控制系统的功能。为了不被发现,攻击者的开发和优化过程会持续很长时间。
② 验证阶段(Validation)
在开发和优化完成后,下一步就是验证。在这一阶段,攻击者必须在类似或相同配置的系统中测试攻击功能,确认该功能是否能对目标系统产生有意义和可靠的影响。即使是简单的攻击,如通过增加网络扫描流量对系统进行拒绝服务攻击,也需要进行一定程度的测试,以确认扫描可以使系统拒绝服务。若要实现更重要的影响,则需要进行更复杂的测试,如需要获得真实的物理工业控制系统设备和软件组件来完成测试。
③ 工业控制系统攻击阶段(ICS Attack)
最终,实现对工业控制系统的实际攻击。攻击者将投递验证过的恶意程序,安装或修改现有系统功能,然后执行攻击。为实现最终的攻击目的,具体的攻击可能由很多步骤组成,细分为攻击准备、攻击实施和攻击支持。