hunterwolvz/OT-Security

# OT-security 这是一个简单的 Modbus TCP 演示，展示了一个基础的 OT 风格的客户端/服务端设置。服务端模拟了一个类似 PLC 的过程，暴露出一个寄存器值（例如温度）并对其进行持续监控，而客户端则通过网络连接并直接将值写入该寄存器。该示例突出了 Modbus TCP 如何允许未经身份验证的写入访问过程数据，以及远程节点如何实时覆盖操作值。 # 智能工厂 OT 安全 本项目剖析了智能工厂环境（ICS / OT）中的安全机制，以及现代互联技术如何改变其攻击面。重点关注生产系统的运行方式、信任的假设前提，以及微小的入侵如何影响物理过程。 智能工厂结合了工业控制系统（ICS）、运营技术（OT）和 IT 系统，以实现对生产过程的实时自动化和监控。它包括机器人技术、传感器、IoT 设备、PLC、SCADA、MES 以及云端分析。 与传统 IT 系统的关键区别在于，故障不仅会影响数据，还会直接影响物理过程。 在 OT 环境中，可用性是首要考虑的，因为生产必须持续进行；完整性至关重要，因为错误的数据可能会导致物理损坏；而机密性则主要涉及工业机密和知识产权。 简化的架构如下所示： IT / 云端 ↓ DMZ ↓ SCADA / HMI ↓ 工业网络 ↓ PLC ↓ 传感器 / 执行器 该环境中的关键资产包括：控制机器行为的 PLC；监控并显示系统状态的 SCADA 系统；提供原始输入数据的传感器；用于修改控制逻辑的工程工作站；管理生产流程的 MES 系统；连接 IT 和 OT 的边缘及 IIoT 设备；用于分析的云平台；以及执行物理任务的工业机器人。 只要引入了互联，就会存在攻击面。这包括广泛分布且通常安全防护薄弱的 IIoT 设备；位于 IT 和 OT 之间的边缘网关；可以直接访问 PLC 编程环境的工程工作站；同时连接业务层和控制层的 MES 系统；为了远程监控而暴露的云仪表板和 API；超越了物理边界的无线工业网络；以及通常被默认信任的供应商或第三方远程访问。 智能工厂中的威胁通常不是立竿见影或具有直观破坏性的。它们倾向于随着时间的推移操纵行为、数据或决策。工程工作站的入侵可能导致 PLC 逻辑发生看似合法的更改，但会缓慢改变生产行为。IIoT 或传感器的篡改可能会向 SCADA 和 MES 系统输入虚假数据，在一切看似正常的情况下导致错误的操作决策。MES 的篡改可以在不直接接触机器的情况下改变生产流程。云端或分析系统的入侵可能会扭曲影响大规模生产的优化输出。工业机器人的篡改可能会引入微小的定时或运动变化，这些变化累积起来会导致效率低下或损坏。针对 IT 和 OT 桥接系统的勒索软件可能会在物理过程继续运行的同时剥夺系统的可见性和控制权。无线网络漏洞利用可能导致系统的拦截、欺骗和不同步。内部威胁尤为危险，因为它们已经在受信任的边界内运作，并且做出的更改可以与正常活动混在一起。 常见的攻击路径包括：工程工作站入侵导致 PLC 逻辑被篡改及机器行为改变；IIoT 入侵导致虚假传感器数据影响控制系统；IT 安全漏洞使得攻击者可以通过边缘设备横向移动到 OT；以及云端入侵将错误的操作数据反馈给 MES 和决策系统。 一个使用 Modbus 的简单示例展示了这在实际中是如何运作的。Modbus 广泛应用于工业系统中，但它没有身份验证、没有加密，也没有完整性检查。在基础设置中，一台设备暴露出一个过程值（如温度），而同一网络上的另一台设备可以无限制地覆盖它。系统接受该更改是因为它假定通信是合法的，这说明了当信任是隐式时，控制数据可以被多么容易地篡改。 真实世界中的安全事件也呈现出类似的模式。Stuxnet 篡改了 PLC 逻辑，同时对操作员隐藏了真实的系统行为。乌克兰电网攻击事件涉及 SCADA 入侵以及对关键系统失去控制。Colonial Pipeline 事件表明，由于失去运营信任，IT 的中断如何会迫使 OT 关闭。 这种环境中的安全措施侧重于减少隐式信任，并限制入侵的扩散范围。这包括在工程系统上实施应用程序白名单、强身份验证和基于角色的访问控制、IT 和 OT 层之间的网络分段、IIoT 系统的设备身份验证、经过加密和完整性检查的通信、云系统中安全的 API 设计、持续的行为监控（而不仅仅是访问控制），以及严格的最低权限访问和对所有用户活动的日志记录。 核心理念在于，智能工厂的安全不仅仅是阻断访问。它的关键在于持续验证系统、设备和数据是否按照预期运行，因为一旦受信任的输入被篡改，系统可能会在继续正常运行的同时，产生错误或不安全的结果。

标签：ICS架构, impacket, Modbus协议, OT安全, PKINIT, PLC/SCADA, 工业互联网, 工控安全