一种工业现场的攻击路径还原方案

  • A+
所属分类:安全文章

一种工业现场的攻击路径还原方案


近年来,工业控制系统的网络安全事件频频发生,有些是因为黑客恶意攻击,有些是因为工作人员无意中引入病毒等恶意软件。安全事件发生后,除了要立即修复被破坏的主机或设备,还有一个重要的任务就是亡羊补牢,还原攻击路径、追溯攻击来源,避免该类事件再次发生。


攻击溯源和攻击路径还原一向都是难度很大的技术活,一般由安全专家来完成。安全专家需要收集大量的关联设备、网络设备的日志,从海量数据中查找攻击事件的蛛丝马迹,仔细分析其时序性和关联性,结合自己的安全专业知识进行分析。


为了解决这一难题,威努特利用统一安全管理平台USM、网络审计产品SMA以及主机安全产品IEG等形成整体解决方案,广泛收集网络和主机的各种日志和会话信息,融入安全专业知识,通过专利算法,帮助客户半自动化地完成攻击溯源和攻击路径还原的难题。

下面,我们来介绍一下这种工业现场的攻击路径还原方案。





网络部署



整体的网络部署图如下所示:
 

一种工业现场的攻击路径还原方案


USM部署在生产管理层对工业网络中的安全产品及安全事件进行集中管控的一体化产品。通过对生产控制网络中的边界隔离、网络监测、主机防护、入侵检测、运维管理等安全产品进行集中管理,实现安全策略的统一配置、运行状况的全面监控、安全事件的实时告警,同时可对工控主机上报的非可信文件进行特征匹配,实现病毒及恶意代码程序的识别,帮助工业企业用户掌握工控网络的安全现状,降低运维成本、提高安全事件响应效率。
 

一种工业现场的攻击路径还原方案


IEG安装在每一台操作员站与工程站设备,可以通过截取系统调用实现对文件、目录、进程、注册表和服务的强制访问控制,结合文件和服务的完整性检测、防缓冲区溢出等功能,将普通操作系统透明提升为安全操作系统。
 

一种工业现场的攻击路径还原方案


SMA是专门针对工业控制网络的信息安全审计平台,采用旁路模式部署,镜像分析网络中的所有流量和会话,把深度分析的结果发送给USM进行统一汇总分析,对工业生产过程“零风险”。

一种工业现场的攻击路径还原方案

 
策略配置

策略配置



部署完成后,IEG与SMA已经在USM注册上线,可以通过USM对SMA和IEG进行监控配置。首先,通过USM更改SMA为学习模式,在学习模式下,SMA对流量仍然进行深度的解析后,上报给USM汇总分析,但是不会产生告警。一般默认学习模式时网络是正常状态。

USM从SMA上报的网络数据中提取出IP地址和源MAC地址做为主键,记录所有的网络节点信息、连接信息,并按照每分钟、每小时、每天分别统计当前主键产生的字节数与报文数。一般工业现场业务需要一个月的学习周期才可把所有网络通讯信息记录完全。通过一个月的学习基本形成网络的连接和流量模型,基于该网络模型可以进行异常流量判断和异常连接判断。学习完成后,更改SMA为防护模式,开始进行异常检测。

学习模式下,系统的运行流程如下图所示:

一种工业现场的攻击路径还原方案

攻击路径还原

攻击路径还原



SMA开始工作后,将基于学习的网络模型判断是否出现网络异常,发现网络异常后将产生告警事件上报给USM。

IEG作为主机安全终端,监测主机的异常事件并产生告警事件上报给USM。

告警事件包括未知设备告警、非法外设告警、异常连接告警、异常流量告警等,各告警信息中包括告警时间、源 IP、目的 IP、异常信息等。USM将各告警信息按时间进行排序,以未知设备告警信息、外设告警信息中的目的资产 IP 作为攻击路径起点,构建多条攻击路径;根据各攻击路径及预设概率计算规则,计算各攻击路径的攻击概率;将攻击概率最大的攻击路径确定为最优攻击路径。

攻击路径还原的算法流程如下图所示: 

一种工业现场的攻击路径还原方案

攻击概率计算规则:

1.判断各攻击路径中是否包括预设高危端口产生的告警资产 IP;将包括预设高危端口产生的告警资产 IP 的攻击路径的攻击概率增加。

2.判断各攻击路径中告警级别,级别越高攻击路径的攻击概率越大。

比如,当现场发生攻击导致其中一台IP地址为121.51.118.79的设备蓝屏时,通过页面输入121.51.118.79查询此台设备的攻击路径。
 

一种工业现场的攻击路径还原方案


根据输入的IP地址经过计算获取到攻击概率最大的攻击路径,通过攻击路径可以看出192.168.1.125这台设备向外发出大量连接并且出现大量中风险节点。USM的界面上,绿、黄、红三种颜色分别对应低、中、高三种告警级别。黄色的中级告警节点已经被攻击到,有些已出现蓝屏的攻击效果,绿色的低风险节点代表可能被攻击到但还没有被攻击到节点。具体查询界面如下所示:
 

一种工业现场的攻击路径还原方案


同时查看192.168.1.125这台设备的告警信息,出现IEG上报的U盘告警,基本可以推断病毒为U盘插入引入。
 

一种工业现场的攻击路径还原方案




总 结



在这个方案中,我们基于网络安全知识和概率统计算法,计算得出最优攻击路径,并结合主机的异常事件和告警,完成对整个攻击的还原,可以清晰查看到攻击的来源、去向和触发因素。这一套基于概率的算法,不仅可以对已经发生的攻击形成整体的分析认知,还可以通过概率推测可能发生的攻击,从而对可能受到攻击的资产及时进行安全防护,并对已经感染病毒的资产进行相应处理,彻底消除相关威胁。

注意:本文为了演示攻击路径的还原方案,并未开启IEG的全部安全防护策略,如果开启了IEG的全部安全防护策略,USB口禁用、非法程序禁止运行,这些恶意软件根本无法运行,也无法对主机造成破坏。
一种工业现场的攻击路径还原方案
威努特简介
一种工业现场的攻击路径还原方案

北京威努特技术有限公司(以下简称“威努特”), 是国内工控网络安全领军企业、全球六家荣获国际自动化协会安全合规学会ISASecure CRT Tool认证企业之一和亚太地区唯一国际自动化学会(ISA)全球网络安全联盟(GCA)创始成员。

威努特作为国家高新技术企业,以创新的“白环境”整体解决方案为核心,自主研发了5大类30款全系列网络安全专用产品,拥有52项发明专利、50项软件著作权、52项原创漏洞证明等核心知识产权。积极牵头和参与工控网络安全领域国家、行业标准制定,受邀出色完成新中国70周年庆典、中共十九大、全国两会等重大活动的网络安保任务,被授予“国家重大活动网络安保技术支持单位”,得到了中央网信办、公安部、工信部等国家政府部门的高度认可。迄今已成功为电力、轨道交通、石油石化、军工、烟草、市政、智能制造、冶金等国家重要行业1000多家工业企业提供了全面有效的安全保障。

威努特始终以“专注工控,捍卫安全”为使命,致力于为我国关键信息基础设施网络空间安全保驾护航!

一种工业现场的攻击路径还原方案

一种工业现场的攻击路径还原方案
一种工业现场的攻击路径还原方案
一种工业现场的攻击路径还原方案
一种工业现场的攻击路径还原方案
一种工业现场的攻击路径还原方案
渠道合作咨询   张先生 18201311186
稿件合作   微信:shushu12121

本文始发于微信公众号(威努特工控安全):一种工业现场的攻击路径还原方案

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: