隨著“兩化”融合的不斷深入，傳統IT的安全威脅不斷涌向工業控制系統，讓原本封閉和脆弱的工業控制系統雪上加霜。據美國國土安全部下屬的工業控制系統網絡應急響應小組（ICS-CERT）發布的報告披露，2014年9月至2015年2月期間共發生了245起網絡安全事件, 其中的154起影響了關鍵制造業、能源系統、化工和核設施。這些事件在發生頻率、復雜性和嚴重性上均有不同程度增加,且超過一半屬于高級持續性威脅（APT）。盡管企業在安全防護、監控和檢測能力上已有所增強，但伴隨著工控系統攻擊行為的集團化、精準性特點越來越顯著，可被利用的安全漏洞在過去幾年逐年增多，充分了解自身安全風險顯得尤為必要。滲透測試作為發現工控系統脆弱性的有效補充手段，可驗證安全管理流程和技術防護措施的有效性，增強工業控制系統網絡安全性。

圖1 ICS-CERT公布的發生在2014年9月到2015年2月期間的網絡安全事件

什么是滲透測試？

滲透測試是通過模擬惡意黑客的攻擊手段和方法，來評估網絡系統安全性的一種方法。不同于漏洞評估偏重于檢查系統和服務是否存在安全問題，滲透測試主要通過執行漏洞利用來驗證系統確實存在漏洞。

基于滲透測試的特點，在對工業控制系統進行滲透測試時需特別注意，因為傳統的滲透測試方法可能會對工業控制系統基礎設施和生產過程產生嚴重影響。

為什么要，什么時候執行滲透測試？

在工業控制系統環境中，滲透測試常常面臨質疑、恐懼，甚至被徹底否定。在不采取必要預防措施的情況下,滲透測試確實可能會對生產系統產生嚴重后果，但準確評估系統安全性的唯一途徑就是驗證生產系統面臨嚴重攻擊時的防護能力。工業控制網絡普遍采取多層結構的縱深安全防御體系，需要通過滲透測試來判斷防護措施的有效性。

滲透測試應貫穿風險評估工作的整個生命周期,包括:

?驗證漏洞評估結果，剔除錯誤信息；

?評判前期制定的安全策略是否合理；

?評估漏洞修復是否成功執行。

工業控制系統滲透測試安全標準

工業控制系統安全防護標準已逐漸完善，包括NIST SP800-82, ISA-99/IEC 62443，《工業控制系統信息安全防護指南》等，但針對工業控制系統滲透測試的標準卻幾乎沒有，NIST SP800-115提供了漏洞評估和滲透測試的指導，但并未針對工業控制系統給出相關建議。工業控制系統滲透測試應結合傳統的滲透測試手段、工業控制系統現場經驗以及工業控制系統安全防護標準來完成。

識別“0-day”漏洞

滲透測試最能體現專業性和技術性的方面之一就是“0-day”漏洞的研究和發現。“0-day”漏洞研究只適合于擁有最高專業技能的滲透測試人員,旨在發現尚未報道,甚至是還未發現,更不用說修復的安全漏洞。

在傳統IT領域，漏洞發現、補丁修復以及漏洞發布已非常成熟,但在工業控制系統領域，其研究和發現工作卻遠遠落后，主要因為:

?工業控制系統設備和協議在設計之初未充分考慮安全設計；

?設備生產廠商不愿修復漏洞或重新進行安全設計；

?已發現的工控漏洞并未完全發布到漏洞共享平臺。

工控系統漏洞發現和防護工作不能僅僅依靠各漏洞共享平臺，需結合工控設備或系統的滲透測試成果，實現最準確的工控漏洞態勢感知，最大限度做好安全防護工作。

工控滲透測試原則

滲透測試工作的前提是不能影響工業控制系統安全和正常生產過程。對滲透測試過程中允許和禁止使用的方法、技術要進行明確規定，同時根據不同行業、系統、生產環節等制定各自不同的測試原則。

工控滲透測試策略

滲透測試過程除了需遵循相關原則外，還需采取必要的策略，并綜合考慮工業控制系統的特殊設計、功能、應用系統、協議以及使用的設備等，充分利用設計或功能方面的缺陷或漏洞進行切入。所有滲透測試的結論應基于合法、真實有效的成功結果（如：在不影響系統的前提下獲得關鍵系統訪問權限）。

偵查

工控滲透測試環節的第一步，也是最重要的一環，直接影響后續的滲透測試的策略制定。工控滲透測試的偵查階段與傳統IT滲透測試相同，如在互聯網上搜索企業的所有相關信息，分析與測試目標相關的IP地址、BBS、電子郵件、網頁快照等。

外部測試

外部測試指的是通過互聯網對面向互聯網的網絡環境進行測試。應盡量避免直接對工業控制系統進行滲透，選擇面向互聯網的臨近網絡，如管理信息網，然后通過管理信息網進入生產控制網。根據大多數工業安全標準,尤其是ISA-99/ IEC 62443，不僅要求生產網需與其它網絡隔離，還規定了數據流向不能從高級別管理區域（levels 4 and 5）流向低級別生產區域（levels 0 to 3）（如圖2）。

圖2 ISA-99/IEC 62443 Purdue模型

盡管ISA-99/IEC 62443等對數據流向進行了規定，但不遵守安全分區和數據流向規則的網絡大量存在，多網卡以及允許全網ICMP通訊的情況也非常普遍，外部滲透測試方法依舊可行。

其它可選滲透測試方法

除了上面提到的互聯網和相鄰連接網絡滲透測試方法，其它可考慮的滲透點包括物理安全脆弱性和社會工程學。社會工程學利用了任何安全程序中最薄弱的環節之一:人的因素。技術性社會工程學方法（如釣魚網站）結合專業的工具可實現最有效的滲透測試，工業控制系統需綜合終端防護、入侵檢測及加強人員安全意識培訓等來防范社會工程學攻擊。

測試模擬的真實工業控制網絡

在實驗室或者測試環境搭建模擬真實生產控制系統的平臺，采用相同的設備類型、型號和版本，并盡可能采用真實系統的備份鏡像進行測試，采取各項滲透測試手段，盡最大可能發現模擬環境的問題，而無需太關心安全問題。

測試工控設備

取得控制設備操作權限或破壞控制設備是黑客攻擊的重要目的。由于前期未進行安全設計，大部分基于IP的工業控制協議都缺乏加密認證機制，很容易被修改、劫持、破壞,甚至造成設備被直接控制。需對工控設備進行安全性和健壯性測試，挖掘其未知安全漏洞。

測試工控服務器和工作站

工控服務器和工作站大部分是Windows系統，且很大一部分為XP等老舊系統。用戶由于擔心系統兼容性問題，通常不升級補丁，系統長期運行后會積累大量的安全漏洞，也為滲透測試提供了豐富的研究素材。

小結

本文簡單介紹了工控系統滲透測試方法，并分析了工業控制系統的特定威脅、攻擊行為以及風險點，幫助客戶優化安全防護策略，減少安全隱患。

威努特作為工控安全行業領頭羊，組建了一支由工控系統專家和工控安全專家組成的滲透小組，運用網絡安全知識和工業控制系統專業技能，深入不同行業開展滲透測試調研。最終形成了“一事一議”的工業控制系統滲透測試原則，為工控系統滲透測試工作的開展提供了新思路。