1、OT環(huán)境與核心基礎(chǔ)架構(gòu)安全技術(shù)創(chuàng)新，變革未來OT環(huán)境安全威脅ICS 惡意軟件和攻擊平面在2018的ICS-CERT發(fā)布了114份威脅報告ICS 惡意軟件非常先進(jìn) 2010 - Stuxnet 2013 - Havex 2015 - BlackEnergy2 2016 - Crash Override / Industroyer 2017 / 2018 - Triton威脅報告分析結(jié)果: 默認(rèn)已知的用戶名密碼 配置錯誤/ 軟件Bugs 跨站腳本攻擊 信息泄露針對核心基礎(chǔ)架構(gòu)的攻擊 威脅是真實存在的2015201420132010Stuxnet破壞了伊朗 的核計劃紐約大壩閘門 被破壞德國鋼廠爐被毀

2、汽車變速器和制動器被 控制烏克蘭電網(wǎng)脫機醫(yī)院藥物輸液泵 被黑密歇根州的交通 燈被黑201820192017默克制藥公司全 球生產(chǎn)由于勒索 軟件停止（損失 10億美元）馬士基航運公司 由于勒索軟件全 球業(yè)務(wù)停擺（損 失2.5億美元）Trisis / Triton：旨在危 害工業(yè)生產(chǎn)系統(tǒng)安全的 惡意軟件全球鋁生產(chǎn) 商由于勒索 軟件關(guān)閉IoT設(shè)備的搜索引擎查找開放的端口和服務(wù)允許攻擊者查找開放的系統(tǒng)攻擊者可以找到的系統(tǒng)包括： 電站, 核心基礎(chǔ)設(shè)置, 或其他 開放的服務(wù)包含攝像頭, 路由器, 服務(wù)器ShodanAutosploit通過Shodan查找可被攻擊的系統(tǒng)通過Metasploits查找被攻擊的

3、弱點可發(fā)起大規(guī)模攻擊通用工控系統(tǒng)網(wǎng)絡(luò)架構(gòu)ICS 數(shù)字化攻擊鏈 烏克蘭電網(wǎng)標(biāo)準(zhǔn)攻擊了解敵人的戰(zhàn)略- 知己知彼 百戰(zhàn)不殆2016 Analysis Report (SANS and E-ISAC)March 2015December 23rd, 2015攻擊時間線計劃準(zhǔn)備& 數(shù)字化 滲透攻擊開發(fā)和調(diào)優(yōu)驗證ICS 攻擊步驟1- 入侵 (同標(biāo)準(zhǔn) IT環(huán)境下入侵做對比)步驟2- ICS 攻擊感染Microsoft Office文件釣魚郵件BlackEnergy 3VPN & 秘鑰竊取網(wǎng)絡(luò) & 主機發(fā)現(xiàn)惡意固件開發(fā)SCADA 劫持?jǐn)嗦菲鞔蜷_命令 修改UPS參數(shù) 上傳固件 KillDisk 改寫Power

4、Outage從IT網(wǎng)絡(luò)滲透到OT網(wǎng)絡(luò)Fortinets 參考架構(gòu)2019 Fortinet Security FabricPurdue Model, ISA-99, IEC-62443, 風(fēng)險管理框架SECURITYSAFETY特性中等, 接受延遲安全對象優(yōu)先級Availab可ilit用y r性eq需uir求ement非常高接受延遲Real-tim實e時re性q需uir求ement危急3-5 年Com組po件ne生nt命li周fet期ime超過20年定期/計劃性Applicat應(yīng)io用n o補f p丁atches慢/不頻繁定期委托第三方Secu安rit全y t測es試tin/g /審a計udi

5、t偶爾成熟度高Securi安ty 全aw意ar識eness逐漸增加可用性完整性可用性完整性IT保密性O(shè)T保密性IT和OT有何不同控制層次結(jié)構(gòu)的Purdue模型制造系統(tǒng)的基本功能和組成框架在其他模型和行業(yè)中采用將設(shè)備和設(shè)備進(jìn)行分層基于工廠技術(shù)的這種分割，ISA-99 / IEC62443制造和控制系統(tǒng)安全委員會確定了水平和邏輯框架Level 5: 企業(yè)Level 4: 現(xiàn)場業(yè)務(wù)規(guī)劃和物流Level 3.5 OT 認(rèn)證邊界Level 3: 現(xiàn)場制造運營和控制Level 2: 區(qū)域Level 1: 基本控制Level 0: Process企業(yè)Zone生產(chǎn) ZoneCell/Area Zone安全區(qū)域

6、- SISHMISCADAHISTORIANHMI/SCADA MASTERPLC/RTU/IED傳感器/傳動器Purdue Model和IT安全能力對應(yīng)表Enterprise ZoneDMZOperations and ControlControl Area Zone(s)BoundaryLayers0Physical12Area3Site4IT5Corporate企業(yè)級防火墻身份認(rèn)證管理惡意行為發(fā)現(xiàn)和響應(yīng)資產(chǎn)發(fā)現(xiàn), 可視化, 分類終端防御咨詢集成和服務(wù)管理BasicLevel 3 操作 DC 生產(chǎn)區(qū)域Level 3.5操作DC DMZ管理區(qū)域FortiGate FortiLink Fort

7、iSwitch Private VLANs 微分段FortiSwtichRemote UserLevel 4 External Enterprise LAN 企業(yè)環(huán)境Level 5 Internet DMZ Enterprise 企業(yè)環(huán)境Remote Vendor區(qū)域控制 區(qū)域和管道 微分段物理和虛擬分段gineeri g Serv r ZoneHistorian Serve ZoneApplicatio Server ZoneEngineering WorkStation ZoneOp ra or WorkStationneDomain ControllerFortiClient EMS S

8、erverFortiAuthenticatorFortiManagerFortiAnalyzerFSSOFortiSandboxFortiSIEMFortiMailFortiWebEmail ServersWeb ServersEnterprise DesktopsBusiness ServersFSSOAuthentication Services &Domain ControllersLevel ExternalInternetFortiSwtichFortiGateFortiGate FortiGateFortiGuard Threat Intelligence ServiceForti

9、Guard Global Intelligence將Fortinet的參考架構(gòu)應(yīng)用于Purdue模型Wide Area Network MPLS, SD-WAN, 3G, 4G, APN, VPNADSL, Cable支持的協(xié)議BACnetDNP3ElcomEtherCATEtherNet/IPHARTIEC 60870-6(TASE 2) /ICCPIEC 60870-5-104IEC 61850支持的應(yīng)用和供應(yīng)商7 Technologies/Schneider ElectricABBAdvantechBroadwinCitectSCADACoDeSysCogentDATACEatonGEI

10、conicsInduSoftIntelliComMeasuresoftMicrosysMOXAPcVueProgeaQNXRealFlexRockwell AutomationRSLogixSiemensSunwayTeeChartVxWorksWellinTechYokogawa深層包檢測(DPI) 應(yīng)用控制協(xié)議Modbus, IEC 60870-6 (ICCP) and IEC.60870-5.104日志記錄到FortiAnalyzer，F(xiàn)ortiSIEM和SyslogLONTalkMMSModbusOPCProfinetS7SafetyNETSynchrophasor針對已知威脅的可見性

11、和分段保護使用攻擊PC來對PLC進(jìn)行攻擊FortiGate 進(jìn)行攻擊防御switchHMIPLCAttacker PCFortiGateImpactDefendAttack現(xiàn)場DEMO演示基于標(biāo)準(zhǔn)的工業(yè)架構(gòu)框架Enterprise Analytics (Private / Cloud / Hybrid)企業(yè)服務(wù)廣域網(wǎng)(WAN):物理或虛擬服務(wù)器ERP, EmailActive DirectoryCall Control (Hosted, on-prem, or Hybrid)云端訪問工業(yè)應(yīng)用服 務(wù)器Gbps Link for Fallover DetectionWebAppsExternal

12、DMZ/Firewall物理或虛擬服務(wù)器/應(yīng)用:補丁管理, 應(yīng)用更新防病毒服務(wù)器遠(yuǎn)程桌面網(wǎng)關(guān)服務(wù)器Plant Cyber Security (Perimeter):Inter-Zone 流量分段ACLs, IPS,和 ISDVPN 服務(wù)Enterprise ZoneLevels 4-5Firewall (Active)Firewall (Standby)Industrial Demilitarized Zone (IDMZ)物理或虛擬HMIs / 服務(wù)器 / 應(yīng)用:生產(chǎn)系統(tǒng)和應(yīng)用網(wǎng)絡(luò)服務(wù): DNS/AD/DHCP/AAA防止和緩解操作系統(tǒng)故障Mobility Services無線連接, 定位服

13、務(wù)Plant Cyber Security (認(rèn)證服務(wù))基于角色的認(rèn)證基于角色的VLAN 和系統(tǒng)訪問身份可以是用戶或設(shè)備Site OperationsLevel 3Radius (AAA)服務(wù)器SDN-Ready ArchitectureRASIndustrial ZoneLevels 0-2工廠生產(chǎn)網(wǎng)絡(luò):無單點故障適合工業(yè)環(huán)境, DIN導(dǎo)軌安裝支持工業(yè)協(xié)議增強生產(chǎn)系統(tǒng)可用性彈性，靈活, 無處不在數(shù)據(jù)分段、優(yōu)先排序數(shù)據(jù)傳輸一致性連通性提供可見性并實現(xiàn)數(shù)據(jù)提取自動化快速部署簡單標(biāo)準(zhǔn)管理,數(shù)字工廠安全(工業(yè)級)控制信令檢測支持工業(yè)協(xié)議降低風(fēng)險東西向流量防護基于端口的安全和集中認(rèn)證提供安全的遠(yuǎn)程接入訪問帶有POE的工業(yè)交換機Cell/Area #2 (環(huán)形拓?fù)?Drive Controller HMI DistributedI/OCell/Area #1(冗余的星型拓?fù)?ControllerHMIDriveAccess SwitchesIdenti