1 前言

  随着“巴以冲突”的不断升级，硝烟下的网络安全战争也愈演愈烈。近期一个名为GhostSec的黑客组织声称破坏了以色列组织在“自由巴勒斯坦”运动中使用的多达55台Berghof 可编程逻辑控制器（PLC）。

  工业网络安全公司OTORIO对该事件进行了深入调查，该公司表示，此次泄露的主要原因，是因为PLC可以通过互联网访问，且缺乏必要的安全防护措施导致。

  9月4日，GhostSec 在其Telegram 频道上分享了一段视频，展示了成功登录PLC管理面板以及转储来自被黑控制器的数据后，该漏洞的详细信息首次曝光。

  安全公司表示，系统转储文件和屏幕截图是在未经授权下，通过控制器的公共IP地址访问后直接从管理面板导出。   

2 国际形势

  据三方数据统计，仅2022年全球工控设备资产暴露已达近10万，暴露数量前10名的国家如下图所示：
    数据源于东北大学“谛听”团队公布的《2022年工业控制网络安全态势白皮书》

  同时，由于工业控制系统的安全漏洞不断增多，导致近年来出现了针对PLC（可编程逻辑控制器）控制系统的各种类型攻击事件。以下是最近几年内典型的针对PLC控制系统的攻击案例的列举。
 
  为了全面消除针对PLC控制系统的攻击路径，发现更多未知的攻击方法，各个全球机构已进行了大规模的研究，以加强对PLC网络攻击的防护措施。这些研究揭示了许多PLC自身的脆弱性以及面临的威胁，其中威胁难以准确评估。

 
3 国内趋势  

   结合近几年发生的大量工业控制系统网络安全事件以及国际和国内知名机构对PLC控制系统的研究，国家层面也提出了针对PLC的网络安全技术要求。《网络关键设备安全技术要求可编程逻辑控制器（PLC）》（征求意见稿）（以下简称为“征求意见稿”）于2023年8月完成，对PLC的安全性提出了一系列要求。 
 
  《征求意见稿》更加强调了对PLC自身的安全性以及传输协议合规性方面的严格要求。这些要求包括以下方面：设备识别安全、冗余和备份恢复以及异常检测、漏洞和恶意程序的防范、预装软件的启动和更新的安全性、用户身份标识和鉴别、访问控制的安全性、日志审计的安全性、通信的安全性、数据的安全性、密码要求等。
 
  北京威努特技术有限公司作为本文起草单位之一，凭借自主研发的全系列工控网络安全产品和9年工控安全深耕经验，不仅为该草案建言献策同时也通过本文分享针对PLC网络安全防护的有效措施。

4 安全建议

  结合《征求意见稿》安全建议分别从漏洞和恶意程序防范、访问控制安全、和通信安全等方面进行方案设计。

4.1 漏洞和恶意程序防范要求
  
《征求意见稿》要求对PLC整机、关键部件的漏洞和恶意程序都需进行实时检测，并实时发现未声明的功能和调试接口，保障PLC控制器自身的安全属性。
 
  针对《征求意见稿》中漏洞和恶意程序防范要求，威努特工控漏洞扫描平台可解决PLC整机、关键部件的已知漏洞和高危端口的发现，移动介质安检站可实现移动介质全生命周期管控，解决补丁包/升级包中恶意代码的自查问题。

  威努特工控漏洞扫描平台是用于工控网络脆弱性分析和安全评估的漏洞综合管理系统。在国内权威机构赛迪顾问颁发的2020年中国工控漏洞扫描产品发展能力及市场地位排名第一。
 
  产品内置了丰富的工业控制系统漏洞库，能针对工业现场的控制设备（包含PLC）、数字化设计制造软件以及控制系统的已知漏洞进行扫描、识别和检测，生成脆弱性扫描评估报告，清晰定位工控系统脆弱性风险，给出漏洞修复建议和预防措施，帮助工业企业用户掌握工控系统安全现状，提升工控系统安全性。

  威努特移动介质安检站系统，通过基于“白名单”防护技术的主机卫士软件实现对安全U盘、普通U盘的注册、注销管理；通过移动介质安全管理检查、检测站实现对存储介质的病毒查杀，生成病毒查杀、检测标记；通过工控主机卫士对U盘注册情况以及病毒查杀情况进行核验，只允许登记在册的、经过病毒查杀的移动存储介质在系统中使用，从而实现对移动存储介质的有效闭环管控。
 
4.2 访问控制安全
 
  《征求意见稿》明确了PLC设备的访问控制安全要求，主要包含PLC访问控制策略、PLC的端口服务开启合规性和访问PLC控制器的权限划分。
  针对正在研发的可编程逻辑控制器（PLC），我们确保其设计严格遵守《征求意见稿》的全部规定。对于已投产的PLC设备，其主要服务于生产环节，由生产相关人员负责运维，然而，在运维过程中，关于PLC自身安全、通信行为指令、访问控制等缺乏知识储备及有效检测、防范措施，同时，无法及时对上位机、PLC和组态软件进行补丁修复和版本更新已成为常态，所以多数企业用户现场既不能满足《征求意见稿》访问控制要求，又不能保障生产稳定运行。
  而结合PLC设备应用场景及《征求意见稿》访问控制要求，通过在PLC前端部署工业防火墙，利用“三重防护机制”可有效解决高危服务或端口、访问控制策略限制、指令级工业协议解析和用户分级分权控制问题。
  威努特工业防火墙运用“白名单+智能学习”技术建立数采通信及工控网络区域间通信模型，结合独有的“三重防护机制”可有效解决访问控制要求，保证只有可信任的流量可以在网络上传输，只有合规的访问关系才能实现数据交互，为工控网络与外部网络互联、工控网络内部区域之间的网络连接提供安全保障。  

4.3通信安全要求

  随着黑客攻击技术的发展及信息安全关注点的转移，越来越多的PLC设备漏洞被发现，设备本体的安全给工控系统带来不可控的安全风险，因此，有必要对PLC设备本体的安全性进行研究和测试工作，降低设备的信息安全风险，提高系统抵御外来攻击的能力，提高系统的安全稳定运行水平。

  在应对已经投入运行的PLC控制器的安全防护问题时，我们必须细致地考虑到访问控制安全、漏洞及恶意软件的防范，以及日志审计等多方面的要求。这些措施对于确保系统的整体安全性至关重要。同时，对于新建PLC系统或者新出厂的PLC控制器，建议严格按照《征求意见稿》中提出的通信安全要求进行深入的通信协议健壮性测试。此举是为了验证和确保设备的安全性能达到预期标准，进而为整个系统提供坚实的安全基础。这种全面且系统性的安全考量，是在现代工控系统安全管理中不可或缺的一环。

  威努特工控漏洞挖掘平台（VHunter IVM）是由威努特自主研发用于发现工控设备未知漏洞、验证其安全状况的黑盒测试产品，产品采用智能Fuzzing技术，对工控设备（PLC、RTU等）、工控系统（DCS、SCADA等）进行未知漏洞挖掘、安全性和健壮性测试，深度挖掘工控设备或系统的各类已知、未知漏洞，产品可自动生成ISASecure标准的测试报告，清晰定位问题并提供测试报文便于问题回溯，能显著的提升工业控制系统的安全性。运用模糊测试的原理，设计编译测试用例构造变异报文，检查工控协议实现的缺陷。
  通过工控漏洞挖掘平台能自动化发现设备潜在漏洞，能针对工业互联网控制设备、物联网操作系统、工业机器人、边缘计算终端、工业信息安全等设备，进行TCP/IP协议、工控协议、物联网协议及无线通信协议的健壮性测试，显著提高工控设备安全测试效率、降低安全测试成本。

  如下图为漏洞挖掘产品的检测成果-已公开漏洞：
5 总结
   工控系统中的自动化设备种类繁多，专有协议众多，数据流动复杂，智能化融合程度愈来愈高，这些因素共同增加了对工控系统关键组件安全性的综合分析难度。关键组件及其传输协议中潜在的未知安全漏洞及自身安全性加剧了系统的脆弱性。面对现有PLC系统的安全防护和新建控制系统的安全测试，威努特依托在工控安全领域多年经验积累，利用完全国产自主知识产权的专业化工具及产品，提出可覆盖漏洞及恶意程序防范、访问控制安全、日志审计安全以及通信安全等多个方面的解决方案，有效应对PLC系统面临的攻击威胁。