锐单电子商城 , 一站式电子元器件采购平台!

  • 电话:400-990-0325

购物车

CWE 4.7中的新视图:工业控制系统的安全漏洞类别

时间:2022-12-12 14:00:00 v3接近传感器

本文分享自华为云社区《CWE 4.7中的新视图 -- 工业控制系统的安全漏洞类别》,作者:Uncle_Tom 。

1. CWE 4.7 的变化

CWE 今年的第一个版本是 5/1 作为软件安全的重要分类标准,我们来看看这个版本的变化。

从汇总图可以看出,新增 3 一个弱点,废弃一个弱点;新增; 1 个视图,25 分类。 从这些数字的变化中难看出,又有了新的视图。这个新视图的缺陷是什么?

让我们来看看具体弱点的变化。

1.1. 新增的 CWE 弱点

1.1.1.CWE-1357: 依靠不受控制的组件

  • 弱点类型:类(Class)

这种弱点的类型是类(Class)。具体弱点类型介绍可见《话说CWE 4.2的新视图》介绍弱点类型。

  • 弱点的描述

许多硬件和软件产品是通过多个较小的组件组合成一个较大的实体来构建的。这些组件可能由外部供应商提供或无法修改,即这里指出的无法控制。例如,硬件组件可以由单独的制造商构建,也可以使用与产品供应商没有正式合同的人开发的开源库。或者,由于组件供应商不再营业,组件不能更新或更改。

这种对不受控制组件的依赖意味着,如果在不受控制的组件中发现安全风险,产品供应商可能无法修复它们。

  • 弱点之间的关系

在研究者视图中(CWE-在1000)中,这一弱点违反了编程规范(CWE-710)下,包括两个现有的 CWE:使用未维护的第三方组件( CWE-1104)和依赖不可更新的组件(CWE-1329)分类。

  • 缺陷举例

  • CVE-2020-9054

IoT 命令注入问题后,由于产品已终止服务,设备无法及时修复补丁。

  • 消减措施

维护软件材料清单(SBOM), 掌握软件组件和依赖项清单,以及关于这些组件的信息及其层次关系。继续监控每个产品组件的变化,特别是当出现新的漏洞和服务终止时 (EOL) 及早采取措施。

1.1.2.CWE-1384: 极端物理环境条件处理不当

  • 弱点的描述

在温度、辐射、湿度、功率或其他物理现象等极端物理环境下,产品无法正确检测和处理。

不要对硬件造成的问题做太多分析。

1.1.3.CWE-1385: WebSockets 缺乏来源验证

  • 弱点的描述

WebSockets 在客户端和服务器之间提供双向低延迟通信(接近实时)。 WebSockets 与 HTTP 不同之处在于连接是长期存在的,因为在客户端或服务器准备发送消息之前,通道将保持打开 HTTP 一旦发生响应(通常立即发生),事务就完成了。

WebSocket 可以在端口 80 和 443 使用现有的 HTTP 协议(不限于 HTTP)。 WebSockets 不受浏览器保护机制限制的跨域要求,如同源战略(SOP)或跨境资源共享(CORS)。如果没有明确的来源验证,这将使 CSRF 攻击的危害更大。

  • 弱点之间的关系

在研究者视图中(CWE-在1000)中,这一弱点被放在访问控制不当(CWE-284)保护机制失效,(CWE-693)数据真实性验证不足(CWE-345) 下一个源验证错误(CWE-346)下面。

  • 缺陷举例

  • CVE-2020-25095

LogRhythm 的管理平台(PM) 7.4.9 的 Web 如果登录界面 PM 如果用户在同一浏览器会话中访问恶意网站,该网站可以执行 CSRF 攻击从受害者客户端到易受攻击的创建 PM 服务器的 WebSocket。一旦创建了套接字,恶意站点就可以在登录用户的上下文中与易受攻击的 Web 交互服务器。这可以包括导致命令执行的内容 WebSocket,导致跨站点 WebSocket 劫持(CSWH)。

  • 消减措施

  • 通过在 WebSocket 握手时验证握手时验证Origin标头保护类似跨域资源共享(CORS)访问限制;

  • 在建立 WebSocket 连接前验证用户身份。例如,使用 WS 库中的“verifyClient”函数。

1.2. 删除的 CWE 弱点

1.2.1.CWE-365: 废弃: Switch条件竞争

  • 删除原因

这个项目可能最初是基于对原始源材料的误解。最初的来源旨在解释使用线程时,switch 控制表达式使用的数据或变量可能会在执行不同线程之间发生变化,因此切换是不可预测的。 另外 CWE-367 已经涵盖了这个弱点。

注:CWE 一样会出现理解歧义,随着认识的统一会形成新的统一,所以不纠结,这是人类认知的进化过程。

2. CWE 的新视图

2.1.CWE-1358视图: 安全能源基础设施执行工作组(SEI EFT)给出的工业控制系统(ICS)安全缺陷分类

该视图中的 CWE 条目参照美国安全能源基础设施执行工作组(Securing Energy Infrastructure Executive Task Force (SEI ETF))在 2022 年 3 工业控制系统于月发布(ICS)安全缺陷类别存在(Categories of Security Vulnerabilities in ICS)》。 可以看出,该视图侧重于工业控制系统(ICS)存在弱点。 可以看出,该视图侧重于工业控制系统(ICS)有弱点。但是因为。 CWE 以前一直强调的是企业 IT 该软件的弱点不包括工业控制中的弱点,因此视图中的弱点是基于类似 IT 在未来建立弱点的方式 CWE 这些关系可能会在版本中发生变化。

该视图包含 5 个大类,20 个小类。

2.2. 背景介绍

制造商一直在寻找提高生产效率、降低成本低成本,提高监控质量,以确保符合标准。因此,世界各地的制造商使用和部署了越来越多的资产和设备连接到网络的技术来收集生产过程中的数据,并通过分析这些数据来发现生产过程的趋势或预测设备故障。

2.2.1. 工业控制系统(IndustrialControl Systems(ICS))

工业控制系统通常用于描述硬件和软件与网络连接的集成,以支持关键基础设施。ICS 包括但不限于监控和数据采集的技术(SCADA)和分布式控制系统(DCS)、工业自动化和控制系统(IACS)、可编程逻辑控制器(PLC)、可编程自动控制器(PAC)、远程终端单元(RTU)、智能电子设备控制服务器(IED)和传感器。工业部门和关键基础设施通常出现。

ICS 主要用于电力、水利、石油、天然气、数据等行业。根据远程站点获取的数据,可以将自动化或操作员驱动的监控命令推送到远程站点的控制设备,通常称为现场设备。现场设备控制,如开关阀和断路器的本地操作,从传感器系统收集数据,监控当地环境的报警条件。

2.2.2. 运营技术(Operational Technology(OT))

操作技术可定义为:监控或控制企业各种终端、流程和事件的软硬件技术,包括数据采集和自动控制技术。OT 它不仅包括硬件设施(如机器人、电机、阀门、数控机床等),还包括控制这些设施的各种软件技术。操作技术的本质是电子、信息、软件和控制技术的综合应用。

OT 应用于制造业、石油和天然气、发电和配电、航空、海事、铁路和公共事业等各种行业。

2.2.3 操作技术安全

OT 安全主要是由 Gartner 提出,Gartner 将 OT 安全定义为, 借助实践和技术:

  • (a) 保护人员、资产和信息;

  • (b) 物理设备、工艺和事件的监控和/或控制;

  • ? 发起企业 OT 系统状态变化。

使用软件和硬件来监控物理过程、物理设备和基础设施。许多资产密集型行业都存在操作技术系统,可以监控关键基础设施 (CI) 控制生产车间机器人等各种任务。

2.2.4. ICS/OT 和 IT 安全的差别

  • IT 和 ICS/OT 网络差别

  • IT 和 OT 影响差异

2.2.5 信息技术(IT)、运营技术(OT)的融合趋势

在工业 3.0 时代,操作技术(OT)和信息技术(IT) 具有相互独立的界面,二者没有融合的倾向。进入工业 4.0 时代,操作技术OT)和信息技术(IT)的融合趋势正成为工业数字化转型和制造业高质量发展的关键,特别是计算技术的融合成为了工业数字化转型与升级的重要方向。运营技术(OT)和信息技术(IT)以及通信技术(CT)正在深度融合,使得工业互联网初步实现了数据和实体的全面联接,推动服务与数据创新,促进数据价值实现,也使实时决策成为可能。目前,工业物联网(IIoT)、工业互联网、基于云的部署等方面是 OT 和 IT 融合的研究重点。

  • IT、OT 的融合趋势

2.3 对 ICS/OT 的攻击

互联网带动着各行各业的快速发展。万物互联乃至智能化的发展对工业领域也带来了极大的便捷,与之伴随的则是互联网的传统弊病,网络安全问题。工业领域由闭塞的环境走向互联,因为攻击面的增加,更容易发生网络安全问题。

2.3.1. 震网事件

2006-2010 年美、以情报和军情领域的软件和网络专家,工业控制和核武器的专家编制震网病毒,经历了 5 年的持续开发和改进,对伊朗纳坦兹铀离心设施的可编程逻辑控制器(PLC)控制系统进行攻击,修改了离心机压力参数、离心机转子转速参数,导致大量离心机瘫痪,铀无法满足武器要求,几乎永久性迟滞了伊朗核武器计划。震网被认为是第一个以现实世界中的关键工业基础设施为目标的恶意代码,并达到了预设的攻击目标,这是第一个“网络空间”意义上的重大攻击事件,而非传统的网络攻击事件。

2.3.2. 乌克兰电力部门遭受到恶意代码攻击

2015 年 12 月 23 日,乌克兰电力部门遭受到恶意代码攻击,乌克兰新闻媒体 TSN 在 24 日报道称:至少有三个电力区域被攻击,并于当地时间 15 时左右导致了数小时的停电事故; 攻击者入侵了监控管理系统,超过一半的地区和部分伊万诺-弗兰科夫斯克地区断电几个小时。因遭到入侵,导致 7 个 110KV 的变电站和 23 个 35KV 的变电站出现故障,导致 80000 用户断电。

2.3.3. 奥尔德斯马水处理设施安全事故

2021 年 2 月 5 日,有黑客未经授权远程访问了位于佛罗里达州奥尔德斯马的 Bruce T. Haddock 水处理厂的操作员工作站,该工厂位于佛罗里达州坦帕市西北约 15 英里处。根据皮涅拉斯县警长办公室描述,身份不明的网络攻击者当天在两个不同的场合访问了操作员工作站,时间相隔大约五小时。

  • 在当天上午大约 8 点的第一次非法入侵期间,工厂操作员观察到鼠标光标在操作员站的屏幕上移动,并认为可能是管理员正在监视系统(因为过去发生过这种情况)。

  • 当天下午 1 点半左右,操作员观察到有人再次访问了系统,这次操作员终于可以确定异常。攻击者操控了鼠标,将指针挪到了控制水处理的软件上,并展开了持续 3~5 分钟的操作。网络攻击者将氢氧化钠(碱液)的设定值从 100 ppm 更改成 11,100 ppm,然后退出系统。操作员看到了变化,立即将氢氧化钠的设定值改回了 100 ppm。

2.3.4. Claroty 的《ICS 风险及漏洞报告 2H:2021》

Claroty 被著名的研究机构和咨询公司 FORRESTER 评为 2021 年第四季度工业控制系统安全解决方案(Industrial Control Systems (ICS) Security Solutions)的领导者。Claroty 研究部门最近发布的 2021 下半年《ICS 风险及漏洞报告》,报告全面分析了 2021 年下半年公开披露的工业控制系统漏洞,包括供应商、安全研究人员、以及其他组织的专家发现的漏洞。

  • 2021 年共计披露了 1439 个 ICS 漏洞,比 2020 年的 942 个增加了 53%。

  • 2021 年漏洞影响 147 家 ICS 供应商,比 2020 年的 102 家增加了 44%。

2.4. NIST SP800-82 OT 网络安全指南

美国国家标准与技术研究院 (NIST)4 月 26 日发布了 NIST SP 800-82 和 3 版的一份初步公开草案,该草案指导如何提高运营技术(OT) 系统的安全性,同时满足其性能、可靠性和安全要求。更新后的 NIST SP 800-82 文档提供了 OT 和典型系统拓扑的概述,识别了 OT 支持的组织使命和业务功能的典型威胁,描述了 OT 中的典型漏洞,并提供了推荐的安全保护措施和应对措施来管理相关风险。

  • 草案中 OT 典型的漏洞包括:

    表 15:体系结构和设计漏洞

    表 16:配置和维护漏洞

    表 17:物理漏洞

    表 18:软件开发漏洞

    表 19:通信和网络配置漏洞

    表 20:传感器、最终元件和资产管理漏洞

  • 其中软件开发造成的漏洞,如下:

  • 注:这些漏洞,也是目前软件安全危害最大的漏洞类型。

3. 结论

  • 随着供应链攻击的加剧,人们已经提高了对供应链问题的防范, CWE 以加入了相关的缺陷分类;

  • 随着 IT 和 OT 的融合,企业在数字化转型中,需要对工业控制中可能造成的网络攻击引起足够的重视和防范;

  • OT 的安全会对基础设施造成影响更为广泛的灾害,特别是供电、供水、运输等基础设施的破坏;

  • 美国通过 SP800-82 OT 网络安全指南来提升运营技术(OT) 系统的性能、可靠性和安全要求;

  • CWE 4.7 版本的工业控制系统(ICS)中存在的安全缺陷分类,为我们提供了发现 OT 领域的安全问题和防范提供了系统的视角。

4. 参考

  • Differences between Version 4.6 and Version 4.7

  • OT 安全的定义及特点:https://www.freebuf.com/articles/ics-articles/213474.html

  • 面向“互联网 +”的 OT 与 IT 融合发展研究: https://www.engineering.org.cn/ch/10.15302/J-SSCAE-2020.04.015

  • SEI-ETF-NCSV-TPT-Categories-of-Security-Vulnerabilities-ICS-v1_03-09-22: https://inl.gov/wp-content/uploads/2022/03/SEI-ETF-NCSV-TPT-Categories-of-Security-Vulnerabilities-ICS-v1_03-09-22.pdf

  • The Differences Between ICS/OT and IT Security : https://www.sans.org/posters/the-differences-between-ics-ot-and-it-security/

  • Operational Technology Security – Focus on Securing Industrial Control and Automation Systems: https://blogs.gartner.com/earl-perkins/2014/03/14/operational-technology-security-focus-on-securing-industrial-control-and-automation-systems/

  • NIST SP800-82 Guide to Operational Technology (OT) Security v3: https://csrc.nist.gov/publications/detail/sp/800-82/rev-3/draft

  • Claroty Team82 BIANNUAL ICS RISK & VULNERABILITY REPORT: 2H 2021: https://security.claroty.com/biannual-ics-risk-vulnerability-report-2h-2021

  • 乌克兰电力系统遭受攻击事件综合分析报告: https://www.antiy.cn/research/notice&report/research_report/20160323.html

  • Florida water hack highlights risks of remote access work without proper security: https://edition.cnn.com/2021/02/13/us/florida-hack-remote-access/index.html

点击关注,第一时间了解华为云新鲜技术~​

锐单商城拥有海量元器件数据手册IC替代型号,打造电子元器件IC百科大全!

相关文章