Análisis en profundidad del virus Stuxnet
En octubre de 2010, muchos medios nacionales y extranjeros informaron sucesivamente que el gusano Stuxnet atacó el sistema de monitoreo y recopilación de datos de Siemens SIMATIC WinCC, calificándolo de "supervirus" y "supervirus de fábrica". como una "súper arma" y una "caja de Pandora".
El gusano Stuxnet (comúnmente conocido como "Stuxnet" y "Gemini") comenzó a aparecer en julio de 2010. Explota al menos 4 vulnerabilidades en los sistemas operativos de Microsoft, incluidas 3 nuevas vulnerabilidades de día cero; falsifica la firma digital del controlador; rompe las limitaciones físicas de las LAN privadas industriales mediante un conjunto completo de procesos de intrusión y propagación; 2 vulnerabilidades y llevar a cabo ataques destructivos sobre ellas. Es el primer código malicioso que daña directamente la infraestructura industrial del mundo real. Según las estadísticas de Symantec, hasta septiembre de 2010, aproximadamente 45.000 redes en todo el mundo habían sido infectadas por este gusano, de las cuales el 60% de los hosts víctimas se encontraban en Irán. El gobierno iraní ha confirmado que la central nuclear de Bushehr fue atacada por el gusano Stuxnet.
Anty Labs capturó la primera variante del gusano Stuxnet el 15 de julio, llevó a cabo análisis de inmediato, publicó informes de análisis y medidas preventivas, y continuó su seguimiento. Hasta la publicación de este informe, Antiy ha capturado un total de 13 variantes y más de 600 entidades de muestra con diferentes valores hash. 2.1 Entorno operativo
El gusano Stuxnet se puede activar y ejecutar en los siguientes sistemas operativos: Windows 2000, Windows Server 2000 Windows XP, Windows Server 2003 Windows Vista Windows 7, Windows Server 2008. Cuando se encuentra ejecutándose en sistemas operativos que no sean Windows NT Series, salga inmediatamente.
Los sistemas de software atacados incluyen: SIMATIC WinCC 7.0 SIMATIC WinCC 6.2, pero no se puede descartar la posibilidad de que este problema se produzca en otras versiones.
2.2 Comportamiento local
Después de activar la muestra, el proceso de ejecución típico se muestra en la Figura 1.
El ejemplo primero determina el tipo de sistema operativo actual. Si es Windows 9X/ME, saldrá directamente.
A continuación, cargue un módulo DLL principal y todas las acciones posteriores se realizarán en este DLL. Para evitar la detección, la muestra no libera el módulo DLL en un archivo de disco y luego lo carga, sino que lo copia directamente en la memoria y luego simula el proceso de carga de la DLL.
Específicamente, el ejemplo primero solicita suficiente espacio de memoria y luego hookntdll.dll exporta 6 funciones del sistema: ZwMapViewOfSection ZwCreateSection ZwOpenFile ZwClose ZwQueryAttributesFile ZwQuerySection Para hacer esto, el ejemplo primero modifica el PE en la imagen de memoria del ntdll.dll El atributo de protección del encabezado y luego reescribe los datos inútiles en el desplazamiento 0x40 en el código de salto para implementar el enlace.
Además, el ejemplo puede usar ZwCreateSection para crear una nueva sección PE en el espacio de memoria, copiar el módulo DLL que se cargará en ella y finalmente usar LoadLibraryW para obtener el identificador del módulo.
Figura 1 Proceso de ejecución típico del ejemplo
Después de eso, el ejemplo salta a la DLL cargada para su ejecución y deriva los siguientes archivos:
System32\drivers \mrxcls .sys System32\drivers\mrxnet.sysWindir\inf\oem7A.PNFWindir\inf\mdmeric3.PNF Windir\inf\mdmcpq3.PNFWindir\inf\oem6C.PNF Hay dos controladores mrxcls.sys y mrxnet.sys, que son Regístrese respectivamente como servicios del sistema denominados MRXCLS y MRXNET para realizar el inicio automático en el arranque. Ambos controladores utilizan tecnología rootkit y están firmados digitalmente.
mrxcls.sys es responsable de encontrar el sistema WinCC instalado en el host y realizar ataques. Específicamente, monitorea la operación de carga de imágenes del proceso del sistema e inyecta un módulo almacenado en Windir \ inf \ oem7A.PNF en tres procesos: services.exe, S7tgtopx.exe y CCProjectMgr.exe. Los dos últimos son WinCC El proceso cuando. el sistema está funcionando.
mrxnet.sys oculta los archivos lnk y los archivos DLL copiados en la unidad flash USB modificando algunas llamadas del kernel (Figura 2).
Figura 2 El controlador oculta algunos archivos lnk
Figura 3 Múltiples métodos de propagación de muestras
2.3 Métodos de propagación El gusano Stuxnet ataca el software SIMATIC WinCC. Este último se utiliza principalmente para la recopilación de datos y el monitoreo de sistemas de control industrial. Generalmente se implementa en una LAN interna dedicada y está físicamente aislado de Internet externo. Para lograr el ataque, el gusano Stuxnet adopta una variedad de medios para penetrar y propagarse, como se muestra en la Figura 3.
La idea general de propagación es: primero infectar el host externo; luego infectar el disco USB, utilizar la vulnerabilidad de análisis de archivos de acceso directo para propagarse a la red interna en la intranet y utilizar la vulnerabilidad de análisis de acceso directo y el control remoto RPC; vulnerabilidad de ejecución, la vulnerabilidad del servicio demonio de la impresora puede propagarse entre hosts en red y finalmente llega al host donde está instalado el software WinCC y lanza el ataque.
2.3.1. Vulnerabilidad de análisis de archivos de acceso directo (MS10-046)
Esta vulnerabilidad explota la falla del mecanismo del sistema en Windows al analizar archivos de acceso directo (como archivos .lnk), causando The El sistema carga el archivo DLL especificado por el atacante, lo que desencadena el comportamiento del ataque. Específicamente, cuando Windows muestra un archivo de acceso directo, encontrará el recurso de icono que necesita en función de la información del archivo y se lo mostrará al usuario como el icono del archivo. Si el recurso del icono está en un archivo DLL, el sistema cargará el archivo DLL. Un atacante puede crear un archivo de acceso directo de este tipo para hacer que el sistema cargue el archivo DLL especificado y ejecute el código malicioso que contiene. El sistema ejecuta automáticamente la visualización de archivos de acceso directo sin interacción del usuario, por lo que explotar la vulnerabilidad es muy eficaz.
El gusano Stuxnet busca dispositivos de almacenamiento extraíbles en tu ordenador (Figura 4). Una vez encontrado, copie el archivo de acceso directo y el archivo DLL (Figura 5). Si el usuario conecta este dispositivo a un ordenador de la red interna y lo utiliza, se activará la vulnerabilidad, logrando así el llamado ataque "ferry", que utiliza un dispositivo de almacenamiento extraíble para penetrar en una red físicamente aislada.
Figura 4 Buscando en la unidad flash USB
Hay dos archivos DLL copiados en la unidad flash USB: ~wtr4132.tmp y ~wtr4141.tmp.
Este último enlaza las siguientes funciones exportadas en kernel32.dll y ntdll.dll:
FindFirstFileW FindNextFileW FindFirstFileExWNtQueryDirectoryFile ZwQueryDirectoryFile oculta archivos lnk y archivos DLL en la unidad flash USB. Por lo tanto, Stuxnet primero utilizó dos medidas (controlador en modo kernel, API Hook en modo usuario) para ocultar los archivos del disco USB, lo que dificulta la detección del proceso de ataque para los usuarios, y también puede evadir el escaneo del software antivirus hasta cierto punto.
Figura 5 Copia de archivos a una unidad flash USB
2.3.2 Vulnerabilidad de ejecución remota de RPC (MS08-067) y vulnerabilidad de escalada de privilegios
Esta fue una Brote en 2008 La vulnerabilidad más grave del sistema operativo de Microsoft tiene las características de explotación simple, amplio impacto y alto grado de daño.
Figura 6 Lanzamiento de un ataque RPC
Específicamente, cuando un sistema con esta vulnerabilidad recibe una solicitud RPC cuidadosamente construida, puede permitir la ejecución remota de código. En los sistemas Windows 2000, Windows XP y Windows Server 2003, al explotar esta vulnerabilidad, los atacantes pueden lanzar ataques directamente a través de paquetes de red construidos con fines malintencionados, ejecutar código arbitrario sin autenticación y obtener permisos completos. Por lo tanto, los gusanos suelen utilizar esta vulnerabilidad para ataques y propagación a gran escala.
El gusano Stuxnet aprovecha esta vulnerabilidad para propagarse en la LAN interna (Figura 6). Al explotar esta vulnerabilidad, si los permisos insuficientes provocan un error, se utilizará una vulnerabilidad no revelada para escalar sus propios permisos (Figura 1) y luego se intentará nuevamente el ataque. Al momento de la publicación de este informe, Microsoft aún no ha proporcionado una solución a esta vulnerabilidad de escalada de privilegios.
2.3.3. Vulnerabilidad del servicio demonio de impresora (MS10-061)
Esta es una vulnerabilidad de día cero, descubierta por primera vez en el gusano Stuxnet.
La cola de impresión de Windows no establece los permisos de usuario de forma adecuada. Un atacante puede enviar una solicitud de impresión manipulada que envía un archivo al directorio System32 de un host que expone la interfaz de la cola de impresión. Explotar con éxito esta vulnerabilidad puede ejecutar código arbitrario con privilegios del sistema, logrando así propagación y ataque.
Figura 7 Explotación de la vulnerabilidad del servicio de impresión
El gusano Stuxnet utiliza esta vulnerabilidad para propagarse en la LAN interna. Como se muestra en la Figura 7, envía dos archivos al host de destino: winsta.exe, sysnullevnt.mof. Este último es un archivo de formato de objeto administrado (MOF) de Microsoft que hará que winsta.exe se ejecute cuando lo impulsen algunos eventos específicos.
2.3.4 Controlador en modo kernel (MS10-073)
2.3.5 Vulnerabilidad del programador de tareas (MS10-092)
2.4 Comportamiento de ataque
El gusano Stuxnet consulta dos claves de registro para determinar si el sistema WinCC está instalado en el host (Figura 8):
HKLM\SOFTWARE\SIEMENS\WinCC\Setup
HKLM\SOFTWARE\SIEMENS\STEP7
Figura 8 Consulta el registro para determinar si se debe instalar WinCC
Una vez que se descubre el sistema WinCC, se utilizan dos vulnerabilidades para lanzar un ataque :
Primero, hay una vulnerabilidad codificada en el sistema WinCC, que guarda el nombre de cuenta y la contraseña predeterminados para acceder a la base de datos. Stuxnet utiliza esta vulnerabilidad para intentar acceder a la base de datos SQL del sistema (. Figura 9).
La segunda es que en el proyecto Step7 que WinCC necesita utilizar, al abrir el archivo del proyecto, hay un fallo en la estrategia de carga de DLL, lo que conduce a un método de explotación similar al "ataque de precarga de DLL". .
Finalmente, Stuxnet implementó Hooks para algunas funciones de consulta y lectura reemplazando s7otbxdx.dll en el software Step7.
Figura 9 Consulta de la base de datos de WinCC
2.5 Relación derivada de archivos de muestra
Esta sección presenta de forma exhaustiva los archivos de muestra en los procesos de copia, difusión y ataque mencionados anteriormente. relación derivada.
Como se muestra en la Figura 10. Hay muchas fuentes posibles de muestras.
Las muestras originales y las muestras propagadas a través de vulnerabilidades RPC o vulnerabilidades del servicio de impresión son todos archivos exe, que implícitamente cargan el módulo en su propia sección .stud, denominada "kernel32.dll.aslr.lt; Número aleatorio >.dll".
Para la muestra difundida desde la unidad flash USB, la vulnerabilidad se activa cuando el sistema muestra el archivo de acceso directo y carga el archivo ~wtr4141.tmp, que carga un archivo llamado "shell32.dll.aslr.lt ; módulo de número aleatorio gt; .dll", este módulo carga otro archivo ~wtr4132.tmp como "kernel32.dll.aslr.lt;número aleatorio gt;.dll".
Figura 10 Relación derivada de archivos de muestra
El módulo "kernel32.dll.aslr.lt; número aleatorio gt; .dll" iniciará la mayoría de las operaciones posteriores y exportará 22 Una función para completar la función principal del código malicioso; en su sección de recursos, contiene algunos archivos a derivar, que se guardan en forma cifrada.
Entre ellos, la función de exportación número 16 se utiliza para derivar archivos locales, incluidos dos controladores, mrxcls.sys con número de recurso 201 y mrxnet.sys con número de recurso 242, y 4 archivos .pnf.
La función de exportación nº 17 se utiliza para atacar la segunda vulnerabilidad del sistema WinCC. Libera un archivo s7otbxdx.dll, cambia el archivo con el mismo nombre en el sistema WinCC a s7otbxsx.dll y lo exporta. file La función se encapsula una vez para implementar Hook.
La función de exportación n.º 19 es responsable de la propagación explotando la vulnerabilidad de análisis de accesos directos. Libera varios archivos lnk y dos archivos con extensión tmp.
La función exportada número 22 es responsable de la propagación mediante la explotación de las vulnerabilidades de RPC y las vulnerabilidades del servicio de impresión. Entre los archivos que publica, el archivo con el recurso número 221 se usa para ataques RPC, el archivo con el recurso número 222 se usa para ataques al servicio de impresión y el archivo con el recurso número 250 se usa para la escalada de privilegios. 3.1 Resistir este ataque
Siemens ha proporcionado una solución a este ataque. Consulte el apéndice para ver la dirección del enlace. A continuación se proporcionan medidas más específicas basadas en los resultados de nuestro análisis.
1. Utilice herramientas de eliminación relevantes o elimine manualmente el gusano Stuxnet.
Los pasos para la eliminación manual son: Utilice la herramienta de administración Atool para finalizar todos los lsass en el sistema cuyo proceso principal no esté activo. proceso winlogon.exe .exe; elimine con fuerza los siguientes archivos derivados:
System32\drivers\mrxcls.sys
System32\drivers\mrxnet.sys
Windir \inf\oem7A .PNF
Windir\inf\mdmeric3.PNF
Windir\inf\mdmcpq3.PNF
Windir\inf\oem6C.PNF Eliminar el siguientes claves de registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxCls
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxNET 2. Instale el parche del sistema explotado
Instale Microsoft Se proporcionan los siguientes archivos de parche: Vulnerabilidad de ejecución remota RPC (MS08-067) Vulnerabilidad de análisis de archivos de acceso directo (MS10-046) Vulnerabilidad del servicio demonio de impresora (MS10-061) Vulnerabilidad del controlador en modo kernel (MS10-073) Vulnerabilidad del programa del programador de tareas ( MS10-092) 3. Instale el parche de software
Instale el parche de actualización de seguridad del sistema WinCC publicado por Siemens. Consulte la dirección en el apéndice.
3.2 Sugerencias de seguridad
Este ataque destaca dos problemas: incluso las LAN dedicadas físicamente aisladas no son irrompibles; los sistemas de software dedicados, incluidos los sistemas de control industrial, también son vulnerables. Por lo tanto, presentamos las siguientes sugerencias de seguridad a los departamentos y empresas relevantes:
Reforzar la seguridad de los hosts (especialmente los hosts de intranet) incluso las computadoras físicamente aisladas deben actualizar los parches del sistema operativo de manera oportuna y establecer un sistema completo. Estrategia de seguridad;
Instalar software de protección de seguridad, incluido software antivirus y cortafuegos, y actualizar las bases de datos de virus de manera oportuna;
Establecer conciencia de seguridad del software y realizar un seguimiento de las computadoras principales en la empresa problemas de seguridad del software, actualizar oportunamente el software con vulnerabilidades;
Fortalecer aún más la construcción de seguridad de las intranets corporativas, prestar especial atención a la seguridad de los servicios de red y cerrar los puertos de servicios de red innecesarios en el host;
Las contraseñas débiles y las contraseñas predeterminadas no están habilitadas en todos los programas y servicios de red;
Fortalecer la gestión de seguridad de los dispositivos de almacenamiento extraíbles, desactivar la función de reproducción automática de la computadora y realizar análisis de virus. antes de usar dispositivos extraíbles, desarrolle inmunidad contra virus para dispositivos móviles y utilice herramientas de escaneo de virus en discos USB basadas en hardware. En comparación con incidentes de seguridad anteriores, este ataque presenta muchos métodos y características nuevos, lo que merece nuestra atención especial.
4.1 Ataques especializados a sistemas industriales
El objetivo del ataque del gusano Stuxnet es directamente el sistema SIMATIC WinCC de Siemens. Este es un sistema de control de supervisión y adquisición de datos (SCADA) que se usa ampliamente en campos industriales centrales como el acero, los automóviles, la electricidad, el transporte, la conservación del agua, los productos químicos y el petróleo, especialmente en proyectos de infraestructura nacional que se ejecuta en la plataforma Windows y; A menudo se implementa en una LAN dedicada aislada del mundo exterior.
Generalmente, el valor de ataque de un gusano reside en su amplio rango de distribución y su objetivo de ataque universal. Este ataque contrasta radicalmente, ya que el objetivo final no son los hosts abiertos ni el software general. Ya sea penetrando una red interna o explotando vulnerabilidades en software especializado de gran tamaño, no es algo que los ataques comunes puedan hacer. Esto también demuestra que la intención del ataque es muy clara y es un ataque bien planificado.
4.2 Explotación de múltiples vulnerabilidades de día cero
El gusano Stuxnet explotó las siguientes vulnerabilidades en los sistemas operativos de Microsoft: Vulnerabilidad de ejecución remota RPC (MS08-067) Vulnerabilidad de análisis de archivos de acceso directo (MS10-046 ) ) Vulnerabilidad del servicio demonio de la impresora (MS10-061) Vulnerabilidad del controlador en modo kernel (MS10-073) Vulnerabilidad del programa programador de tareas (MS10-092) Las últimas cuatro vulnerabilidades se utilizaron por primera vez en Stuxnet y son verdaderas vulnerabilidades de día cero. . El uso a gran escala de múltiples vulnerabilidades de día cero es poco común.
Estas vulnerabilidades no fueron elegidas al azar. Desde la perspectiva de cómo se propaga el gusano, cada vulnerabilidad desempeña un papel único. Por ejemplo, cuando la mayoría del software antivirus defiende los virus del disco U basados en la función de reproducción automática, se utilizan vulnerabilidades de acceso directo para propagar los virus del disco U.
Por otro lado, entre las muestras capturadas por Antiy, la marca de tiempo de algunas entidades es marzo de 2013. Esto significa que los atacantes dominaron la vulnerabilidad de día cero mencionada anteriormente al menos en marzo. Pero no fue hasta el brote masivo de julio que se reveló por primera vez la vulnerabilidad. Durante este período, es difícil controlar la filtración de vulnerabilidades.
4.3 Usar firmas digitales
Después de ejecutarse, Stuxnet libera dos archivos de controlador:
System32\drivers\mrxcls.sys
System32\ drivers\mrxnet.sys
Estos dos archivos de controlador disfrazan la firma digital de RealTek (Figura 7) para evitar la detección por parte del software antivirus. En la actualidad, el certificado digital de esta firma ha sido revocado por la autoridad emisora y ya no puede pasar la verificación en línea. Sin embargo, la mayoría de los productos antivirus actualmente utilizan métodos estáticos para determinar si el archivo ejecutable tiene una firma digital, por lo que puede serlo. engañado. Figura 11 Firma digital falsificada de Stuxnet
4.4 Objetivo de ataque claro
Según las estadísticas de Symantec, en julio, sólo 25 hosts en Irán fueron infectados con el gusano Stuxnet, y 9 a finales En septiembre, esta proporción llegó a 60.
WinCC se utiliza ampliamente en instalaciones básicas de defensa en Irán. El 27 de septiembre, la agencia nacional de noticias de Irán confirmó al mundo exterior que la primera central nuclear del país, la central nuclear de Bushehr, había sido atacada. Se entiende que inicialmente estaba previsto que la central nuclear entrara en funcionamiento oficialmente en agosto de 2013. Por tanto, este ataque tiene un claro carácter regional y decidido. 5.1 La seguridad del sistema industrial enfrentará graves desafíos
En mi país, WinCC se ha utilizado ampliamente en muchas industrias importantes. Una vez atacado, puede causar un funcionamiento anormal de las instalaciones de las empresas relevantes e incluso provocar robos. de datos comerciales, parada de producción, etc. Accidente grave.
No nos sorprende mucho la aparición del gusano Stuxnet. El año pasado, los usuarios encargaron a Antiy realizar una investigación sobre la seguridad de los instrumentos en la industria química. La situación no era optimista.
Las redes de control industrial, incluida Ethernet industrial, y los sistemas de control de bus de campo se han utilizado en empresas industriales durante muchos años. Actualmente, en grandes empresas industriales pesadas y químicas, como las de energía eléctrica, acero y productos químicos, Ethernet industrial. , DCS (sistemas de control distribuido), bus de campo y otras tecnologías ya han penetrado en todos los aspectos de los sistemas de control. El núcleo de las redes de control industrial son ahora las PC de control industrial, la mayoría de las cuales también se basan en la plataforma Windows-Intel. No existe una diferencia técnica esencial entre Ethernet industrial y Ethernet civil. La tecnología Fieldbus ha aplicado microcontroladores/sistemas integrados en todas las partes. instrumento de control. Además de estar sujetas a los mismos ataques que las redes civiles/comerciales, como códigos maliciosos difundidos a través de la LAN, las redes de control industrial también pueden estar sujetas a ataques especializados a los buses de campo, lo que no debe subestimarse.
En la actualidad, los ataques contra computadoras y redes civiles/comerciales tienen como objetivo principal obtener beneficios económicos. Sin embargo, los ataques contra redes de control industrial y autobuses de campo pueden destruir la medición y el control normales de importantes dispositivos y equipos empresariales. Las consecuencias de esto pueden ser catastróficas.
Tomando la industria química como ejemplo, los ataques a las redes de control industrial pueden destruir la medición y el control normales de temperatura/presión del reactor, provocando que el reactor tenga sobretemperatura/sobrepresión, lo que eventualmente conducirá a accidentes catastróficos como daños materiales. enrojecimiento, incendio o incluso explosión, y también puede causar desastres secundarios y desastres humanitarios. Por lo tanto, este tipo de código malicioso que ataca las redes industriales generalmente tiene la naturaleza de armas de información y su objetivo es interferir o incluso dañar gravemente la producción normal de importantes empresas industriales. Su origen generalmente no es un individuo o un hacker clandestino común. organización.
Actualmente, los estándares de bus de campo y Ethernet industrial son estándares abiertos, y no existe un umbral técnico alto para que los programadores que están familiarizados con los sistemas de control industrial desarrollen códigos de ataque maliciosos dirigidos. Por lo tanto, es necesario mejorar y proteger las siguientes posibles debilidades de seguridad de las redes industriales: Las PC industriales y Ethernet industriales basadas en plataformas Windows-Intel pueden ser atacadas por los mismos medios que los utilizados para atacar las PC y redes civiles/comerciales, como malware. Los códigos y gusanos de red se propagan a través de unidades flash USB. El virus Stuxnet es un ejemplo típico. El software de configuración (el núcleo del software de medición y control) en DCS y sistemas de control de bus de campo está actualmente monopolizado por unas pocas empresas, especialmente productos industriales, como Siemens SIMATIC WinCC, comúnmente utilizado en la industria energética, Zhejiang University Sinocon, comúnmente utilizado en la industria petroquímica. , etc. Los ataques contra el software de configuración destruirán fundamentalmente el sistema de medición y control. El objetivo del virus Stuxnet es el sistema WinCC. Los buses de campo basados en el bus RS-485 y la capa física de fibra óptica, como PROFIBUS y MODBUS (protocolo de enlace serie), tienen una seguridad relativamente buena; sin embargo, las redes inalámbricas de corto alcance, especialmente aquellas que no utilizan tecnología inalámbrica de corto alcance general; protocolos como Zigbee (tienen cierta seguridad), mientras que los instrumentos de control y medición de comunicaciones inalámbricas de corto alcance que utilizan protocolos dedicados personalizados tienen poca seguridad. En particular, algunos instrumentos de medición y control, como los "sensores inalámbricos" producidos por algunas pequeñas empresas nacionales, utilizan chips de comunicación inalámbrica de corto alcance universales de 2,4 GHz para sus partes de comunicación inalámbrica. no hay seguridad alguna y son extremadamente vulnerables a escuchas y ataques; si se utilizan, se convertirán en un punto débil extremadamente vulnerable en el bus de campo. Las redes de control industrial suelen ser redes independientes en comparación con las redes civiles/comerciales, la cantidad de transmisión de datos es relativamente pequeña, pero sus requisitos de confiabilidad y tiempo real son muy altos, por lo que las consecuencias de los problemas son bastante graves.
En comparación con las redes de información, la seguridad de las redes industriales tradicionales siempre se ha basado en el aislamiento de la intranet y en la prevención descuidada. Por ello es urgente la inspección de seguridad y el refuerzo preventivo de los sistemas industriales.