首页
安全产品
工控安全LinSec
资产与风险管理系统
工业防火墙
工业网络审计
工业主机卫士
工业安全管理平台
工业网闸
工业漏扫
工控等保工具箱
网络安全NSec
下一代防火墙(NGFW)
入侵防御系统(IPS)
入侵检测系统(IDS)
运维管理与审计
日志审计与分析
数据库审计
云安全CSec
分布式虚拟防火墙系统-云盾
分布式虚拟入侵检测系统-云镜
云安全资源调度与管理系统-云池
AI安全AiSec
网络威胁检测与回溯(神探)
态势感知安全CdSec
工业态势感知与安全运营平台
实训仿真
工业模拟仿真攻防系统
工控安全教育系统
智能制造演示实训系统
解决方案
解决方案
交通行业解决方案
电力行业解决方案
石油石化解决方案
公共服务解决方案
水利行业解决方案
智能制造解决方案
智慧矿山解决方案
其他行业解决方案
安全服务
安全服务
咨询规划服务
风险评估服务
渗透测试服务
漏洞扫描服务
安全运维服务
应急响应服务
应急演练服务
安全研究
安全研究
安全通报
研究报告
超弦实验室
特征库更新
合作伙伴
合作伙伴
加入我们
客户证言
关于我们
关于我们
公司概况
新闻动态
人才招聘
资料中心
联系我们
400-6060-270
新闻动态
News information
SIS 系统:工业生产的安全卫士与网络攻防的前沿战场
<<返回
2024年06月24日 08:00
在现代智能制造企业中,工业控制自动化系统如同强大的引擎,驱动着各类流程工艺的高效运转。其中,集散控制系统(DCS)、安全仪表系统(SIS)、压缩机控制系统(CCS)、可燃气报警系统(GDS)、可编程逻辑器件(PLC)以及数据采集与监视控制系统(SCADA)等控制系统各显神通。
DCS 系统作为生产系统的关键中枢,依据预设规则,精准地将控制任务分配给各个控制单元,力保产品生产平稳有序,杜绝资源浪费与混乱。但由于其在生产控制中涉及参数值的人机交互,流程的上下游控制难免会出现偏差或失误。为筑牢生产安全的防线,减少操作失误引发的风险,SIS 系统应运而生。SIS 系统专注于关键生产过程,一旦侦测到危险状况,如异常的温度、压力或其他危及生命的隐患,便会迅速采取行动,如停止机器运行、切断气体流入或加热等,有力预防和减少危险物理事件的发生。
通过对每个生产工艺展开详尽的过程危险分析(PHA),并结合具体工程需求,为每个生产工艺流程量身定制的 SIS 系统,不仅展现出高度的定制化特性,更凸显了其在流程化工艺生产安全保障中的核心地位。与 DCS 系统相比,SIS 系统的控制逻辑和权限更为严苛与高级。一旦 SIS 系统出现故障或控制逻辑变动,整个工厂的生产流程可能遭受重创,甚至可能引发危及人身安全的物理事件。
SIS 系统,即安全联锁系统,由传感器、逻辑运算器和执行元件(检测单元、控制单元与执行单元)三大组件构成,负责监控报警与联锁功能。它能够实时监测生产过程中的现发或潜在危险,并立即施展出报警、调节或停机等控制手段,有效规避事故,降低事故损失。
0
1.
最强工控恶意软件攻击原理
在化工等行业中,SIS 系统通常以独立网络形式存在,为生产过程提供专属安全保障。然而,2017 年,一款名为“TRISIS”的恶意软件向 SIS 系统发起攻击。它利用施耐德Triconex安全仪表控制系统的零日漏洞,成功入侵一家石油天然气工厂,致使工厂停产。这一事件敲响了 SIS 系统安全防护的警钟。
理论上,SIS 系统与 ICS 环境中的其他设备应保持相对隔离,网络连接应受到严格限制或完全杜绝。但实际操作中,出于便捷性和数据检索的考量,SIS 系统与安全控制器常常接入更广泛的工厂网络。这虽提升了操作灵活性,却也让 SIS 系统面临更为严峻的网络安全风险。一旦 SIS 系统的安全控制器遭受恶意网络活动影响或被入侵者染指,整个生产系统都将面临巨大威胁。
值得注意的是,SIS 系统的安全控制器通常具备与标准 PLC 相似的安全配置文件,且项目默认包含一些难以掌控的后门账户。这些账户虽在紧急情况下的管理员级访问中至关重要,但也可能成为攻击者获取未授权访问的突破口。因此,强化 SIS 系统的安全防护,尤其是账户权限和访问控制的管理,刻不容缓。
“TRISIS”恶意软件凭借其极强的针对性与破坏力,成为工控安全领域的重大威胁。它巧妙利用施耐德 Triconex 安全仪表系统(SIS)的 TriStation 通信协议漏洞,通过固件植入改变最终控制元件的逻辑,从而破坏生产系统。
这款恶意软件之所以能在理论上隔离的 SIS 网络中得手,主要归因于其巧妙的伪装和精心布局。它运用社会工程学技巧,伪装成 SIS 系统的日志软件,悄然侵入目标网络。接着,借助特殊的 ping 包探测技术,精准锁定 SIS 系统的位置,在确认可入侵后,上传恶意的二进制代码,进而篡改控制器的梯形图。
“TRISIS”恶意软件由 trilog.exe 模块和 library.zip 模块两个核心部分组成。trilog.exe 模块伪装成合法的 Triconex Trilog 应用,用于迷惑用户,而 library.zip 模块负责与 Triconex 控制器通信。它采用 Python 脚本编写,并使用 Py2EXE 工具编译成 PE 可执行程序,以便在多种环境下运行。
在攻击过程中,“TRISIS”首先通过 TriStation 通信协议链接到 Tricon 通信模块,获取与 SIS 系统的通信路径。随后,检查并确认入侵条件是否满足。一旦确认可入侵,它会对恶意 payload 文件(包括 inject.bin 和 imain.bin)进行编码,并通过通信库将其加载到控制器程序的内存和执行列表中。这些 payload 文件包含恶意功能代码和控制逻辑,一旦被加载到控制器中,就会开始倒计时并周期性检查控制器的状态。
若检测到错误信息,恶意软件会尝试使用 TriStation 协议命令重置控制器到之前的状态。然而,若此方法失效,它将施展一种反取证技术,将 dummy 程序写入内存以隐匿攻击者代码。一旦 payload 文件成功上传并执行,攻击者就能通过新的 PLC 梯形图,扰乱 SIS 系统的控制逻辑,导致工厂停产或失控,进而可能引发危及人身安全的物理事件。
0
2.
六方云针对工控恶意软件的防护建议
虽然 “TRISIS”是针对特定厂商的特定控制系统发起攻击的,但是它所使用的战术技术和工具可能会被其他黑客组织加以改造,来攻击其他控制系统如DCS、SCADA系统。我们在做工业控制系统安全防护时要能从恶意软件的攻击原理中学习防护经验并建立自己的威胁模型。六方云安全专家经过多年的走访调研和自身的实践经验,提出一下防护措施。
1) 加强风险管理意识
定期进行工业控制系统的网络风险评估,梳理工控系统资产,分析价值;识别已有的安全防护措施;评估资产脆弱性及面临的威胁分析(漏洞有哪些?),进行安全风险综合分析。通过资产分析形成本单位的工控系统详细的网络拓扑,绘制网络拓扑图并识别分析数据流。对数据流进行严格控制,把安全系统网络和过程控制、信息系统网络隔离开;能够对SIS控制器编程的工程站不应该与任何的DCS过程和信息系统网络双宿主机进行通信。断开不必要的网络连接,对网络通讯域进行逻辑划分。资产识别分析可以采用以下步骤进行,最终形成资产管理台账。
2) 建立工业控制系统主机“白基线”
根据威胁模型分析,恶意攻击首先要求选择一个落脚点,而终端主机是首选,一般会通过社会工程学或者互联网进行木马投递。因此,工控主机及服务器要求加强安全防护。因为恶意软件时刻变化,所有采用工业主机白名单软件进行防护的效果最佳,尤其是适用于工业现场工控主机无法联网更新特征库的情况。六方云工业主机白名单软件可以建立应用程序、文件、访问权限白基线,同时对USB端口进行管控。防止恶意软件通过USB存储进行传播。六方云工业主机白名单软件可以对.exe、.py等应用程序文件类型进行防护。
同时可以对无文件攻击LOLBins行为进行进行保护,并与ATT&CK技术进行映射。
3) 建立工业控制系统网络通讯“白基线”
根据资产访问关系,建立严格的访问控制白基线,禁止网络流量全通策略,对高危协议端口的策略进行严格管控,通过四层安全检测与防护机制保障业务安全。利用工控协议深度解析技术,建立四级工控流量解析与访问控制机制,保障工程师站、操作员站与控制器的合法通讯,防止控制逻辑被恶意修改。
4) 设备用户访问管理“白基线”
对工控网络中的所有资产设备关闭默认账户,设置系统密码并满足复杂度要求,对设备的登录访问进行严格控制,并进行身份校验,对重要程序项目的修改要进行二次认证。关闭远程用户的连接,如有必要使用加密方式进行连接,如SSH。
—【 THE END 】—
more
手机扫码打开
