关键基础设施的攻击和取证.pdf

Critical Infrastructure: Hacking and Forensics 关键基础设施的攻击和取证 K P Chow and Frankie Li1 Center for Information Security and Cryptography University of Hong Kong 香港大学资讯保安及密码学研究中心 1Aka Ran2 The project is partially supported by the HKU Knowledge Exchange Funding (Impact Project). 我们是谁？ •Ran2是专门从事计算机取证和恶意软件分析的独立研究人员。他 目前的研究包括高级持续性威胁（ APT ）恶意软件归属和使用开源 大数据识别可能的恶意敌手。他是SANS协会在香港开设的恶意软 件和取证课程的导师，也是 2014美国黑帽大会（Blackhat USA 2014）和2014台湾骇客年会（ HITCON 2014）的发言人。Ran2获香 港大学电子商务及互联网工程（ ECom/IComp）硕士学位 。 •邹锦沛 博士是香港大学计算机科学系副教授，同时也是香港大学 资讯保安及密码学研究中心副主任。邹博士研究领域包括计算机 取证 ，网络监控和隐私，他在本地和国际会议及期刊上发表了多 篇关于计算机取证，数据安全和密码学的论文。在过去的几年中， 邹博士数次被邀请作为计算机取证专家，协助香港法院判案 。 • Other contributors: Ken Yau, Raymond Chan, Xiaoxi Fan, Yanbin Tang 目录 •什么是 ICS (SCADA) 系统和关键基础设 施？ •专有(Proprietary)是安全吗？ • SCADA攻击事件和SCADA攻击的概念验 证 （POC） • Stuxnet和 Havex恶意软件攻击 • SCADA 系统取证的挑战和我们的研究 工业控制系统 （ICS） •是几种控制系统的统称，包括： –数据采集与监视控制系统 （SCADA ） –分布控制系统 （DCS） –其他控制系统如嵌入式设备或可编程逻辑控 制器 （Programmable Logic Controller PLC） NIST SP 800-82: Guide to Industrial Control System (ICS) Security, May 2013 简单的 SCADA 网络组件 The SCADA Components • Control Server • SCADA Server or Master Terminal Unit (MTU) • Remote Terminal Unit (RTU) • Programmable Logic Controller (PLC) • Intelligent Electronic Devices (IED) • Human-Machine Interface (HMI) • Data Historian • Input/Output (I/O) Devices 复杂的 SCADA体系结构 控制系统安全模型 Industrial Firewalls and IDS/IPS 谁使用SCADA？ • ICS (SCADA)系统用于多种工业如电力、 水资源与废水处理 、石油与天然气 、化 工、交通运输、医药、造纸、食品与饮 料 、以及离散制造（如汽车和航空）