NO.54 | 2019.04.30
banner
title不知不可 友善列印>>
2019年台灣資安大會─工業控制系統安全與測試平臺_資通安全組 許博堯副工程師

         因應智慧製造趨勢,物聯網 (IoT)技術逐漸成熟,為提高營運效率,產業紛紛落實製造自動化,機台互連與軟硬體整合,逐漸成為新世代工業自動化、智慧化的必要機制。工業自動化與智慧化導入資通訊技術,資安威脅也因應而生,工業控制系統(下稱工控系統)與關鍵基礎設施儼然成為駭客攻擊的鎖定目標。本次參與iThome主辦之2019年資安大會,擇定工控系統資安相關議程學習新知,以下分享安碁資訊公司的工控測試平臺與資安攻防研究議程。

工控系統測試平臺
       
         國際間對於工控系統資安研究仍非常有限,其原因在於工業控制系統封閉性的環境,且工控機台、設備通常為軟硬體整套購置,不同廠牌常有特殊規格的硬體/韌體元件,例如特製的嵌入式作業系統(Operating System, OS)版本,限制OS存取權限,禁止安裝其它軟體或工具,較難對其進行資安檢測。同時,也較難取得相關設備,例如發電機、煉油等。

        安碁資訊於本次會議期間展示了一套工控系統資安測試平臺,該平臺為鐵路控制系統,以現行的工控系統架構進行規劃,並採用主流的工控通訊協定。整個測試系統架構區分三層次,下層受控層為受控設備,包括火車、換軌器、聲光、感測器等設備,也可以是鍋爐、發電機等不同設備;控制層以可程式化邏輯控制器(Programmable Logic Controller, PLC)為主,下接受控設備,上接控制系統;上層為控制系統,包括人機介面(Human Machine Interface, HMI)與數據蒐集與監控系統(Supervisory Control and Data Acquisition, SCADA)。火車運行機制儲存於控制系統(行控中心)中,共有116組對應不同控制行為的暫存器,包括換軌、火車啟停,行駛路線(換軌器)、行駛速度、進站/過站、停車時間等等;攻擊情境包含過站不停、行駛至斷軌處、過彎加速、隧道內停止。

圖1:測試平臺與系統架構
(圖片來源:安碁資訊)

        首先,使用工具掃描該測試平臺的網段,列出網段內的設備清單,清單中包括OMRON (PLC)、SCADA等設備,接著側錄SCADA與PLC間的資料,再分析封包內容,以確認設備狀態與使用通訊協定等資訊,例如Modbus、Ethernet IP等。由於工控通訊協定設計普遍較為簡化,可能不具備完善的安全機制,例如加密與身分認證,只要能得知所使用通訊協定的安全漏洞,透過協定攻擊套件便能進行重播攻擊、竄改封包內容等攻擊行為,並控制設備或系統,進一步變更控制模式,例如更改軌道閘門狀態,將火車引導至斷軌區。

工控系統攻擊手法

        工控系統的各個層面通常會採取隔離機制,若無隔離、設置不當,或其中某個設備、介面被入侵,便可能存在安全風險,尤其是現今資訊技術(IT)與營運技術(OT)相互連結的環境之下,更容易暴露工控系統環境,工控系統可能的攻擊手法如表1。

利用資通訊(ICS)設備及系統漏洞
  • 利用已知之ICS設備漏洞或Zero-Day漏洞
  • 嘗試取得SCADA、HMI、PLC 之操作權限
  • 最終改變受控設備之物理狀態
利用工控通訊協定瑕疵
  • 協定之固有設計瑕疵:缺乏加密、缺乏認證及缺乏授權
  • 中間人攻擊(MitM)
  • 封包側錄及解析
  • 封包重播及竄改
  • 最終改變受控設備之物理狀態
利用工控設備啟用SSH/Telnet等服務
  • 許多廠牌ICS設備之SSH、Telnet 服務預設開啟,且密碼為硬編碼(Hard Code)
  • 利用管理服務之不安全設置,取得ICS 設備控制權
  • 最終改變受控設備之物理狀態
表1:工控系統攻擊手法
(表格來源:安碁資訊)

國內現況

        自2010年,伊朗核電廠遭受Stuxnet病毒攻擊後,工控系統安全漏洞逐年增加。安碁資訊研究發現國內有10,546項工控系統設備暴露於網際網路上,其採用的通訊協定以Siemens S7與Modbus為大宗,同時也有不少設備啟用遠端服務,這些設備很容易遭受攻擊,目前暴露最多的是Schneider PLC,多數暴露的設備皆可繞過身分驗證、直接存取,控制系統,或經由遠端下指令控制Modbus協定,讀取、寫入工控設備,改變設備物理狀態。部分設備漏洞已發佈補丁(patch),也有不少設備漏洞尚未有補丁,且漏洞發佈時間已久。暴露設備依產業別可分為能源業、大專院校、政府機關、停車場業者、飯店業大廈管理、鋼鐵鑄造製造業,影響範圍十分廣泛。
 
圖2:國內暴露工控設備之通訊協定
(圖片來源:安碁資訊)

工控系統安全防護建議

        工控系統環境首重可用性、可靠性,與IT環境著重保密性大相逕庭,IT環境允許有軟體更新、硬體更換、安全漏洞補強、組態更動、定時密碼變更等機制,OT部門為確保生產線運作穩定,在非不得以的情況下,不允許經常性修補、更新,避免影響生產效率,因此,工控系統環境勢必具備相對的安全因應措施。依據本次會議期間工控系統資安議程,綜整相關資安防護建議如表2。

方向 主要機制
資產盤點與風險評估 掌握工控系統環境內所有設備與其對應IP位址。評估風險因素,包括漏洞、帳號管理(預設密碼、特權帳號、委外廠商)、網路、人員等因素。
通訊管理 觀察、監控、管理通訊數據,確保僅有工控專有通訊協定數據通過。
區域隔離 防止局部控制網路問題擴散,導致全局癱瘓,在關鍵數據通道上實施網路隔離或加密措施。
警報追蹤 即時偵測網路中感染或其它問題,準確找出故障點,並透過警報事件進行紀錄,提供故障分析依據。
表2:工控系統安全防護建議
(表格來源:TTC)