工业信息网络安全里的“视觉艺术”

  • A+
所属分类:云安全
工业信息网络安全里的“视觉艺术”



著名画家陈丹青曾经在自己的视频节目《局部》中这样说到:“画史的每次突破,都起于观看。”

- 伦勃朗看见了光影,在36岁时就完成了艺术史上第一幅运动群像画作《夜巡》并在当代就声名大噪;

- 法国画家达维特·路易·大卫看见了空间,因此《拿破仑一世加冕大典》穿越时间仍为我们诉说着几个世纪前在巴黎圣母院举行的隆重仪式;

- 冷军看见了细节,纤毫毕现与细致入微的还原使每个观者都对他创作的画面叹为观止。

这样说来,准确地“看见”并表达,其重要性不言而喻。          

工业信息网络安全里的“视觉艺术”



 

  然而,这并不是艺术界的独特规则

 


从安全界的视角出发,直观又准确地“看见”企业内的网络资产状态与网络行为活动,是管理者了解与掌握企业全局安全的必要条件。而安恒信息给出工业信息安全的解决方案的重要思路即为“看得见,才安全”

那么在安全中,我们又如何定义“看见”呢?


——“看得全”,IT与OT兼顾,企业网络内外兼修,对企业环境内的所有资产信息进行细粒度的发现与追踪,实时了解与掌控系统全局;

——“看得清”,在识别资产的基础上准确解读资产间的通讯行为,在系统遭受威胁的时候及时告警,全方位地感知工控环境中的网络安全现状;

——“看得懂”,除了详细的记录之外,对各项重要指标进行多维度的分析与可视化,提高用户安全管理的效率,降低运维成本。


工业信息网络安全里的“视觉艺术”


基于此,安恒信息全新版工控安全监测审计平台——独具匠心的“视觉艺术”,携升级版的协议解析与异常检测功能正式发布

该平台以资产为核心,通过对环境内的所有工控与传统协议的指令级深度解析,如实完整地记录网络行为,同时提供多种防御策略,以强大的内置引擎对网络安全风险进行全面检查,实时感知行为异常与潜在安全威胁,并能及时告警,提供处置建议和信息上报。

/

 见人所未见



平台可智能自动发现追踪工控环境中的资产,并能以资产为中心,提供基于协议(包括工控协议与传统协议)的网络拓扑视图和网络流量视图,帮助用户“摸清家底”


工业信息网络安全里的“视觉艺术”


平台的资产可视化功能可以对企业内的资产、及其互相之间的通讯活动进行全面且清晰地展示,帮助用户直观地了解网络内的各设备之间的关系与其运行状况。除此以外,平台还能实时更新设备的安全隐患和风险,并在拓扑中突出显示,网络全局安全精确可视。

平台的角色如同写实主义的画家,将场景内所有人物的真实面貌甚至性格统统刻画在画布上。好比维托雷·卡帕齐奥创作的《英国使臣归来》图,工控“广场”中的每个设备是谁、现在正在做什么、谁跟谁又在交头接耳,一分不差全都详实记录,连站在角落里的男子腿上穿了一双花袜子这样的细节也不轻易放过。


工业信息网络安全里的“视觉艺术”

维托雷·卡帕齐奥《英国使臣归来》局部

以详细的资产信息与独特的可视化能力为基础,工控安全检测审计平台为工控网络提供了一个对外的窗口,实时展示着系统中的资产运行变化,并且让用户可以更深入地了解兼顾IT与OT在内的,工控环境中不同资产之间的沟通模式。

“见人所未见”,才能在纷繁复杂的安全形势面前拨开迷雾,能做到如此的“视觉系统”才能真正让用户体验到安全的可视可感。


/

 察人所未察



对画作来说,看见真实并将画面以作者的独特感受进行创作即为绘画的艺术。但是对于安全来说,这个过程就变得更为复杂。在看见与记录行为的基础上,更需要做到核查与检测这些行为是否为异常,并能及时将威胁与风险进行告警,将企业内工业控制系统的运行情况实时地与用户进行顺畅地交流。

因此,在此次的发布中,工控安全监测审计平台对协议的解析能力和威胁与异常的检测能力都做了升级。

平台可以对多种工控协议与传统协议进行细粒度解析,精准还原环境内通讯行为,核查通讯内容与数据,全面掌握工控运行状况。

通过规则引擎、指纹引擎、异常发现引擎三大威胁发现引擎,平台可对工控网络安全风险进行全面检查。从协议规则、关键事件规则、安全基线白名单、自定义规则、工控入侵检测规则五个方面,检测入侵攻击,监测异常行为,全方位感知工控环境中的网络安全威胁。


工业信息网络安全里的“视觉艺术”


① 异常报文检测:针对 TCP/IP 协议栈畸形报文攻击检测;工控协议畸形报文攻击检测;针对工控协议的攻击,如非常规端口、功能码错误、功能码携带数据异常等。

② 关键事件检测:支持对工程师站组态变更、操控指令变更、PLC 下装、负载变更、启动、停止等工控关键事件的检测;支持协议关键工控事件、常见控制器关键工控事件、零流量事件的检测。

③ 基线白名单检测:通过机器学习等自学习方式生成工控环境安全基线模型:资产基线、访问关系基线、流量基线、工控行为基线,通过对异常现象的发现和预警,提前预警 APT 攻击。

④ 自定义规则检测:用户可对多种工控协议进行细粒度的规则配置,如 Modbus 协议可以细化到读/写地址,OPC 协议可细化到二级指令码等,可对规则生效的时间进行灵活配置。

⑤ 工控入侵检测:内置丰富的入侵检测规则库:工控设备漏洞入侵行为检测规则库,如西门子、罗克韦尔等设备的漏洞攻击行为;常见入侵检测规则库,如拒绝服务未遂、尝试获取用户特权、获取用户特权失效等。

并且,平台支持对工控网络通信记录回溯及关联分析,完整呈现事件发展过程,能为安全事件调查提供详实依据。

“察人所未察”,才能在危险造成大规模破坏之前迅速响应,才能真正帮助用户提升整体安全态势。




正如几百年前的《清明上河图》详实地记录着北宋汴京十二世纪的屋宇栉比,人喧马嚣,车轿穿梭的社会面貌,为我们展现着宋城往日繁荣昌盛的英姿与风采。未来工控安全监测审计平台也将持续优化资产可视化管理、审计与威胁监测能力,构建安全高效的智能工业“视觉系统”,实现工控网络安全的可视可感。


应用场景


一、 企业内部监测审计

在企业控制网络中的工业交换机位置部署工控安全监测审计平台。平台采用旁路部署探针、镜像流量的方式,不会引入任何风险。通过以上部署,实现对该工业控制网络所有站控层网络流量的监测审计。


工业信息网络安全里的“视觉艺术”


①在企业资源层,平台支持:

★检测网络扫描

★检测跨安全域访问

★检测无响应设备(零流量等)

★网络外联检测

★新设备、伪造设备检测

★基于指纹的威胁检测

★检测已知攻击(如中间人攻击)

★检测网络配置错误(IP冲突等)


②在生产管理层,平台支持:

★ 明文密码

★基线检查

★非加密通讯

★潜在攻击向量

★ 网络访问模型

★流量活动模型

★资产行为模型

★检测无响应设备(零流量等)


③在过程监控层,平台支持:

★固件下载

★配置下装

★ 逻辑变更

★ 畸形报文

★ 协议异常行为

★通讯中断检测

★工控行为模型

★在线编辑PLC

★检测无响应设备(零流量等)


④在现场控制层,平台支持:

监测关键工控行为:启动、停止、上装、下载、测试模式、运行模式



二、管理平台的审计探针


工业信息网络安全里的“视觉艺术”


除了单独部署之外,平台也可以作为企业探针部署在大型企业的分厂、作为监管部门在各个企业的监测探针,为企业SIEM、监管单位安全态势感知提供安全监测与审计数据,为工业企业全面的安全管理与智能运营提供坚实的数据基础。





往期精选


围观

陆续斩获多个奖项!安恒信息行业影响力持续攀升


热文

寻梦亚运安全卫士之旅启航 | 杭州亚运会志愿者招募中


热文

不失守、不交赎金,安恒EDR防勒索加密两步就搞定?


工业信息网络安全里的“视觉艺术”

本文始发于微信公众号(安恒信息):工业信息网络安全里的“视觉艺术”

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: