CVSS(Common Vulerability Scoring System), 通用漏洞評(píng)估方法提供了一種捕獲漏洞主要特征并生成反映其嚴(yán)重性的數(shù)字評(píng)分的方法。數(shù)字評(píng)分以文本形式來(lái)表示，通常將數(shù)字分?jǐn)?shù)轉(zhuǎn)換為定性表示形式(例如低，中，高)，以幫助組織正確評(píng)估漏洞管理流程并確定漏洞修復(fù)優(yōu)先級(jí)[1]。

工業(yè)互聯(lián)網(wǎng)安全高危漏洞分析

　　漏洞庫(kù)平臺(tái)根據(jù)CVSS分級(jí)標(biāo)準(zhǔn)對(duì)漏洞進(jìn)行0至10之間的數(shù)字評(píng)分，10分為最高分，表示該漏洞的嚴(yán)重程度最高，一旦被攻擊者利用，造成的損失也較大。本文分析2020年1月至6月CVSS v3.X(CVSS v3.0或CVSS v3.1)為10的工業(yè)互聯(lián)網(wǎng)安全高危漏洞，如表1所示，并對(duì)AutomationDirect、Moxa、Emerson、Schneider Electric不同供應(yīng)商的高危漏洞進(jìn)行詳細(xì)分析，并參考美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)的建議給出漏洞的緩解措施。

表1：CVSS v3.X為10的工業(yè)互聯(lián)網(wǎng)安全高危漏洞

　　 一  AutomationDirect C-More Touch Panels EA9 Series 憑證管理漏洞(CVE-2020-6969)[3]

　　漏洞描述：AutomationDirect C-More Touch Panels EA9 是美國(guó)AutomationDirect公司的一款軟件管理平臺(tái)。

　　威脅預(yù)警：CVSS v3 10

　　風(fēng)險(xiǎn)評(píng)估：攻擊者成功利用該漏洞，能夠獲取帳戶(hù)信息(例如用戶(hù)名和密碼)，進(jìn)而訪(fǎng)問(wèn)系統(tǒng)并修改系統(tǒng)配置。

　　受影響的產(chǎn)品：AutomationDirect C-More Touch Panels EA9 6.53之前的版本

　　CISA漏洞緩解措施：

　　●廠(chǎng)商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞：

　　https://support.automationdirect.com/products/cmore.html

　　● 最小化工業(yè)控制系統(tǒng)/設(shè)備的網(wǎng)絡(luò)暴露面

　　● 在防火墻后面找到控制系統(tǒng)網(wǎng)絡(luò)和遠(yuǎn)程設(shè)備，并將其與業(yè)務(wù)網(wǎng)絡(luò)隔離

　　● 采用VPN的安全方式進(jìn)行遠(yuǎn)程訪(fǎng)問(wèn)

　　 二  Moxa PT-7528和PT-7828 緩沖區(qū)溢出漏洞(CVE-2020-6989)[4]

　　漏洞描述：Moxa PT-7528和Moxa PT-7828都是中國(guó)臺(tái)灣摩莎(Moxa)公司的一款管理型機(jī)架式以太網(wǎng)交換機(jī)。

　　威脅預(yù)警：CVSS v3 10

　　風(fēng)險(xiǎn)評(píng)估：攻擊者成功利用該漏洞可執(zhí)行任意代碼或造成拒絕服務(wù)。

　　受影響的產(chǎn)品：

　　Moxa PT-7528 series firmware 4.0 之前的版本

　　Moxa PT-7828 series firmware 3.9 之前的版本

　　CISA漏洞緩解措施：

　　● 廠(chǎng)商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞：

https://www.moxa.com/en/support/support/security-advisory/pt-7528-7828-ethernet-switches-vulnerabilities

　　● 最小化工業(yè)控制系統(tǒng)/設(shè)備的網(wǎng)絡(luò)暴露面

　　● 在防火墻后面找到控制系統(tǒng)網(wǎng)絡(luò)和遠(yuǎn)程設(shè)備，并將其與業(yè)務(wù)網(wǎng)絡(luò)隔離

　　● 采用VPN的安全方式進(jìn)行遠(yuǎn)程訪(fǎng)問(wèn)

　　 三  多款Emerson Electric產(chǎn)品訪(fǎng)問(wèn)控制漏洞(CVE-2020-12030)[5]

　　漏洞描述：Emerson Electric Wireless 1410 Gateway等都是美國(guó)艾默生電氣(Emerson Electric)公司的一款智能無(wú)線(xiàn)網(wǎng)關(guān)產(chǎn)品。

　　威脅預(yù)警：CVSS v3 10

　　風(fēng)險(xiǎn)評(píng)估：攻擊者成功利用該漏洞可能會(huì)禁用內(nèi)部網(wǎng)關(guān)防火墻，一旦禁用了網(wǎng)關(guān)的防火墻，攻擊者便可以向網(wǎng)關(guān)發(fā)出特定命令，然后將這些命令轉(zhuǎn)發(fā)到最終用戶(hù)的無(wú)線(xiàn)設(shè)備上。

　　受影響的產(chǎn)品：

　　Emerson Electric Wireless 1410 Gateway 4.6.43版本至4.7.84版本

　　Wireless 1420 Gateway 4.6.43版本至4.7.84版本

　　Wireless 1552WU Gateway 4.6.43版本至4.7.84版本

　　CISA漏洞緩解措施：

　　● 廠(chǎng)商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞：

　　https://www.emerson.com/en-br/catalog/emerson-sku-1410-wireless-gateway

　　● 禁用所有未使用的功能

　　● 最小化工業(yè)控制系統(tǒng)/設(shè)備的網(wǎng)絡(luò)暴露面，并確保不能從互聯(lián)網(wǎng)上訪(fǎng)問(wèn)到設(shè)備。

　　● 在防火墻后面找到控制系統(tǒng)網(wǎng)絡(luò)和遠(yuǎn)程設(shè)備，并將其與業(yè)務(wù)網(wǎng)絡(luò)隔離

　　● 采用VPN的安全方式進(jìn)行遠(yuǎn)程訪(fǎng)問(wèn)

　　 四  Schneider Electric Unity Loader和OS Loader Software 使用硬編碼憑證漏洞(CVE-2020-7498)[6]

　　漏洞描述：Schneider Electric Unity Loader和OS Loader Software都是法國(guó)施耐德電氣(Schneider Electric)公司的產(chǎn)品。Unity Loader是一款數(shù)據(jù)交換實(shí)用程序。OS Loader Software是一款系統(tǒng)加載實(shí)用程序。

　　威脅預(yù)警：CVSS v3 10

　　風(fēng)險(xiǎn)評(píng)估：攻擊者成功利用該漏洞可訪(fǎng)問(wèn)文件傳輸服務(wù)。

　　受影響的產(chǎn)品：

　　Schneider Electric Unity Loader和OS Loader Software(全部版本)

　　施耐德漏洞緩解措施：

　　● 廠(chǎng)商已發(fā)布升級(jí)補(bǔ)丁以修復(fù)漏洞：

　　https://download.schneider-electric.com/files?p_enDocType=Technical+leaflet&p_File_Name=SEVD-2020-161-02_Unity_Loader_and_OS_Loader_Software_Security_Notification.pdf&p_Doc_Ref=SEVD-2020-161-02

　　● 設(shè)置網(wǎng)絡(luò)分段并實(shí)施防火墻以阻止所有對(duì)端口TCP/21的未經(jīng)授權(quán)的訪(fǎng)問(wèn)

　　● 安裝物理控件，以防止未經(jīng)授權(quán)的人員訪(fǎng)問(wèn)工業(yè)控制系統(tǒng)、組件、設(shè)備和網(wǎng)絡(luò)

　　● 將所有控制器放置在上鎖的機(jī)柜中，切勿使其處于“程序”模式

　　● 切勿將編程軟件連接到用于設(shè)備網(wǎng)絡(luò)以外的任何網(wǎng)絡(luò)上

　　● 最小化工業(yè)控制系統(tǒng)/設(shè)備的網(wǎng)絡(luò)暴露面，并確保不能從互聯(lián)網(wǎng)上訪(fǎng)問(wèn)到設(shè)備

　　● 采用VPN的安全方式進(jìn)行遠(yuǎn)程訪(fǎng)問(wèn)

　　針對(duì)以上漏洞進(jìn)行分析發(fā)現(xiàn)，不管是美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)還是漏洞涉及到的廠(chǎng)商給出的緩解措施中，除了更新漏洞補(bǔ)丁外，設(shè)置網(wǎng)絡(luò)分段(網(wǎng)絡(luò)區(qū)域)，與業(yè)務(wù)系統(tǒng)隔離;縮小網(wǎng)絡(luò)攻擊面(減少暴露面、不將軟件連接到用于設(shè)備網(wǎng)絡(luò)以外的任何網(wǎng)絡(luò)上);采用VPN的方式進(jìn)行遠(yuǎn)程訪(fǎng)問(wèn)是最常用的緩解措施。具體防護(hù)措施在下文中詳細(xì)展開(kāi)。

　　安全防護(hù)一：設(shè)置網(wǎng)絡(luò)分段(網(wǎng)絡(luò)區(qū)域)，做好安全隔離

　　如何實(shí)現(xiàn)網(wǎng)絡(luò)區(qū)域之間的隔離呢?《GB/T 22239-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》安全通信網(wǎng)絡(luò)中網(wǎng)絡(luò)架構(gòu)對(duì)網(wǎng)絡(luò)區(qū)域劃分進(jìn)行了明確的要求。以等保三級(jí)為例，網(wǎng)絡(luò)架構(gòu)要求如下：

　　a)工業(yè)控制系統(tǒng)與企業(yè)其他系統(tǒng)之間應(yīng)劃分為兩個(gè)區(qū)域，區(qū)域間應(yīng)采用單向的技術(shù)隔離手段;

　　b)工業(yè)控制系統(tǒng)內(nèi)部應(yīng)根據(jù)業(yè)務(wù)特點(diǎn)劃分為不同的安全域，安全域之間應(yīng)采用技術(shù)隔離手段;

　　c)涉及實(shí)時(shí)控制和數(shù)據(jù)傳輸?shù)墓I(yè)控制系統(tǒng)，應(yīng)使用獨(dú)立的網(wǎng)絡(luò)設(shè)備組網(wǎng)，在物理層面上實(shí)現(xiàn)與其他數(shù)據(jù)網(wǎng)及外部公共信息網(wǎng)的安全隔離。

　　工業(yè)互聯(lián)網(wǎng)企業(yè)在進(jìn)行安全建設(shè)時(shí)，應(yīng)優(yōu)化網(wǎng)絡(luò)架構(gòu)恰當(dāng)分區(qū)分域，基于工業(yè)控制系統(tǒng)業(yè)務(wù)特點(diǎn)并參考等保2.0中功能層次模型將安全域劃分為三部分，L0現(xiàn)場(chǎng)設(shè)備層、L1現(xiàn)場(chǎng)控制層、L2過(guò)程監(jiān)控層劃分為一個(gè)安全域，L3生產(chǎn)管理層劃分為一個(gè)安全域，L4企業(yè)資源層劃分為一個(gè)安全域，在辦公網(wǎng)與互聯(lián)網(wǎng)之間部署智慧防火墻(IT防火墻)，在辦公網(wǎng)和生產(chǎn)網(wǎng)之間部署工業(yè)網(wǎng)閘或工業(yè)防火墻，在生產(chǎn)網(wǎng)各安全域邊界部署工業(yè)防火墻。具體的網(wǎng)絡(luò)拓?fù)鋵?shí)施架構(gòu)圖如下：

圖1：網(wǎng)絡(luò)拓?fù)鋵?shí)施架構(gòu)圖

　　工業(yè)網(wǎng)閘采用工業(yè)應(yīng)用協(xié)議隔離技術(shù)實(shí)現(xiàn)辦公網(wǎng)和生產(chǎn)網(wǎng)兩個(gè)安全域之間訪(fǎng)問(wèn)控制、協(xié)議轉(zhuǎn)換、內(nèi)容過(guò)濾和信息交換，阻止來(lái)自辦公網(wǎng)的病毒、木馬、網(wǎng)絡(luò)入侵等安全威脅。工業(yè)防火墻采用四重白名單的深度防御和一體化引擎機(jī)制實(shí)現(xiàn)辦公網(wǎng)和生產(chǎn)網(wǎng)、生產(chǎn)網(wǎng)之間的網(wǎng)絡(luò)安全防護(hù)。

　　安全防護(hù)二：縮小網(wǎng)絡(luò)攻擊面

　　如何縮小網(wǎng)絡(luò)攻擊面呢?一方面關(guān)閉工業(yè)控制設(shè)備不常用的端口，可以減少工業(yè)控制系統(tǒng)/設(shè)備在網(wǎng)上的暴露面。另一方面通過(guò)網(wǎng)絡(luò)設(shè)備進(jìn)行訪(fǎng)問(wèn)控制時(shí)關(guān)閉不必要的端口。第三，工業(yè)軟件不要跨網(wǎng)段訪(fǎng)問(wèn)，同時(shí)在終端做好工業(yè)主機(jī)安全防護(hù)。

　　工業(yè)主機(jī)是信息世界通往物理世界的“大門(mén)”，且工業(yè)主機(jī)的生命周期往往比較長(zhǎng),操作系統(tǒng)老舊,存在大量漏洞,并且由于工業(yè)生產(chǎn)連續(xù)性的特點(diǎn),工業(yè)主機(jī)很難定期升級(jí)補(bǔ)丁,因此工業(yè)主機(jī)已成為各類(lèi)網(wǎng)絡(luò)攻擊和安全事件的首要攻擊目標(biāo)。根據(jù)奇安信在汽車(chē)、鋼鐵、制造等行業(yè)處理過(guò)的上百起工業(yè)安全事件來(lái)看，很多病毒、木馬的入侵最終都是落腳在了工業(yè)主機(jī)上，那么在投入有限的條件下，做好工業(yè)主機(jī)的安全防護(hù)性?xún)r(jià)比相對(duì)較高。

　　工業(yè)主機(jī)安全防護(hù)系統(tǒng)基于智能匹配的白名單管控技術(shù)、基于ID的USB移動(dòng)存儲(chǔ)外設(shè)管控技術(shù)、入口攔截、運(yùn)行攔截、擴(kuò)散攔截關(guān)卡式病毒攔截技術(shù)，防范惡意程序的運(yùn)行、非法外設(shè)接入。工業(yè)主機(jī)安全防護(hù)系統(tǒng)投運(yùn)后，工業(yè)主機(jī)上的軟件不會(huì)隨意升級(jí)或增加新的軟件、插件，可以大大縮小網(wǎng)絡(luò)攻擊面。

　　安全防護(hù)三：采用VPN的方式進(jìn)行遠(yuǎn)程訪(fǎng)問(wèn)

　　隨著工業(yè)互聯(lián)網(wǎng)的不斷發(fā)展，越來(lái)越多的工業(yè)企業(yè)內(nèi)的操作人員通過(guò)安全遠(yuǎn)程連接的方式控制自動(dòng)化、能源等工業(yè)應(yīng)用。此外，工業(yè)控制系統(tǒng)設(shè)備供應(yīng)商較為廣泛，包括西門(mén)子、施耐德、羅克韋爾等，供應(yīng)商傾向于通過(guò)遠(yuǎn)程運(yùn)維的方式維護(hù)設(shè)備。當(dāng)遠(yuǎn)程訪(fǎng)問(wèn)或遠(yuǎn)程運(yùn)維時(shí)如果沒(méi)有部署安全防護(hù)措施是極易被攻擊者利用的。

　　VPN通常部署在辦公網(wǎng)和生產(chǎn)網(wǎng)安全區(qū)域邊界處，如上圖1所示。通過(guò)VPN的方式進(jìn)行遠(yuǎn)程運(yùn)維，在滿(mǎn)足遠(yuǎn)程運(yùn)維人員身份認(rèn)證、傳輸加密、訪(fǎng)問(wèn)授權(quán)等多種安全需求基礎(chǔ)上，可以提供統(tǒng)一的安全接入入口，滿(mǎn)足工業(yè)行業(yè)需要。

　　針對(duì)通過(guò)工業(yè)應(yīng)用APP來(lái)進(jìn)行遠(yuǎn)程訪(fǎng)問(wèn)的情況，可以采用應(yīng)用APP與VPN進(jìn)行封裝的方式來(lái)落實(shí)安全防護(hù)，在不改變操作人員使用習(xí)慣的前提下，既能提高操作人員的工作效率，又能解決APP數(shù)據(jù)加密傳輸及身份認(rèn)證的問(wèn)題。

　　安全防護(hù)四：對(duì)工業(yè)互聯(lián)網(wǎng)資產(chǎn)及漏洞進(jìn)行安全監(jiān)測(cè)

　　除了以上CISA 推薦的3種安全防護(hù)措施外，看清、看透、看全工業(yè)互聯(lián)網(wǎng)生產(chǎn)中的風(fēng)險(xiǎn)，是保障工業(yè)互聯(lián)網(wǎng)安全的基礎(chǔ)和前提，因此，做好對(duì)工業(yè)互聯(lián)網(wǎng)的安全監(jiān)測(cè)也是至關(guān)重要的一步。

　　恐懼源于未知，看見(jiàn)才能安全，通過(guò)工業(yè)安全監(jiān)測(cè)能夠及時(shí)發(fā)現(xiàn)工業(yè)互聯(lián)網(wǎng)資產(chǎn)中的安全漏洞，為工業(yè)互聯(lián)網(wǎng)安全管理提供抓手。工業(yè)安全監(jiān)測(cè)主要以工業(yè)資產(chǎn)為中心，安全檢測(cè)與審計(jì)為主線(xiàn)，具有資產(chǎn)自動(dòng)發(fā)現(xiàn)、漏洞無(wú)損識(shí)別、威脅實(shí)時(shí)檢測(cè)、行為異常分析、工業(yè)協(xié)議審計(jì)等核心功能，幫助工業(yè)企業(yè)自動(dòng)匹配資產(chǎn)漏洞，發(fā)現(xiàn)潛在的安全隱患，及時(shí)處置，保障生產(chǎn)連續(xù)性。

總結(jié)

　　工業(yè)互聯(lián)網(wǎng)企業(yè)在進(jìn)行安全防護(hù)且安全預(yù)算有限的情況下，可優(yōu)先做好以上4種防護(hù)措施，實(shí)現(xiàn)“投入少、見(jiàn)效大”的效果，后續(xù)再持續(xù)完善工業(yè)互聯(lián)網(wǎng)安全防護(hù)體系建設(shè)，通過(guò)產(chǎn)業(yè)協(xié)同機(jī)制來(lái)構(gòu)建工業(yè)互聯(lián)網(wǎng)的安全。

　　參考文獻(xiàn)

　　[1]https://www.first.org/cvss/v3.1/user-guide

　　[2]https://nvd.nist.gov/vuln-metrics/cvss#

　　[3]https://www.us-cert.gov/ics/advisories/icsa-20-035-01

　　[4]https://www.us-cert.gov/ics/advisories/icsa-20-056-03

　　[5]https://www.us-cert.gov/ics/advisories/icsa-20-135-02

　　[6]https://www.se.com/ww/en/download/document/SEVD-2020-161-02/

　　原文來(lái)源：關(guān)鍵基礎(chǔ)設(shè)施安全應(yīng)急響應(yīng)中心 作者：奇安信