工业控制系统安全漏洞和恶意软件

R其,一个新的被称为威胁Industroyer或CrashOverride被认定为恶意软件使用在2016年袭击乌克兰电网。许多专业人士称Industroyer最大的威胁Stuxnet以来工业控制系统(ICS)。然而,Industroyer的重要性作为一个单独的事件是相对较小的,因为没有零天Industroyer负载。

恶意软件像Industroyer新的标准

关键基础设施的安全是国家安全的问题,不幸的是,恶意软件像Industroyer新的标准。多个较小的攻击很容易添加到破坏性的事件。而不是对每一个新的恶意软件的威胁,管理员应采取长期战略的方法,这种新的环境。

遵守良好的安全框架是其中一个最有效的安全策略可以采取,而不只是对有新闻价值的漏洞

ICS / SCADA系统常常不能被扫描或修补由于正常运行时间的要求或仅仅因为遗留系统没有更新。所以,当Industroyer宣布,北美电力可靠性公司(NERC)发布了海啸预警其成员提高警惕,保护自己的网络和严格的访问控制。他们建议NERC关键基础设施保护标准作为最佳实践要求公用事业公司资产安全。遵守良好的安全框架需要时间,但它是一种最有效的安全策略可以采取,而不只是对有新闻价值的漏洞。

Industroyer是如何工作的

Industroyer采用模块化设计,可分为四个基本组成部分:

• 后门-设置一个指挥和控制通道/ https一旦系统感染
• 发射器,发射一个或多个有效载荷
• 四个有效载荷-一个有效载荷为每个SCADA协议Industroyer支持:
  • IEC 60870-5-104
  • IEC 60870-5-101
  • IEC 61850
  • 过程控制数据访问OLE (OPC)
• 数据雨刷组件,擦拭从系统本身

有一个额外的后门,能保持持久的安装控制系统取代记事本的合法版本trojanized版本的记事本。

恶意软件作者还发布了一个工具,执行DoS攻击的西门子SIPROTEC家族保护继电器。

站得住脚的探测SCADA协议的解决方案

站得住脚的提供几种解决方案检测ICS / SCADA协议Industroyer和其他恶意软件的目标。

Nessus

雅苒签名可用来检测一个或多个Industroyer / CrashOverride载荷组件。站得住脚的客户可以使用雅苒规则来识别受感染的系统使用雅苒恶意文件检测Nessus®插件。

你会发现样品的规则可以用于Nessus检测国际石油公司GitHub。

Nessus网络监控

Nessus®网络监控(原pv™)发布了签名检测DoS攻击西门子SIPROTEC家庭的保护继电器(SIPROTEC DoS, csa - 15 - 202 - 2015 - 5374 - 01 / cve):人口、难民和移民事务局# 700132,西门子SIPROTEC DoS (SCADA)。

使用SecurityCenter仪表板战略保护

使用Nessus漏洞扫描器和Nessus网络监视器,SecurityCenter连续视图®(CV)有能力收集相关数据并提供洞察发现风险。SecurityCenter®可以帮助管理者专注于一个新的关键漏洞(例如Industroyer / CrashOverride)时发现在他们的网络。但ICS / SCADA系统需要超过一个周期为最新的漏洞扫描;发现一个完整的库存、被动和主动监测和证件扫描应该作为最佳实践。在NERC关键基础设施保护标准,第一个战略步骤库存系统网络,确保网络上的所有协议使用的正确识别。的cip - 002 BES网络系统分类仪表板协助主人发现和脆弱性识别,帮助你得到一个更广泛的网络安全的照片。

cip - 002要求组织确定和分类散装电力系统(BES)网络系统支持适当的防护妥协,可能会导致误动作或喜神贝斯的不稳定。你能达到这个要求通过建立和维护一个精确的库存的设备,这样可以有效地探测任何攻击或感染和孤立。此外,一旦你知道设备是自然环境的一部分,你将准备地址cip - 007 R1通过监控网络流量检测端口或服务不应使用。

cip - 007 R1要求组织防止不必要的物理输入/输出端口的使用用于网络连接,控制台命令,或可移动媒体。如果检测到未经授权的流量,准确的库存你建将在识别和解决关键设备。的cip - 007 R1端口和服务仪表板提供了深入了解网络活动在你的组织中通过监测开放端口和主动服务。仪表板还确定使用SCADA-specific来自SCADA供应商的协议以及协议。因为有针对性的恶意软件,喜欢Industroyer / CrashOverride,可以利用SCADA协议妥协BES系统,理解NERC中的预期和接受的交通环境是至关重要的。执行的网络活动检测是站得住脚的Nessus网络监控,和其他收集的网络流量站得住脚的日志关联引擎®(如冰®)规范化和关联识别交通模式和异常。积极使用扫描数据从SecurityCenter仪表板检测脆弱的港口和可利用的服务。所有的数据可以帮助您解决滥用或错误配置的端口和服务保护网络免受恶意活动。

有六个相关仪表板CIP SecurityCenter饲料中可用:

• cip - 004 R4 / R5访问管理、撤销,和控制
• cip - 005电子安全边界
• cip - 007 R3预防恶意代码
• cip - 010 R1 / R2配置变更管理和监控
• cip - 010 R3脆弱性评估和补丁管理
• cip - 010 R4瞬态网络资产和可移动媒体

这些仪表盘可以帮助您监控各种网络安全问题,如访问控制和变更管理。其他仪表盘NERC环境监控漏洞和恶意软件。你也可以跟踪瞬态设备和监控网络与CIP仪表板周长,给你一个完整的网络访问和使用的视图。这组仪表板利用主动和代理扫描Nessus收集的数据,以及无源网络检测通过Nessus网络监控和相关事件数据的特性。带着所有这些信息对你NERC的环境,你将准备解决问题和维护CIP合规。确定您的环境容易受到恶意软件的新闻那一天是很重要的,但战略和全面的方法借助于SecurityCenter简历准备时,确保网络的安全宣传消失了。

总结

管理一个大的关键安全计划是战略,而不是战术

不要掉进的陷阱追逐最新的头条SCADA系统的脆弱性。SecurityCenter这样的统一平台提供了一个更具战略性的方式,来获取工业系统和关键基础设施的主动和被动监测系统。如果你的AV系统、修补程序,和签名定期及时更新;如果你运行受到信任扫描错误配置;如果你只执行协议,以确保适当的设备相互通信;如果审计CIP遵从性,那么下一个恶意软件危机不会是一个主要威胁您的环境。管理一个大的关键安全计划是战略,而不是战术。

非常感谢梅根Daudelin,伊恩·帕克和约翰Chirhart这个博客为他们的贡献。