CWRAF细节小插曲——域能量
http://cwe.mitre.org/cwraf/
|
|
CWRAF版本:0.8.3 |
日期:2013年4月3日 |
项目协调员:
Bob Martin(斜方) |
文档编辑器:
史蒂夫Christey(斜方) |
CWRAF小品文——能源
CWRAF小品文——能源
在常见的弱点风险分析框架(CWRAF),一个装饰图案提供了一个可共享的,正式的方式来定义一个特定的环境中,软件在该环境中所扮演的角色,一个组织的优先级对软件安全。它识别必要的资源与能力,以及其重要性相对于安全原则如机密性、完整性和可用性。例如,在电子商务背景下,99.999%正常运行时间可能是一个强大的业务需求驱动的解释发现缺陷的严重程度。 小插曲让水煤浆支持不同的观众可能有不同的要求,如何优先的弱点。水煤浆得分可能发生装饰图案的上下文中。 目前这个页面包含细节6“能量”域中的小插曲。这些只是说明;CWRAF社区将有助于完善这些和其他发展。反馈是受欢迎的。 |
| 的名字 |
描述 |
| 家庭智能电表 |
计智能电网中电力消费记录和定期传达这个信息给供应商。 |
| 智能电网远程工具服务器 |
通过社区网关获取信息从智能电表。 |
| 智能电网的社区门户 |
设备智能电表和远程工具服务器之间。 |
| 区域电力流控制 |
流控制的电力网络中一个相对较大的地区,进一步联系供应商和消费者。现在进入电网两边(经典的提供者,而且home-to-provider如国内的光伏和风力涡轮机在家庭和整个景观)。系统需要有“智慧”的电网的负载均衡功能基本上是一个大型分布式SCADA-type系统。 |
| SCADA历史学家 |
历史学家服务器归档和SCADA系统的数据分析。包含一个数据库后端,并通过一个web界面。访问服务器通常局限于一个DMZ或内部网络。 |
| 分布式生产设备管理使用SCADA网络快捷 |
一个基于web的SCADA系统的人机界面(HMI)。用户可以想象和控制工业自动化过程的实时控制接口直接与远程传感器和通信数据收集点。所有的生产方面都可以从web浏览器监控和管理。人机界面使用各种框架(Java、。net、等)与Restful架构(AJAX、XML、SOAP、XSL和WML)。 |
装饰图案定义:家用智能电表
| 的名字 |
家庭智能电表 |
| ID |
智能电表 |
| 成熟 |
不发达 |
| 域 |
能源 |
| Desc |
计智能电网中电力消费记录和定期传达这个信息给供应商。 |
| 原型 |
Web客户端、过程控制系统、嵌入式设备 |
| 业务价值的上下文(BVC) |
保密客户的能源使用数据是很重要的,可以用于市场营销或非法目的。例如,每小时使用统计数据可能是有用的监测活动。计量数据的完整性是很重要的,因为金融对利益相关者的影响(消费者操纵能源成本)。通常是不需要实时的可用性;其他途径存在(如网站访问)如果通讯中断。 |
| 笔记 |
|
| 引用 |
|
技术影响计分卡
| 影响 |
层 |
Subscore |
笔记 |
| 修改数据 |
系统 |
|
|
| 修改数据 |
应用程序 |
8 |
攻击者可能会修改消费报告,导致经济损失;可能低效电网实际消费的管理由于错误的报告。攻击者可以打开/关闭电器和其他家庭系统。 |
| 修改数据 |
网络 |
|
|
| 修改数据 |
企业 |
|
|
| 读取数据 |
系统 |
|
|
| 读取数据 |
应用程序 |
4 |
攻击者可以读客户能耗统计、市场营销或监控。 |
| 读取数据 |
网络 |
|
|
| 读取数据 |
企业 |
|
|
| DoS:不可靠的执行 |
系统 |
|
|
| DoS:不可靠的执行 |
应用程序 |
4 |
延迟向供应商报告,可能延迟计费和集合。可用性可能会恢复如果计保持在线的时间足够长。如果需要访问的网站可能的财务影响。 |
| DoS:不可靠的执行 |
网络 |
|
|
| DoS:不可靠的执行 |
企业 |
|
|
| DoS:资源消耗 |
系统 |
|
|
| DoS:资源消耗 |
应用程序 |
4 |
延迟向供应商报告,可能延迟计费和集合。可用性可能会恢复如果计保持在线的时间足够长。如果需要访问的网站可能的财务影响。 |
| DoS:资源消耗 |
网络 |
|
|
| DoS:资源消耗 |
企业 |
|
|
| 执行未经授权的代码或命令 |
系统 |
|
|
| 执行未经授权的代码或命令 |
应用程序 |
9 |
攻击者可以读客户营销的能源使用量统计数据或监视,禁用米,或修改消费报告,导致经济损失;可能低效电网实际消费的管理由于错误的报告。 |
| 执行未经授权的代码或命令 |
网络 |
|
|
| 执行未经授权的代码或命令 |
企业 |
|
|
| 获得特权/假设的身份 |
系统 |
|
|
| 获得特权/假设的身份 |
应用程序 |
7 |
|
| 获得特权/假设的身份 |
网络 |
|
|
| 获得特权/假设的身份 |
企业 |
|
|
| 旁路保护机制 |
系统 |
|
|
| 旁路保护机制 |
应用程序 |
7 |
|
| 旁路保护机制 |
网络 |
|
|
| 旁路保护机制 |
企业 |
|
|
| 隐藏活动 |
系统 |
5 |
不能获得足够的证据欺诈的刑事起诉。 |
| 隐藏活动 |
应用程序 |
5 |
不能获得足够的证据欺诈的刑事起诉。 |
| 隐藏活动 |
网络 |
|
|
| 隐藏活动 |
企业 |
|
|
装饰图案定义:智能电网远程工具服务器
| 的名字 |
智能电网远程工具服务器 |
| ID |
smart-grid-RUS |
| 成熟 |
存根 |
| 域 |
能源 |
| Desc |
通过社区网关获取信息从智能电表。 |
| 原型 |
Web客户端、过程控制系统、嵌入式设备 |
| 业务价值的上下文(BVC) |
TBD。 |
| 笔记 |
|
| 引用 |
- 智能电表的个人回忆录Andres Molina-Markham Prashant谢诺,凯文•傅Emmanuel Cecchet和大卫·欧文
|
技术影响计分卡
| 影响 |
层 |
Subscore |
笔记 |
| 修改数据 |
系统 |
|
|
| 修改数据 |
应用程序 |
|
|
| 修改数据 |
网络 |
|
|
| 修改数据 |
企业 |
|
|
| 读取数据 |
系统 |
|
|
| 读取数据 |
应用程序 |
|
|
| 读取数据 |
网络 |
|
|
| 读取数据 |
企业 |
|
|
| DoS:不可靠的执行 |
系统 |
|
|
| DoS:不可靠的执行 |
应用程序 |
|
|
| DoS:不可靠的执行 |
网络 |
|
|
| DoS:不可靠的执行 |
企业 |
|
|
| DoS:资源消耗 |
系统 |
|
|
| DoS:资源消耗 |
应用程序 |
|
|
| DoS:资源消耗 |
网络 |
|
|
| DoS:资源消耗 |
企业 |
|
|
| 执行未经授权的代码或命令 |
系统 |
|
|
| 执行未经授权的代码或命令 |
应用程序 |
|
|
| 执行未经授权的代码或命令 |
网络 |
|
|
| 执行未经授权的代码或命令 |
企业 |
|
|
| 获得特权/假设的身份 |
系统 |
|
|
| 获得特权/假设的身份 |
应用程序 |
|
|
| 获得特权/假设的身份 |
网络 |
|
|
| 获得特权/假设的身份 |
企业 |
|
|
| 旁路保护机制 |
系统 |
|
|
| 旁路保护机制 |
应用程序 |
|
|
| 旁路保护机制 |
网络 |
|
|
| 旁路保护机制 |
企业 |
|
|
| 隐藏活动 |
系统 |
|
|
| 隐藏活动 |
应用程序 |
|
|
| 隐藏活动 |
网络 |
|
|
| 隐藏活动 |
企业 |
|
|
装饰图案定义:智能电网附近网关
| 的名字 |
智能电网的社区门户 |
| ID |
smart-grid-gw |
| 成熟 |
存根 |
| 域 |
能源 |
| Desc |
设备智能电表和远程工具服务器之间。 |
| 原型 |
Web客户端、过程控制系统、嵌入式设备 |
| 业务价值的上下文(BVC) |
TBD。 |
| 笔记 |
|
| 引用 |
- 智能电表的个人回忆录Andres Molina-Markham Prashant谢诺,凯文•傅Emmanuel Cecchet和大卫·欧文
|
技术影响计分卡
| 影响 |
层 |
Subscore |
笔记 |
| 修改数据 |
系统 |
|
|
| 修改数据 |
应用程序 |
|
|
| 修改数据 |
网络 |
|
|
| 修改数据 |
企业 |
|
|
| 读取数据 |
系统 |
|
|
| 读取数据 |
应用程序 |
|
|
| 读取数据 |
网络 |
|
|
| 读取数据 |
企业 |
|
|
| DoS:不可靠的执行 |
系统 |
|
|
| DoS:不可靠的执行 |
应用程序 |
|
|
| DoS:不可靠的执行 |
网络 |
|
|
| DoS:不可靠的执行 |
企业 |
|
|
| DoS:资源消耗 |
系统 |
|
|
| DoS:资源消耗 |
应用程序 |
|
|
| DoS:资源消耗 |
网络 |
|
|
| DoS:资源消耗 |
企业 |
|
|
| 执行未经授权的代码或命令 |
系统 |
|
|
| 执行未经授权的代码或命令 |
应用程序 |
|
|
| 执行未经授权的代码或命令 |
网络 |
|
|
| 执行未经授权的代码或命令 |
企业 |
|
|
| 获得特权/假设的身份 |
系统 |
|
|
| 获得特权/假设的身份 |
应用程序 |
|
|
| 获得特权/假设的身份 |
网络 |
|
|
| 获得特权/假设的身份 |
企业 |
|
|
| 旁路保护机制 |
系统 |
|
|
| 旁路保护机制 |
应用程序 |
|
|
| 旁路保护机制 |
网络 |
|
|
| 旁路保护机制 |
企业 |
|
|
| 隐藏活动 |
系统 |
|
|
| 隐藏活动 |
应用程序 |
|
|
| 隐藏活动 |
网络 |
|
|
| 隐藏活动 |
企业 |
|
|
装饰图案定义:区域电力流控制
| 的名字 |
区域电力流控制 |
| ID |
reg-elec |
| 成熟 |
存根 |
| 域 |
能源 |
| Desc |
流控制的电力网络中一个相对较大的地区,进一步联系供应商和消费者。现在进入电网两边(经典的提供者,而且home-to-provider如国内的光伏和风力涡轮机在家庭和整个景观)。系统需要有“智慧”的电网的负载均衡功能基本上是一个大型分布式SCADA-type系统。 |
| 原型 |
过程控制系统,Web客户端,Web服务器 |
| 业务价值的上下文(BVC) |
成功的攻击可能导致经济损失(消费者操纵能源成本)或影响电网本身。隐私关注对消费者(能源使用揭示活动)。保密客户的能源使用数据是很重要的(可用于市场营销或“非法”目的)。机密性、完整性和可用性需求将取决于特定的应用程序。例如,能源使用或计费统计的客户一般都是重要的机密性(每小时统计数据可用于监测活动,例如),但是可用性可以从最小(客户区域网络,很少有实时要求)重要(部分AMI网络需要实时交互)。密钥管理是很重要的。无线交互可能是很普遍的。一些组件不会在身体上的安全环境。计量数据的完整性是很重要的,因为金融对利益相关者的影响。可能有不同的优先级之间的监测和控制。 |
| 笔记 |
|
| 引用 |
- 电力免费吗?肮脏的下腹部的SCADA和智能电表乔纳森•Pollet CISSP,帽,PCIP。2010年7月16页包含一个崩溃的各种后果/ vuln类型发现,专注于运营DMZ (ISA99级别3)。还谈到了AMR和智能电表。
- 草案NISTIR 7628 -智能电网的网络安全策略和Requiremens包括逻辑架构和接口,高水平的安全需求,隐私,颈- 1 vuln类,其他专家的控制系统附录包括用例各种中情局分析。最初的功能逻辑架构代表了一个混合的一组用例和需求来自车间和初始NIST智能电网互操作性路线图,包括单个逻辑接口图六个应用领域:电动交通、电力存储、先进的计量基础设施(AMI)、广域态势感知(经济),分布网格管理、和家庭区域网络/业务区域网络(汉/禁令)。
|
技术影响计分卡
| 影响 |
层 |
Subscore |
笔记 |
| 修改数据 |
系统 |
|
|
| 修改数据 |
应用程序 |
|
|
| 修改数据 |
网络 |
|
|
| 修改数据 |
企业 |
|
|
| 读取数据 |
系统 |
|
|
| 读取数据 |
应用程序 |
|
|
| 读取数据 |
网络 |
|
|
| 读取数据 |
企业 |
|
|
| DoS:不可靠的执行 |
系统 |
|
|
| DoS:不可靠的执行 |
应用程序 |
|
|
| DoS:不可靠的执行 |
网络 |
|
|
| DoS:不可靠的执行 |
企业 |
|
|
| DoS:资源消耗 |
系统 |
|
|
| DoS:资源消耗 |
应用程序 |
|
|
| DoS:资源消耗 |
网络 |
|
|
| DoS:资源消耗 |
企业 |
|
|
| 执行未经授权的代码或命令 |
系统 |
|
|
| 执行未经授权的代码或命令 |
应用程序 |
|
|
| 执行未经授权的代码或命令 |
网络 |
|
|
| 执行未经授权的代码或命令 |
企业 |
|
|
| 获得特权/假设的身份 |
系统 |
|
|
| 获得特权/假设的身份 |
应用程序 |
|
|
| 获得特权/假设的身份 |
网络 |
|
|
| 获得特权/假设的身份 |
企业 |
|
|
| 旁路保护机制 |
系统 |
|
|
| 旁路保护机制 |
应用程序 |
|
|
| 旁路保护机制 |
网络 |
|
|
| 旁路保护机制 |
企业 |
|
|
| 隐藏活动 |
系统 |
|
|
| 隐藏活动 |
应用程序 |
|
|
| 隐藏活动 |
网络 |
|
|
| 隐藏活动 |
企业 |
|
|
装饰图案定义:SCADA历史学家
| 的名字 |
SCADA历史学家 |
| ID |
scada-hist |
| 成熟 |
不发达 |
| 域 |
能源 |
| Desc |
历史学家服务器归档和SCADA系统的数据分析。包含一个数据库后端,并通过一个web界面。访问服务器通常局限于一个DMZ或内部网络。 |
| 原型 |
过程控制系统、数据库、Web客户机、Web服务器 |
| 业务价值的上下文(BVC) |
保密通常被视为比诚信更重要,这被认为是不太重要的可用性。修改的数据可能导致用户做出错误的决定,可能会导致低效率或事故。 |
| 笔记 |
|
| 引用 |
- 网络对SCADA安全评价方法罗宾Permann,肯尼斯·罗德。2005。包括攻击模型修改警报和命令。Primary focus is on vulnerability assessment of COTS.
- 十大最关键的ICS漏洞引用:“历史学家服务器用于数据归档和分析,通常ICS的一个组成部分。它通常位于DMZ或公司网络。历史学家的威胁包括妥协的历史学家主机和数据损坏。ICS历史学家通常利用常见的SQL server作为它的后端。历史数据通常可以通过自定义Web界面查看或应用程序。”安全目标:机密性<完整性<可用性
|
技术影响计分卡
| 影响 |
层 |
Subscore |
笔记 |
| 修改数据 |
系统 |
|
|
| 修改数据 |
应用程序 |
7 |
修改数据可能导致运营商做出错误的决定,可能会导致低效率或事故。 |
| 修改数据 |
网络 |
|
|
| 修改数据 |
企业 |
|
|
| 读取数据 |
系统 |
4 |
攻击者可以学习系统的状态、配置,并可能发动其他攻击。 |
| 读取数据 |
应用程序 |
|
|
| 读取数据 |
网络 |
|
|
| 读取数据 |
企业 |
|
|
| DoS:不可靠的执行 |
系统 |
|
|
| DoS:不可靠的执行 |
应用程序 |
9 |
运营商无法查看当前状态或改变系统的行为。 |
| DoS:不可靠的执行 |
网络 |
|
|
| DoS:不可靠的执行 |
企业 |
|
|
| DoS:资源消耗 |
系统 |
9 |
减少了运营商的能力来查看当前状态或改变系统的行为。 |
| DoS:资源消耗 |
应用程序 |
|
|
| DoS:资源消耗 |
网络 |
|
|
| DoS:资源消耗 |
企业 |
|
|
| 执行未经授权的代码或命令 |
系统 |
|
|
| 执行未经授权的代码或命令 |
应用程序 |
9 |
修改数据可能导致运营商做出错误的决定,可能会导致低效率或事故。 |
| 执行未经授权的代码或命令 |
网络 |
|
|
| 执行未经授权的代码或命令 |
企业 |
|
|
| 获得特权/假设的身份 |
系统 |
7 |
|
| 获得特权/假设的身份 |
应用程序 |
|
|
| 获得特权/假设的身份 |
网络 |
|
|
| 获得特权/假设的身份 |
企业 |
|
|
| 旁路保护机制 |
系统 |
7 |
|
| 旁路保护机制 |
应用程序 |
|
|
| 旁路保护机制 |
网络 |
|
|
| 旁路保护机制 |
企业 |
|
|
| 隐藏活动 |
系统 |
|
|
| 隐藏活动 |
应用程序 |
4 |
无法检测到攻击的源或原因。 |
| 隐藏活动 |
网络 |
|
|
| 隐藏活动 |
企业 |
|
|
装饰图案定义:分布式生产设备管理使用SCADA网络快捷
| 的名字 |
分布式生产设备管理使用SCADA网络快捷 |
| ID |
web-scada-hmi |
| 成熟 |
不发达 |
| 域 |
能源 |
| Desc |
一个基于web的SCADA系统的人机界面(HMI)。用户可以想象和控制工业自动化过程的实时控制接口直接与远程传感器和通信数据收集点。所有的生产方面都可以从web浏览器监控和管理。人机界面使用各种框架(Java、。net、等)与Restful架构(AJAX、XML、SOAP、XSL和WML)。 |
| 原型 |
Web浏览器、Web应用程序、Web服务器端点系统,通用操作系统,网络通信、无线通信、过程控制系统、Web服务、数据库 |
| 业务价值的上下文(BVC) |
当前一代SCADA系统利用网络技术和开放协议导致了更多的可伸缩的工业控制过程,但也暴露出以前的封闭系统,基于互联网的网络威胁。弱身份验证是最重要的对基于web的HMI SCADA系统由于无处不在的访问提供的web浏览器。恶意软件和rootkit旨在妥协web usera€™s系统是一个同样严重的问题作为一个€œDrive由Downloada€攻击等攻击web浏览器正变得越来越普遍。第二个最大的威胁是缺少安全检查确保适当的授权。许多SCADA系统,同时提供某种形式的身份验证系统,缺乏执行的能力之间的不同级别的访问控制用户和其他关键的系统功能。没有有效的访问控制的设计和实现,例如,一个攻击者谁违反SCADA系统和理解从传感器控制代码可以恶搞消息导致无效的读数可能引发的不良行为是系统试图纠正一个错误的问题。这种攻击很容易引发系统性不稳定整个设施,包括一个完整的关闭工厂或设施如果不是关键任务系统造成严重的损害。机密性和可用性的问题通常是不那么重要的安全问题对SCADA系统作为一个范畴。基于网络拒绝服务(DoS)攻击,不涉及使用隐形指挥的关键控制系统不太可能影响SCADA系统的功能。同样,网络嗅探(窃听)攻击,不太严重的威胁,因为偷听SCADA系统的网络流量攻击者只会稍微有用没有特殊的训练。 |
| 笔记 |
|
| 引用 |
没有引用的记录。 |
技术影响计分卡
| 影响 |
层 |
Subscore |
笔记 |
| 修改数据 |
系统 |
10 |
通过操纵内存也可能导致关键任务SCADA系统崩溃或变得不稳定。 |
| 修改数据 |
应用程序 |
10 |
修改有效数据报告或创建假阅读来自SCADA传感器导致系统以产生不利的方式作出反应,在植物或安装可能造成不稳定。修改或删除SCADA系统监控日志,改变传感器读数,或改变或腐败的核心文件用于监测SCADA系统通过人机界面的浏览器。因为SCADA系统可以远程监视和控制通过一个web应用程序接口,攻击者谁知道哪个应用程序值变化可以控制设施。 |
| 修改数据 |
网络 |
|
|
| 修改数据 |
企业 |
|
|
| 读取数据 |
系统 |
6 |
读SCADA信息或偷web客户机的密钥用于加密SCADA数据。获取配置信息和可能发现的关键工业系统和节点可以攻击。获得详细信息SCADA功能通过阅读应用程序数据的操作控制装置所使用的基于网络的人机界面。这可能允许攻击者在地图上标出关键工业系统或秘密监控设备的操作。 |
| 读取数据 |
应用程序 |
6 |
阅读和SCADA监控以未经授权的方式,可能解释的十六进制代码确定特定SCADA传感器的状态。 |
| 读取数据 |
网络 |
|
|
| 读取数据 |
企业 |
|
|
| DoS:不可靠的执行 |
系统 |
|
|
| DoS:不可靠的执行 |
应用程序 |
5 |
工厂管理人员不能有效地调查数据从SCADA系统由于频繁的死机和重启web应用程序的浏览器界面控制器或人机界面。攻击针对web应用程序用于控制SCADA植物可以防止管理员连接到系统,使用控制接口。 |
| DoS:不可靠的执行 |
网络 |
7 |
攻击互联网网关可以防止SCADA系统与其他植物或设施。 |
| DoS:不可靠的执行 |
企业 |
5 |
与记忆sortage, HMI网络控制系统变得缓慢,反应迟钝甚至崩溃。控制和监控工厂操作变得困难,因为浏览器人机界面或控制器web应用程序耗尽内存。攻击控制web应用程序可能会坠机,暂时禁用设备控制通过基于浏览器的快捷。 |
| DoS:资源消耗 |
应用程序 |
7 |
核心网络控制系统变得缓慢和迟钝的。控制和监测缓慢的行动是困难的,因为植物响应时间从浏览器界面。攻击控制web应用程序可能会减缓控制流程和可能干脆停止直到应用程序重新启动。 |
| DoS:资源消耗 |
网络 |
|
|
| DoS:资源消耗 |
企业 |
|
|
| 执行未经授权的代码或命令 |
系统 |
|
|
| 执行未经授权的代码或命令 |
应用程序 |
10 |
读取或修改浏览器人机界面或web应用程序控制器的工厂或设施。执行命令通过控制接口可以使攻击者能够关闭工厂或设施,或可能导致灾难性的失败导致一个关键系统(例如换热器)失去效率或失败。 |
| 执行未经授权的代码或命令 |
网络 |
|
|
| 执行未经授权的代码或命令 |
企业 |
|
|
| 获得特权/假设的身份 |
系统 |
|
|
| 获得特权/假设的身份 |
应用程序 |
10 |
攻击者可以通过假设执行行政功能授权管理员的角色。损害的程度,只能做有限的权限承担角色和攻击者的知识SCADA系统的操作。 |
| 获得特权/假设的身份 |
网络 |
|
|
| 获得特权/假设的身份 |
企业 |
|
|
| 旁路保护机制 |
系统 |
|
|
| 旁路保护机制 |
应用程序 |
9 |
绕过基于控制的保护机制可能允许攻击者操纵SCADA系统没有足够的授权。 |
| 旁路保护机制 |
网络 |
|
|
| 旁路保护机制 |
企业 |
|
|
| 隐藏活动 |
系统 |
|
|
| 隐藏活动 |
应用程序 |
8 |
无法识别的攻击来源。不能获得足够的证据刑事起诉或确保攻击者的立足点从SCADA系统消除。 |
| 隐藏活动 |
网络 |
|
|
| 隐藏活动 |
企业 |
|
|
|
