自2015年工控系统(ICS)安全成为黑帽大会的热门话题以来,工控系统安全事件发生频率逐年上升过去五年,并在2019年再创新高。以下是《安全牛2019年网络安全大事记》中国工控安全事件统计:2019年工控安全事件工控安全威胁和攻击持续增长的主要原因之一是工具化的攻击技术。近年来,针对工控系统(ICS)的入侵攻击工具呈快速增长趋势,大大降低了对运营技术(OT)网络和工控系统(ICS)的攻击门槛。根据FireEye最新发布的工控系统安全报告显示,大量工控系统攻击工具的出现,使得以往需要特殊知识和高深黑客技术的普通黑客也能进行工控系统攻击。未来工业控制系统的安全形势将变得异常严峻。值得注意的是,高级工控系统攻击者还会使用工控系统攻击工具来隐藏身份或大幅降低攻击成本。十类ICS攻击工具多年来,安全研究人员一直在追踪大量针对ICS的公开网络操作工具。目前最常见的ICS攻击工具可以分为以下十类:近年来,ICS攻击工具具有三大特点:大部分是近十年发展起来的;大多数工具与供应商无关;主要针对最大的ICSOEM(例如西门子、施耐德电气、GE、ABB、DigiInternational、RokerVailAutomation和WindRiverSystems)使用最广泛的解决方案。目前网上常见的工控系统攻击工具主要分为两类:一类是“独立攻击工具”,一类是基于流行的利用框架和模块开发的。数量最多的ICS攻击工具类别:资产发现超过一半的“独立”ICS攻击工具属于“资产发现”,这有助于攻击者了解连接到网络的ICS设备和软件开发工具,以及ICS攻击工具的数量排名前十的类别占比统计如下:一般来说,开发工控系统攻击工具,如ICS专用恶意软件和勒索软件,开发者必须对目标系统有深入的了解和编码技能,这对大多数攻击者来说是不可能的.ICS的漏洞利用模块,Metasploit最危险和最常见的漏洞利用框架,例如Metasploit(免费),CoreImpact和ImmunityCanvas(均为商业用途),以及最新的ICS漏洞利用框架,例如Autosploit,工业开发框架(ICSSPLOIT)两者都为ICS提供漏洞利用模块。得益于俄罗斯安全研究公司GLEG的不懈努力,ImmunityCanvas目前提供了最多的漏洞利用:FireEye研究人员指出:目前跟踪了数百个ICS特定的漏洞利用模块,涉及500多个漏洞,其中71%是潜在的零日漏洞漏洞。在这三个非ICS特定框架中,Metasploit具有最少的ICS特定漏洞,但由于它是免费提供的,这些漏洞目前对防御者构成的威胁最大。ICS攻击工具最有针对性的工控系统供应商(西门子、研华/Broadwin、施耐德电气排名前三)得出知己知彼才能百战百胜的结论。工控系统攻击工具大大降低了工控系统的攻击门槛,成为当前乃至未来工控系统面临的最大威胁。工控网络攻击工具监测应成为工控安全领域重要的风险指标。那些对ICS攻击工具不够重视或缺乏研究的企业,最有可能成为菜鸟工控黑客练手的对象。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此阅读更多作者好文
