![八大不同丨工业企业态势感知建设须知]( "八大不同丨工业企业态势感知建设须知")
安全态势感知收集汇总日志、告警、流量等多个数据源的信息,通过大数据关联分析,反映系统整体运行现状和未来趋势,可以理解是整个系统的大脑,对各种信息进行收集、加工、分析,为使用者提供决策参考。
![八大不同丨工业企业态势感知建设须知]( "八大不同丨工业企业态势感知建设须知")
工业态势感知产品,从分析对象、分析方法、安全策略等方面与传统IT系统态势感知都有差别。工业系统由于温度、湿度、震动、腐蚀性或者专有行业的专门的标准规范等要求,导致工业安全产品在硬件选型、通信协议、网络部署、漏洞处理、安全策略等方面与传统IT产品都有较大差异,传统态势感知产品不具备工业级硬件要求,不支持工业协议,不能识别工业资产和漏洞,所以工业安全领域中,需要使用工业态势感知产品对工业系统进行安全监控和趋势分析,为了便于理解,我们对IT领域和工业领域的安全态势产品的差异进行了具体的对比分析。
数据是传统IT系统的核心,例如政府、金融、互联网电商的数据非常重要,系统安全建设主要围绕着数据的产生、传输、存储、备份、访问利用的方向开展;常见的需要监控的资产通常是服务器、网络设备、存储设备。
工业安全态势感知产品数据收集和分析的基础是工业资产的识别、工业网络的理解、工业协议的解析、工业应用的识别,这些与IT系统都有较多差异。首先是资产,工业企业虽然也有部分IT类资产,但多数是各种专业设备和控制设备,自动化设备是物理世界的控制核心,工业现场的电机、阀门、开关、机械手臂等需要自动化设备控制。自动化设备通常包括工业数据采集与监控系统(SCADA)、可编程逻辑控制器(PLC)、分布式控制系统(DCS)等。自动化设备的生产厂商很多,西门子、通用、施耐德、罗克韦尔、菲尼克斯、霍尼韦尔、ABB、三菱、欧姆龙、和利时、台达等都是著名的工控设备厂商。
![八大不同丨工业企业态势感知建设须知]( "八大不同丨工业企业态势感知建设须知")
工控资产的发现通常使用无损扫描和被动发现的方式,通常基于流量获取到资产的大致信息,再结合资产指纹库,详细匹配资产的厂商、型号、版本信息。由于市面上的工控设备厂商多,产品型号多,工业协议多,据统计,市面上的工控设备厂家达100+,产品型号500+、工业协议40+,导致工业资产的识别难度要远超过IT系统,通常的IT态势感知产品几乎无法准确识别工控资产,通常建议使用工业态势感知产品。
态势感知产品需要使用探针进行数据采集,工业系统的运行环境比IT机房环境要复杂的多。例如工业产品需要满足工业级宽温要求,要求设备在在-40~70℃的范围内可以正常运行,而且普通的IT设备机房的温度一般工作在20℃左右;很多工业生产车间粉尘较重,要求设备满足全密封无风扇要求;某些车间厂区没有机架安装环境,需要安全设备可以使用导轨安装方式等各种特殊工业要求。
![八大不同丨工业企业态势感知建设须知]( "八大不同丨工业企业态势感知建设须知")
工业系统中的探针需要满足工业环境要求,《GB/T 2423 环境试验要求》和《GB/T 17626 电磁干扰》对工业领域应用的电子产品的温度、湿度、抗震、跌落、防水、防尘、防腐蚀性、抗霉变、抗电磁干扰等运行环境都提出了要求。
Bypass在流量探针中普遍使用,当探针设备故障时,流量可以通过bypass透明传输,看似完美的设计,在工业领域里却引起过严重的故障,某安全设备厂商的流量探针使用了bypass,在设备未上电的时候,旁路部署模式下bypass处于连通状态,造成两台机组DCS网络直接连通,导致两台机组跳机,严重影响了生产活动。
传统漏洞扫描原理是模拟黑客的攻击行为,向设备发送特定的漏洞利用报文,具有一定的攻击性,极易导致工业主机和控制设备不稳定,所以工业领域的漏洞发现探针只允许采集信息,不能向工控领域发攻击性的验证报文,仅允许发送少量的无损报文。
工业系统主机普遍存在设备老旧、配置低的问题,如Windows98类的设备还在使用,传统探针普遍使用实时或者定时扫描方式发现主机上的漏洞和异常,占用系统资源较多,容易造成系统主机蓝屏、卡顿、带有病毒查杀功能的探针经常会误删文件,导致应用无法使用。为了尽可能少的占用系统资源,工业系统的软件探针多数使用的是基于网络白名单、系统白名单、应用白名单的设计思路,预先定义好系统中流量和应用,不需要频繁的扫描,对系统和应用影响几乎没影响,同时尽量精简探针功能,不建议使用带有查杀病毒的探针。
![八大不同丨工业企业态势感知建设须知]( "八大不同丨工业企业态势感知建设须知")
如下图所示,IT系统内部通常是网络可达的,数据采集比较简单,应用系统可以直接发送数据给Server端,或者统一发送给探针;工业系统不同应用间通常是不通的,工业应用除了数据采集,通常不对外发送数据,需要单独部署探针,同时探针数据上传需要穿越网络隔离装置(网闸或防火墙)。
![八大不同丨工业企业态势感知建设须知]( "八大不同丨工业企业态势感知建设须知")
安全分析需要建立在通信语义的理解基础上,需要识别系统通信协议和具体指令。IT网络通信普遍基于TCP/IP标准通信协议,网络中的流量基本HTTPHTTPSP2PFTPSMTPVOIPIMSSTPH.263TELNETSSH等传统通信协议,基于这些通用协议,只能获得上网行为、用户画像等与工业生产无关的互联网用户数据。
这些在工业网络通常是禁止使用的,工业协议通常与生产加工制造相关,每条协议报文都跟生产控制关联,对协议的理解能力,决定了态势感知产品对系统工艺的理解能力,只有理解了工艺指令,才能及时发现对工艺有破坏影响的指令动作,在协议指令、功能码、下发数据范围多方面进行保护,能够防止误操作或者恶意篡改对工业产生的影响。
由于工控厂商很多,每个厂家的使用各自的通信协议,导致工业协议种类非常多,已经存在500多种工业协议,常见的包括Modbus、IEC104、OPC这类通用工业协议,还包括如西门子公司的S7协议、Tridium公司的Fox协议、菲尼克斯电气公司的PCWorx,Vxworks公司的WDBRPC协议,欧姆龙的FINS协议等。通过对工业流量的分析收集,建立流量模型和流量基线,以基线出发,可以实现异常流量、异常行为检测、异常指令检测。
![八大不同丨工业企业态势感知建设须知]( "八大不同丨工业企业态势感知建设须知")
随着两化融合的大趋势,工业系统的网络环境发生了变化,早期的封闭的工业网络边界逐渐模糊,由于工控设备设计设计之初考虑的主要是功能、性能、实时性这些要求,安全因素考虑的较少,导致存在大量的安全漏洞,CNVD收录的工控设备漏洞每年呈现快速增长,截止目前已经达到2000多个,很多攻击行为都是利用了工控系统的漏洞,执行恶意代码,由于各类工业安全事件的频繁发生,工业用户开始关注自己系统中的安全漏洞。
传统漏洞探针多数使用IP扫描和端口扫描对系统所有资产进行多次扫描,并对端口进行反复的漏洞利用尝试,最终确定系统中的漏洞,这种方式往往需要向网络中发送较多的报文,有可能导致被扫描系统运行不稳定。工业系统中,明确要求禁止大范围的频繁发送报文,所以工业系统的漏洞探针通常需要使用被动发现和无损扫描结合,同时结合指纹库、漏洞库信息,确定系统中的漏洞,漏洞发现过程中可以不发送报文,或者发送少量的无损探测报文,完全不会对工业网络造成影响。
传统态势感知产品扫描到漏洞通常会提示用户安装补丁或者更换软硬件版本来规避漏洞影响;工业系统软硬件更新迭代很慢,很多十年前的系统和软件还都在生产运行,升级或打补丁会导致系统不稳定,同时工业系统的升级涉及到严格的测试验证过程,必然影响到生产,所以工业系统一般不轻易升级或打补丁,工业系统长期带着很多漏洞运行,如何确保工业系统在有漏洞的情况下免受攻击,是工业安全主要需要解决的问题。
通过综合整合分析漏洞所属资产的软硬件配置、运行的应用、上报的日志告警、日常基线、网络流量、网络边界防火墙或网闸、本机防毒和杀毒软件运行情况等影响因素,综合评估和监控漏洞的影响面。同时将感知到的风险和威胁同步给防火墙、主机设备等安全产品,通过增加或安全策略的方式,规避漏洞,相当于间接给系统打了补丁,业界也称为虚拟补丁。
IT系统面临的攻击主要集中在应用服务和数据方面,攻击者利用僵尸网络大量的向服务器发送请求,逐渐耗尽服务器资源,最终导致不能提供服务;另外,数据篡改也是较为常见,攻击者通过利用操作系统、中间件、应用程序的漏洞,入侵服务器,对数据进行修改、删除、窃取操作;例如针对数据库服务的暴力破解、特权提升、漏洞利用、数据窃取;针对WEB服务的目录遍历、SQL注入、XSS跨站、木马上传等。
如下图所示,工业态势感知产品通过关联分析安全设备、流量、日志、告警、白名单等多重数据源信息,建立流量模型、操作模型、网络模型、工艺模型、行为模型,通过套用分析模型提高威胁判定准确率。
![八大不同丨工业企业态势感知建设须知]( "八大不同丨工业企业态势感知建设须知")
工业生产网通常不对外提供服务,也不允许安装与工艺无关的应用,很多IT系统中的威胁场景在生产网络中并不存在;控制指令很多需要操作员手动下发,误操作再所难免;工业态势产品通过关联分析网络流量和工艺指令,建立误操作操作模型,并同步给防火墙,当误操作发生时,防火墙能够拦截到此次操作,从而避免错误的发生。
工业主机通常不允许连接外界网络,同时企业信息网也不允许跨区访问工业生产网,工业生产网中的主机和通信模型是确定的,通过对网络流量的学习,建立合法的连接模型,并将连接模型同步给主机卫士软件,当主机尝试连接模型之外的设备时,及时上报告警或阻断。
工业系统中U盘使用的较多,U盘介质方便使用的同时,也非常容易带入病毒和木马,席卷全球的震网病毒,就是通过U盘引入系统的。针对这个问题,工业用户通常使用专业的安全U盘,为了便于对U盘使用进行约束和管理,态势感知产品通过建立介质访问模型,对允许访问的介质进行管理并记录。
流量探针解析并学习系统中的工艺指令,建立工艺指令模型,并将模型同步给防火墙,破坏性或错误指令下发时,通过防火墙进行拦截。
IT系统的安全建设从系统早期建设就已经开始了,各种安全防护能力多数已经具备,缺少的是对各单点设备数据收集汇总分析,形象点就是缺一个分析大脑。
工业安全系统建设较晚,很多安全建设都是伴随着等保合规逐步开展的,态势感知产品的建设过程本身就是等保2.0中的安全管理中心的重要组成部分,不单纯是为了某个应用或某个项目定制的大屏展示型产品,相比于大脑型态势感知产品,工业态势感知产品,更像是一个管家,对系统中资产和应用进行配置核查、合规评估,确保系统安全建设符合各类标准要求。
![八大不同丨工业企业态势感知建设须知]( "八大不同丨工业企业态势感知建设须知")
表1对IT系统和工业系统态势感知建设思路做了简单对比,工业安全项目建设开始时就建议规划出流量探针、软件探针的数量和部署位置,例如流量探针与流量审计产品可以复用,软件探针可以与主机卫士类产品复用,建议系统建设初期就把态势感知产品与安全合规建设放在一起考虑,同步进行,一方面节约成本,另一方面,各系统接口兼容性更好;产品选型上尽量选择专业的工业态势感知产品,便于更能适应工业环境和应用场景。
北京威努特技术有限公司(以下简称“威努特”), 是国内工控网络安全领军企业、全球六家荣获国际自动化协会安全合规学会ISASecure CRT Tool认证企业之一和亚太地区唯一国际自动化学会(ISA)全球网络安全联盟(GCA)创始成员。
威努特作为国家高新技术企业,以创新的“白环境”整体解决方案为核心,自主研发了5大类30款全系列网络安全专用产品,拥有64项发明专利、64项软件著作权、70项原创漏洞证明等核心知识产权。积极牵头和参与工控网络安全领域国家、行业标准制定,受邀出色完成新中国70周年庆典、中共十九大、全国两会等重大活动的网络安保任务,被授予“国家重大活动网络安保技术支持单位”,得到了中央网信办、公安部、工信部等国家政府部门的高度认可。迄今已成功为电力、轨道交通、石油石化、军工、烟草、市政、智能制造、冶金等国家重要行业1000多家工业企业提供了全面有效的安全保障。
威努特始终以“专注工控,捍卫安全”为使命,致力于为我国关键信息基础设施网络空间安全保驾护航!
本文始发于微信公众号(威努特工控安全):八大不同丨工业企业态势感知建设须知
评论