工控安全
25.May.2021
如何抵挡黑客攻击,提升工控系统主动防御力?(上)
IEC 62443-4-1 & IEC 62443-4-2 OT安全的「Why/What/How」
我们很容易忙碌于黄金圈外层的「做什么」与「怎么做」,忘了「为什么」。
黄金圈理论 - 赛门.西奈克
IEC 62443 Part 4 Component在台湾被广泛讨论,甚至在Google Trend 上,台湾是世界第一的热点。讨论的范畴从入门到进阶都有,但总是少了点什么。IEC 62443 Part 4由Part 4-1 (IEC 62443-4-1)和Part 4-2 (IEC 62443-4-2)组成。分别对应黄金圈理论的「怎么做(策略与流程)」与「做什么(要求)」。然而,在一开始就必须探索的「为什么」反而甚少人提及,这往往成为项目内相关利害关系人没办法对齐相同的目标与愿景的主因,进而导致推动上的阻碍甚至失败。
本篇是从「为什么」开始,以攻击者的七个步骤来切入,让导入IEC 62443的防守方得以理解需求「为什么要做」以及「为什么不做」。并且将「要做」的事情由上而下以策略与要求两个层面说明其核心精神,希望能够解决防御资源分散的问题,藉此也建立利害关系人的共同画面,实现导入的目标。
黄金圈理论 - 赛门.西奈克
IEC 62443 Part 4 Component在台湾被广泛讨论,甚至在Google Trend 上,台湾是世界第一的热点。讨论的范畴从入门到进阶都有,但总是少了点什么。IEC 62443 Part 4由Part 4-1 (IEC 62443-4-1)和Part 4-2 (IEC 62443-4-2)组成。分别对应黄金圈理论的「怎么做(策略与流程)」与「做什么(要求)」。然而,在一开始就必须探索的「为什么」反而甚少人提及,这往往成为项目内相关利害关系人没办法对齐相同的目标与愿景的主因,进而导致推动上的阻碍甚至失败。
本篇是从「为什么」开始,以攻击者的七个步骤来切入,让导入IEC 62443的防守方得以理解需求「为什么要做」以及「为什么不做」。并且将「要做」的事情由上而下以策略与要求两个层面说明其核心精神,希望能够解决防御资源分散的问题,藉此也建立利害关系人的共同画面,实现导入的目标。
网络攻击行动和传统战场看似不同,但其实存在很多共通点
战争不外乎「争夺别人」资产的一方,与保护「自己(或利害关系人)资产」的一方。信息战和现代战争最大的差异,或许仅止于现代战争的「资产」偏向于抽象的价值,例如可口可乐的配方、敌国的关键军事设施等等。既然目的相同,达到目标的过程自然相近。尽管网络攻击因为「决战于千里之外」的特性,不容易观察具体的「物理行动」;但假想敌终究是人,过去数千年来,从传统战争所累积的经验,即便各有巧妙不同,一样适用于信息战攻防的借鉴。
而Lockheed Martin洛克希德马丁则以黑客实际攻击为样本,解析出网络杀伤链(Cyber Kill Chain)共有七个步骤,分别为:「侦查(Reconnaissance)」、「武装(Weaponization)」、「传递(Delivery)」、「漏洞利用(Exploitation)」、「安装(Installation)」、「命令与控制(Command & Control)」以及「行动(Action on Objectives)」 [注1].回顾脑海中浮现的传统战争场景,是不是都满足这七个步骤,在心中充满既视感呢。
[註1] https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html
这就是为什么我们必须经常站在黑客(敌人)的角度,观察具备专业能力且拥有一定资源与动机的黑客会怎么攻击,进而思考如何做好防御的工作;以下我们想透过文章中的思想演练,邀请读者们套用于手边的产品或服务开发系统文件,透过「把手弄脏」的过程,让IEC 62443的信息安全标准更接地气。
而Lockheed Martin洛克希德马丁则以黑客实际攻击为样本,解析出网络杀伤链(Cyber Kill Chain)共有七个步骤,分别为:「侦查(Reconnaissance)」、「武装(Weaponization)」、「传递(Delivery)」、「漏洞利用(Exploitation)」、「安装(Installation)」、「命令与控制(Command & Control)」以及「行动(Action on Objectives)」 [注1].回顾脑海中浮现的传统战争场景,是不是都满足这七个步骤,在心中充满既视感呢。
[註1] https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html
这就是为什么我们必须经常站在黑客(敌人)的角度,观察具备专业能力且拥有一定资源与动机的黑客会怎么攻击,进而思考如何做好防御的工作;以下我们想透过文章中的思想演练,邀请读者们套用于手边的产品或服务开发系统文件,透过「把手弄脏」的过程,让IEC 62443的信息安全标准更接地气。
攻击步骤一:侦查
在对目标进行攻击前,最重要的是搜集目标情报找到突破口,常见的手法可能是社交攻击,以及主动或被动漏洞评估(Vulnerability Active or Passive Assessment)。「攻其无备、出其不意」是侦查阶段的攻击方针,因此选用主动或被动取决于对方是否具备侦测机制,例如目标系统是否受到IPS/IDS的保护。在目标设备受到保护的状况下,使用主动漏洞评估有可能在发送封包执行服务扫描的过程中被发现攻击意图,而造成攻击失败。在此情景下使用被动漏洞评估虽然获得的资料(系统操作系统、系统版本、提供的服务及服务版本)会受到限制,但不失为权宜的做法。
攻击步骤二:武装
根据侦查结果是否被揭露,选择对应的武器(恶意软件)。举例来说,如果发现目标的服务与版本存在被揭露且可能存在尚未修复的问题,攻击者会优先取得对应的攻击工具或相关的揭露信息。反之,如果找不到任何已知漏洞,攻击者就需要分析哪一个攻击层面比较有机会切入,自行开发程序或使用工具,以执行零日攻击(Zero-Day Attack)。
攻击步骤三:传递
准备好武器后,下一个步骤即准备将武器投射至战场(目标设备)。常见的做法有透过e-mail、网站、随身碟等方式。以上几种方式是透过企业或系统内部「人」的信息安全流程缺陷投放武器至目标系统。另一种投放策略,则是藉由下一阶段的「揭露(Explore)」找出「系统」在产品开发周期的漏洞,在取得必要传输权限后,将恶意软件传送至系统内。技术难度相对比较高,但取得权限后有机会完全掌握目标设备的所有权限,甚至做为跳板进攻更有价值的关键设备。
攻击步骤四:漏洞利用
在武器进到战场后,「使用武器的人」以及「攻击发起线」会很大程度左右战场结果。对应到信息战则是攻击者在这个阶段企图取得用户权力以及其权限影响范围。此阶段的重点,在于利用系统漏洞取得权限。大部分的情况,攻击者会先取得用户权力后,透过提升权限取得系统管理者权限.部分情况可能因为系统未做好设定,导致攻击者直接利用漏洞取得系统管理者权限。
攻击步骤五:安装
潜伏时间的长短与攻击目标有关,如果一次性的漏洞利用即可达到目标,则潜伏阶段相对短暂。但很多时候取得目标权限的目的是等待合适的时间点,发起一次性的精准打击,因此需要维持先前的漏洞利用成果,以确保不受时间影响,在关键时刻发起攻击,例如系统不定期关机或定期维修。常见的做法会是作为系统程序安装在目标设备中,并且使用混淆后的程序名称在系统背景执行,近期常见的勒索软件即为此例。
攻击步骤六:命令与控制 (Command & Control)
命令与控制的目的在于建立攻击者与目标系统内恶意软件的沟通信道,例如Reverse Shell,透过通道传送发起攻击的命令。一般来说,如果系统内有多层防护,例如防火墙设备,在执行时虽然还是有机会透过Port Forwarding 避开防火墙的阻碍,但确实可以很大程度消耗攻击者的资源。
攻击步骤七:行动 (Action on Objectives)
发起攻击阶段,常见的攻击行动有:让设备停摆、运作延迟、窃取数据或作为其他攻击计划发起的行动等。
防御
如同真实的战场,不论是攻击或是防守,都有对应的「战略规划」与「战术应用」,IEC 62443-4-1 即为产品的防御策略,IEC 62443-4-2 则建立了战术应用的准则.下文将针对防御策略与技术要求说明其核心精神并列举标准要求供各位参考。
防御策略 (IEC 62443-4-1)
侦查
防御方针在于让攻击者「侦查无果」与「不敢侦查」,对应 IEC 62443-4-1 要求:
IEC 62443-4-1: SD-2 Defense in Depth Design
- 根据威胁建模(Threat Modeling)的结果,实作多层防御机制,藉此降低下一层的攻击层面(Attack Surface)。
IEC 62443-4-1: SVV-3 Vulnerability Testing
- 分析攻击层面判断进出系统的漏洞,测试提供的服务或进出的端口(Port)是否可能被攻击者用来做为提升权限(Elevated Privileges)的突破口,并执行对应的修补。
武装
从攻击观点可以得知,只要实时修复产品已知漏洞,就可大幅增加攻击者的攻击成本,降低攻击意愿。因此这个阶段的防御方针即为仿真攻击者的武装流程,透过威胁建模分析攻击者可能的攻击模式,并透过相应的测试,检验产品是否具有已知漏洞,以及评估是否足以防御攻击者的Zero-Day攻击。
IEC 62443-4-1 参考内容如下:
IEC 62443-4-1 参考内容如下:
- SR-2: Threat Model
- SVV-2: Treat Mitigation Testing
- SVV-3: Vulnerability Testing
- SVV-4: Penetration Testing
传递、漏洞利用与安装
这两个攻击面向的防御方针,在于降低系统在开发生命周期各阶段的安全功能以及透过安全测试,及早发现问题。
IEC 62443-4-1 参考内容如下:
IEC 62443-4-1 参考内容如下:
- SD-4: Secure Design Best Practices
- SI-1: Secure Implementation Review
- SI-2: Secure Coding Standards
- SVV-3: Vulnerability Testing
- SVV-4: Penetration Testing
- SUM-4: Security Update Delivery
命令与控制及行动
面对攻击的行动,不外乎「事前预防」与「事后反应」,对应IEC 62443-4-1参考内容如下:
事前预防:
- SR-2: Threat Model
事后反应:
- DM-1: Receiving Notifications of Security-related Issues
- DM-2: Reviewing Security-related Issues
- DM-3: Assessing Security-related Issues
- DM-4: Addressing Security-Related
