工业互联网背后的安全力量

2020年，“新基建”一词再次火热，工业互联网作为新基建的七大领域之一， 受到了更多关注。今年两会，工业互联网连续第四年被写入了政府工作报告。 未来三年，可以预见工业互联网将进入快速成长期。

工业互联网和我们每个人并不是全无干系，现代生活很大程度上依赖于工业互联网。水处理厂、电力公司、通信企业等都离不开SCADA系统 （数据采集与监视控制系统），如果它们的网络遭到攻击和破坏，将影响个人生活，企业乃至国家的正常运转。

工控安全事件层出不穷

然而，工业互联网中的设备和协议对网络攻击基本不设防，工业通信协议也大都是明文协议，这就导致攻击者更容易入侵网络。

2019年，委内瑞拉最大发电厂遭到攻击，全国停电；

2020年，以色列水利基础设施遭到攻击，紧急更改所有联网系统的口令；

2021年，美国能源系统遭到有史以来最严重的攻击，美国政府宣布进入国家紧急状态……

层出不穷的工控安全事件，为工业网络安全敲响了警钟。

工控网络遭到攻击的主要原因

早期，工控系统都是专网专用。但随着工业互联网的发展，信息化带来的便利超出预期，暴露在网络上的SCADA系统越来越多，其中不乏能源、交通等重要行业。

大部分SCADA系统是早期开发的，存在着许多漏洞。当能够通过公网直接访问这些SCADA系统时，也打开了网络入侵的大门。

1、SCADA系统的暴露数量持续增长

在网络空间安全搜索引擎FOFA上，可以搜索到大量暴露在公网上的SCADA系统，近一年的搜索结果就达5万余个。

管理人员在安全方面不够敏感，为了便利性或业务需要将SCADA系统直接映射到公网。攻击者可以通过爬虫、网络扫描器等扫描到这些系统，通常使用弱口令破解登录。

在FOFA上搜索到大量SCADA系统

2、SCADA系统具有Web访问入口

SCADA系统一般是应用程序，部分具有Web管理界面，同时也有Web漏洞。常见的Web漏洞如SQL注入、XSS、CSRF等，都可能出现在SCADA系统的Web管理界面中，被攻击者利用从而渗透进入系统。

某SCADA系统存在SQL注入漏洞

3、SCADA系统与PLC通信协议未加密

SCADA系统对PLC的访问不需要认证，攻击者可以修改报文后，进行重放攻击。

例如，S7 communication是西门子专有协议，S7协议被封装在TPKT和COTP协议中，这使得PDU（协议数据单元）能够通过TCP传送，实现从SCADA系统访问PLC数据及诊断的目的。

S7以太网协议基于OSI模型

第五层TPKT介于TCP和COTP之间，是一个传输服务协议，主要用于在COTP和TCP之间建立桥梁。第六层COTP以Packet为基本单位传输数据，接收方会得到与发送方相同边界的数据。第七层S7与用户数据相关，对PLC数据的读取和控制指令在这里完成。

因此，TPKT和COTP主要用于鉴权，一般不发生改变。如果把S7的功能码解析出来，就可以对PLC进行控制。

解析功能码

在公开信息中可以找到其他功能码，并通过重放脚本进行重放攻击，即模拟SCADA系统向PLC发包，对PLC进行控制。

工业互联网背后的安全力量

工业互联网打破了传统工控系统的封闭格局，暴露出了以上这些安全问题。面向工业互联网场景，安博通下一代防火墙产品 已成为“智”造背后的安全力量。

1、资产清点发现，缩小公网暴露面

安博通下一代防火墙采用主动扫描和监控主机流量的方式，识别网络中的资产信息，包括PC、交换机、SCADA系统、PLC设备、HMI人机交互等。帮助管理人员掌握内网中的资产情况，识别潜在风险，减少未知开放服务。

2、WAF级别的Web安全防护

对于暴露在互联网上的SCADA系统，在IT到OT这个网络转换的中间地带，安博通下一代防火墙可以提供WAF级别的Web安全防护，拦截SCADA系统的请求。

以资产和攻击者维度关联安全事件，将攻击过程阶段化、具体化和可视化，为事后回溯提供数据支撑。看见攻击者入侵了哪些内网主机，看清被影响范围和受损情况。

不同维度的攻击链分析

3、精准识别工控通信协议

工业互联网中设备类型丰富，多数采用私有协议进行通讯，传统防火墙对工控协议的识别能力较弱。为满足工控行业的合规要求，安博通下一代防火墙通过自主研发的深度数据包解析引擎，能够检测主流厂商的工控协议并发现工控设备。

产品应用白名单机制保护SCADA系统与PLC之间的通信和控制，实现对主流工控协议内容的深度报文解析和精准识别 ，包括OPC、Modbus、Opcode、IEC104、DNP3、S7等协议。

工业互联网将为“智”造行业构建通四方、行无阻的“高速公路”，成为工业经济高质量发展的助推力。安博通坚持以原创技术做场景创新，成为工业数字化背后的安全力量。