一顆小胡椒
2
CISM-WSE
CISP-PTS
一顆小胡椒2
CISM-WSE
CISP-PTS
工業ICS高級可持續威脅有以下這些:
偽裝攻擊:通過指定路由或偽造假地址,攻擊者以假冒身份與其他主機進行合法通信或發送假數據包,使受攻擊主機出現錯誤動作,如IP欺騙。
探測攻擊:通過掃描允許連接的服務和開放的端口,攻擊者能夠迅速發現目標主機端口的分配情況、提供的各項服務和服務程序的版本號以及系統漏洞情況,并找到有機可乘的服務、端口或漏洞后進行攻擊。常見的探測攻擊程序有Nmap、Nessus、Metasploit、Shad-ow Security Scanner、X-Scan等。
嗅探攻擊:將網卡設置為混雜模式后,攻擊者對以太網上流通的所有數據包進行嗅探,以獲取敏感信息。常見的網絡嗅探工具有SnifferPro、Tcpdump、Wireshark等。
解碼類攻擊:即用口令猜測程序破解系統用戶賬號和密碼。常見工具有L0phtCrack、John the Ripper、Cain&Abel、Saminside、WinlogonHack等。此外,還可以破解重要支撐軟件的弱口令,例如使用Apache Tomcat Crack破解Tomcat口令。
緩沖區溢出攻擊:通過往程序的緩沖區寫入超出其長度的內容,造成緩沖區的溢出,從而破壞程序的堆棧,使程序轉而執行其他的指令。緩沖區攻擊的目的在于擾亂某些以特權身份運行的程序的功能,使攻擊者獲得程序的控制權。
欺騙攻擊:利用TCP/IP本身的一些缺陷對TCP/IP網絡進行攻擊,主要方式有ARP欺騙、DNS欺騙、Web欺騙、電子郵件欺騙等。
拒絕服務和分布式拒絕服務攻擊:這種攻擊行為通過發送一定數量和序列的數據包,使網絡服務器中充斥了大量要求回復的信息,消耗網絡帶寬或系統資源,導致網絡或系統不勝負荷以至于癱瘓、停止正常的網絡服務。常見的拒絕服務(Denial of Service,DoS)攻擊有SYN Flooding、Smurf等。近年,DoS攻擊有了新的發展,攻擊者通過入侵大量有安全漏洞的主機并獲取控制權,在多臺被入侵的主機上安裝攻擊程序,然后利用所控制的這些大量攻擊源,同時向目標機發起拒絕服務攻擊,稱之為分布式拒絕服務(Distribute Denial of Service,DDoS)攻擊。常見的DDoS攻擊工具有Trinoo、TFN等。
Web腳本入侵:由于使用不同的Web網站服務器和開放語言,網站中存在的漏洞也不相同,所以使用Web腳本攻擊的方式也很多。例如黑客可以從網站的文章系統下載系統留言板等部分進行攻擊,也可以針對網站后臺數據庫進行攻擊,還可以在網頁中寫入具有攻擊性的代碼,甚至可以通過圖片進行攻擊。Web腳本攻擊常見方式有注入攻擊、上傳漏洞攻擊、跨站攻擊、數據庫入侵等。
0day攻擊:0day通常是指還沒有補丁的漏洞,而0day攻擊則是指利用這種漏洞進行的攻擊。提供該漏洞細節或者利用程序的人通常是該漏洞的發現者。0day漏洞的利用程序對網絡安全具有巨大威脅,因此0day不但是黑客的最愛,掌握0day的數量也成為評價黑客技術水平的一個重要參數。
加強工業網絡方法有以下這些:
工業主機白名單控制:工業主機由于長期不間斷運行,不能及時打補丁,并且受到聯網條件的限制,無法實時更新病毒庫,因此傳統殺毒機制不適用于工業主機。比較有效的方式是采用白名單控制技術,對工業軟件相關的進程文件進行掃描識別,為每個可信文件生成唯一的特征碼,特征碼的集合構成特征庫,即白名單。只有白名單內的軟件才可以運行,其他進程都被阻止,以防止病毒、木馬、違規軟件的攻擊。
工控協議識別與控制:為了保障數據傳輸的可靠性與實時性,工業生產網已發展了多套成熟的通信協議,主流的有幾十種,大致分為工業總線協議和工業以太網協議兩大類,如Modbus、S7、OPC、Profinet、IEC104等。工控協議的識別能力是安全設備工作的基礎,也是評價產品能力的重要指標。
工控漏洞利用識別與防護:工控系統漏洞是工控網絡安全問題的主要來源。由于工控設備很少升級或者不升級,因此普遍存在可被攻擊的漏洞,而由于技術的專業性和封閉性,這些漏洞很容易被作為0day利用。因此工控安全產品對工控漏洞利用行為的識別能力,以及相應的防護能力,是工控安全防護能力建設的核心。
工控網絡流量采集與分析:獲取網絡流量是發現網絡攻擊的前提,流量采集與分析廣泛應用于網絡安全方案,是一項比較成熟的技術。對于工控網絡,除了基本的流量識別與統計分析外,還需要理解生產過程的操作功能碼,根據業務邏輯判斷是否發生異常。此外,根據設備間通信的規律建立流量基線模型,對多源數據進行關聯分析,能夠有效地識別異常行為和網絡攻擊。
工業網絡安全態勢感知:態勢感知是安全防御的重要手段,對于工控網絡,通過安全態勢感知平臺,可以直觀地了解網絡中的資產分布、漏洞分布、網絡攻擊事件,對網絡的整體風險水平進行量化評估。態勢感知平臺需要多種核心能力支持,包括完善的數據獲取能力、大數據分析與建模能力、網絡攻擊溯源分析能力、安全事件閉環處理能力等,是工控網絡安全防護的核心產品。
推薦文章
