原创 | 为什么控制系统信息安全建设需要基于行为分析

  • A+
所属分类:云安全

作者 | 天融信

 1、工业控制系统与IT信息系统的区别

工业控制系统由控制器、PLC模块、DCS控制柜、触摸屏、HMI设备、通讯卡等硬件,以及SCADA组态软件、编程软件、操作系统软件等软件组成,应用于工业现场环境,用于不同行业的生产业务场景。

为满足工业企业日常生产计划性、连续性、高可靠性等业务场景要求,工业控制系统通常具有通信网络冗余、运行时间长、设备老旧、更新换代不频繁等特征,在业务流程和运行特点上与传统IT信息系统有很大不同。

随着工业控制系统开放性越来越强,为达到工业控制系统集成和使用的便利性目的,系统网络中广泛应用工业以太环网、OPC、Modbus、S7等工业专有通信协议;同时在过程控制层面,应用了基于商用操作系统或数据库系统的PC服务器和终端产品,很容易遭到来自企业管理网或互联网的病毒、木马、黑客等外来攻击。

IT信息系统中黑客攻击目标多为获取私密数据、个人信息,而针对工业控制系统的攻击目标通常为造成系统宕机、破坏通信网络、修改工艺参数,引发安全事故,造成不同规模的经济损失或爆炸、人员伤亡等严重后果,甚至摧毁关键信息基础设施。

工业控制系统有许多区别于传统IT信息系统的特点,面临不同的安全风险。工业控制系统与IT信息系统本质上的差异,决定了工业控制系统信息安全建设与IT信息系统安全建设的不同。因此必须在符合工业控制系统本身技术和环境具体要求与特点的前提下,以保障生产业务连续性为主要目标,开展工业控制系统信息安全建设。

 2、传统安全防护方式不适用于工控环境

2.1   网络层面分析

首先在网络方面,防火墙、入侵检测等传统网络安全设备,仅能够实现对外部入侵及网络异常行为的管理和监测,但是不能对网络通讯内容,以及已经授权的人员进行内部网络访问的行为进行监控,因此,对于正常网络访问行为导致的网络资源滥用、敏感信息泄露、违规操作、文件上传、下载、删除等违法操作无能为力,难以实现对网络行为的在线实时监控管理及安全事件的追溯取证。

另一方面,由于工业控制系统采用的控制协议与传统的网络高层应用协议不同,具有私有、专用的特点;而且许多工业控制协议没有提供保护流量的措施,攻击者只需访问网络并了解协议,即可以在没有任何阻力的情况下进行网络攻击。并且工业控制系统对环境适应性具有较高要求,使传统的网络审计技术手段不能满足现阶段工业控制系统网络安全监测的需求。

2.2   应用层面分析

从业务应用层面考虑,工业控制网络与传统IT网络的业务应用流程、应用方式均不同,如果仅仅基于五元组无法达到预期目的,而是需要从更深层面对业务进行分析,通过关联分析的技术手段,发现针对业务系统的违规行为,真正发现安全事件并进行告警。

例如,传统的审计措施在经过对五元组信息进行审计分析时,发现某账户在某时间段内频繁查询核心客户资料数据库,从而进行告警,并告知管理员该异常账户的行为。但是可能该客户正在下载客户资料,属于正常操作行为,而不是违规行为。

因此要实现类似行为的发现,光靠协议分析是不够的。协议分析只能将此类行为对应的零散的数据报文截获出来,并变成一条条的事件信息。只有找出存在业务流程中的用户访问行为、操作行为等不同行为的规律和特征,从业务角度配置访问控制策略,并且通过对这些事件信息进行关联分析,才能将其转化为有意义的事件告警信息。

2.3   主机层面分析

传统的安全软件防范病毒和木马,主要采用基于特征分析和基于操作行为分析两种方式。

第一种基于特征分析的病毒防范方式,主要是通过提取恶意程序的特征码,并记录到病毒库中,当下次再遇到含有这种特征码的程序,就可以直接进行查杀。基于特征分析是查杀病毒和木马的主要方式,其优点是快捷方便,在恶意程序运行之前,就可以进行查杀了。但是其缺点也很明显,当一个病毒或木马加壳或者改变加壳方式之后,特征码会发生改变,这种方法就不奏效了。

第二种基于操作行为的病毒防范方式,主要是通过监测行为的动态性实现恶意程序拦截。例如木马要修改计算机的注册表信息,这是一种恶意行为。杀毒软件在运行的过程中,会监视注册表,在发现有软件正在修改注册表时进行提醒,或者直接进行拦截。基于行为分析的优点是能够通过分析行为,准确地拦截恶意程序,甚至一些新的木马或病毒,均可以通过这种方式进行查杀。缺点是查杀速度较慢,并且当木马或病毒一直潜伏着、不运行的时候,就没办法进行查杀了。

而在工业控制环境中,作为“控制大脑”的上位机安装的应用软件种类较少,其应用多为工业特定应用,且出于应用软件运行角度考虑,上位机往往不会安装杀毒软件;或者即使安装了杀毒软件,也存在病毒库、杀毒软件版本更新不及时等安全问题;另外如果使用传统的主机恶意代码检测工具对工业主机进行扫描检测操作,那么工业主机应用的调用进程执行操作方式极有可能被误判为恶意程序,并被检测工具加以删除或隔离,从而影响生产正常进行。所以传统的恶意代码防范软件不适用于工业控制环境。

综上所述,传统的安全防护方式并不适用于工控环境,在网络安全威胁越来越严重的形势下,需要应用适用于工业生产控制环境的安全防护技术,为工业控制系统稳定运行提供安全保障。

 3、基于行为分析适用于工业控制系统信息安全

相较于传统信息系统环境,工业控制系统一旦建立,其中的终端设备、控制设备、网络设备、采集设备等工控设备已经按照提前设计好的规则集成为一个生产控制环境,且这个生产控制环境无论是硬件设备,还是上位机、服务器中安装的应用软件在相当长的一段时间内都不会进行变更。

以上特点决定了工业环境中的业务逻辑相对固定,基于业务应用的工业生产行为及业务行为也具有比较高的固定模式,因此,我们可以通过对生产业务及应用流程的深入分析,获取一个基于应用行为的工业行为画像。然后基于行为分析识别越权访问、工艺参数修改、基于合法路径合法行为的非法攻击等异常行为。

首先在网络层面,采用基于行为分析的技术手段,一是可以通过提前设定好的规则策略来限制网络数据的交换,并在不同网络之间以及关键系统、设备之间进行动态的行为判断,识别网络中的异常访问行为;二是可以根据网络协议和数据报文的行为特征,有效过滤和阻断网络中的外来攻击行为。

其次在应用层面,采用基于行为分析的技术手段,可根据业务构建行为安全基线,识别内部异常、违法操作行为,并对超出安全基线的行为进行报警,避免类似“震网”事件的发生。

最后在主机层面,采用基于行为分析的技术手段,通过详细记录用户的操作行为,可实时监控分析应用程序和人工操作的行为规律,及时发现主机下线、资源不足、非法应用启动、恶意篡改及非法外设接入等安全事件,实现对工业主机的细粒度管控,保障终端设备安全。

 4、小结

基于行为分析的防护手段适用于工业控制系统环境,相较于传统的信息安全技术措施,能够更好的保障控制系统信息安全。



转载请注明来源:关键基础设施安全应急响应中心
“投稿联系方式:010-82992251   [email protected]
原创 | 为什么控制系统信息安全建设需要基于行为分析

本文始发于微信公众号(关键基础设施安全应急响应中心):原创 | 为什么控制系统信息安全建设需要基于行为分析

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: