全球安全产品与工业控制安全形势分析---科诺康.pdf

工业控制系统安全 全球工业控制系统安全发展格局 Codenomicon Ltd. ICS Seminar - Beijing April 23, 2014 Sami Petajasoja Vice President, Asia - Pacific Codenomicon科诺康 •科诺康公司1996年脱胎于芬兰奥卢大学进行专业高效fuzzing技术研究 的研究项目。 •已经成长为全球最大的商用fuzz测试工具制造商。 •仍然积极的投身于研究和开发工作 . 新兴产业领域：医疗和智能电网 . 新的fuzzing技术和分析功能：例如Safeguard 3 April 2014, All Rights Reserved. 软件是基础设施 • 软件总是有漏洞的，问题是有多少可利用的，已知或未知的，是否已暴露？ • 我们正在进入这样一个时代，软件漏洞可以比以往任何时候都能导致更多的致 命破坏 （对物理世界的影响） 4 April 2014, All Rights Reserved. 工业控制安全格局 •关键控制系统正在被连接到Internet •通常是基于没有保护机制的传统协议 . 必威体育精装版一代产品，例如PLC，已经开始实施诸如TLS/SSL 的保护措施 •基于工业控制系统和产品的安全测试国际标准和最佳实践正在形成 •基于工业控制的内联防火墙产品已经面向市场 . 但是他们需要知道要抵御什么 5 April 2014, All Rights Reserved. 已知和未知漏洞 2000- 1995-2000 1999- Qualys, HP, IBM, Symantec 的 Satan/Saint Nessus, ISS Codenomicon 动 被 已知漏洞管理 总的漏洞管理 的 未知漏洞管理(UVM) 动 主 静态应用安全测试 动态应用安全测试 方法 方法 1980- 2000- PC Lint, Fuzzing: Coverity, Codenomicon Fortify, IBM 白盒测试 黑盒测试 底线: 所有的系统都具有漏洞. - 两种互补的测试手段都需要被覆盖. 6 April 2014, All Rights Reserved. 那么，你如何来找到未知漏洞? “Fuzzing测试是通过向产品发送有组织的异常数据来试图引起异常的状 态或错误. 这些异常的状态可以导致可被利用的漏洞. “ – HD Moore KNOWN VULNERABILITIES Fuzzing可以管理你未知漏洞的暴露 国际工业控制系统安全认证的技术选择 UNKNOWN VULNERABILITIES 7 April 2014, All Rights Reserved. 案例: Heartbleed 漏洞 Heartbleed漏洞 •Safeguard 功能检测到了 heartbleed漏洞 – 稍后将详细介 绍