近年来,工业控制系统的网络安全事件频频发生,有些是因为黑客恶意攻击,有些是因为工作人员无意中引入病毒等恶意软件。安全事件发生后,除了要立即修复被破坏的主机或设备,还有一个重要的任务就是亡羊补牢,还原攻击路径、追溯攻击来源,避免该类事件再次发生。
攻击溯源和攻击路径还原一向都是难度很大的技术活,一般由安全专家来完成。安全专家需要收集大量的关联设备、网络设备的日志,从海量数据中查找攻击事件的蛛丝马迹,仔细分析其时序性和关联性,结合自己的安全专业知识进行分析。
为了解决这一难题,威努特利用统一安全管理平台USM、网络审计产品SMA以及主机安全产品IEG等形成整体解决方案,广泛收集网络和主机的各种日志和会话信息,融入安全专业知识,通过专利算法,帮助客户半自动化地完成攻击溯源和攻击路径还原的难题。
下面,我们来介绍一下这种工业现场的攻击路径还原方案。
![行业 | 一种工业现场的攻击路径还原方案]( "行业 | 一种工业现场的攻击路径还原方案")
USM部署在生产管理层对工业网络中的安全产品及安全事件进行集中管控的一体化产品。通过对生产控制网络中的边界隔离、网络监测、主机防护、入侵检测、运维管理等安全产品进行集中管理,实现安全策略的统一配置、运行状况的全面监控、安全事件的实时告警,同时可对工控主机上报的非可信文件进行特征匹配,实现病毒及恶意代码程序的识别,帮助工业企业用户掌握工控网络的安全现状,降低运维成本、提高安全事件响应效率。
![行业 | 一种工业现场的攻击路径还原方案]( "行业 | 一种工业现场的攻击路径还原方案")
IEG安装在每一台操作员站与工程站设备,可以通过截取系统调用实现对文件、目录、进程、注册表和服务的强制访问控制,结合文件和服务的完整性检测、防缓冲区溢出等功能,将普通操作系统透明提升为安全操作系统。
![行业 | 一种工业现场的攻击路径还原方案]( "行业 | 一种工业现场的攻击路径还原方案")
SMA是专门针对工业控制网络的信息安全审计平台,采用旁路模式部署,镜像分析网络中的所有流量和会话,把深度分析的结果发送给USM进行统一汇总分析,对工业生产过程“零风险”。
![行业 | 一种工业现场的攻击路径还原方案]( "行业 | 一种工业现场的攻击路径还原方案")
部署完成后,IEG与SMA已经在USM注册上线,可以通过USM对SMA和IEG进行监控配置。首先,通过USM更改SMA为学习模式,在学习模式下,SMA对流量仍然进行深度的解析后,上报给USM汇总分析,但是不会产生告警。一般默认学习模式时网络是正常状态。
USM从SMA上报的网络数据中提取出IP地址和源MAC地址做为主键,记录所有的网络节点信息、连接信息,并按照每分钟、每小时、每天分别统计当前主键产生的字节数与报文数。一般工业现场业务需要一个月的学习周期才可把所有网络通讯信息记录完全。通过一个月的学习基本形成网络的连接和流量模型,基于该网络模型可以进行异常流量判断和异常连接判断。学习完成后,更改SMA为防护模式,开始进行异常检测。
![行业 | 一种工业现场的攻击路径还原方案]( "行业 | 一种工业现场的攻击路径还原方案")
SMA开始工作后,将基于学习的网络模型判断是否出现网络异常,发现网络异常后将产生告警事件上报给USM。
IEG作为主机安全终端,监测主机的异常事件并产生告警事件上报给USM。
告警事件包括未知设备告警、非法外设告警、异常连接告警、异常流量告警等,各告警信息中包括告警时间、源 IP、目的 IP、异常信息等。USM将各告警信息按时间进行排序,以未知设备告警信息、外设告警信息中的目的资产 IP 作为攻击路径起点,构建多条攻击路径;根据各攻击路径及预设概率计算规则,计算各攻击路径的攻击概率;将攻击概率最大的攻击路径确定为最优攻击路径。
![行业 | 一种工业现场的攻击路径还原方案]( "行业 | 一种工业现场的攻击路径还原方案")
1.判断各攻击路径中是否包括预设高危端口产生的告警资产 IP;将包括预设高危端口产生的告警资产 IP 的攻击路径的攻击概率增加。
2.判断各攻击路径中告警级别,级别越高攻击路径的攻击概率越大。
比如,当现场发生攻击导致其中一台IP地址为121.51.118.79的设备蓝屏时,通过页面输入121.51.118.79查询此台设备的攻击路径。
![行业 | 一种工业现场的攻击路径还原方案]( "行业 | 一种工业现场的攻击路径还原方案")
根据输入的IP地址经过计算获取到攻击概率最大的攻击路径,通过攻击路径可以看出192.168.1.125这台设备向外发出大量连接并且出现大量中风险节点。USM的界面上,绿、黄、红三种颜色分别对应低、中、高三种告警级别。黄色的中级告警节点已经被攻击到,有些已出现蓝屏的攻击效果,绿色的低风险节点代表可能被攻击到但还没有被攻击到节点。具体查询界面如下所示:
![行业 | 一种工业现场的攻击路径还原方案]( "行业 | 一种工业现场的攻击路径还原方案")
同时查看192.168.1.125这台设备的告警信息,出现IEG上报的U盘告警,基本可以推断病毒为U盘插入引入。
![行业 | 一种工业现场的攻击路径还原方案]( "行业 | 一种工业现场的攻击路径还原方案")
在这个方案中,我们基于网络安全知识和概率统计算法,计算得出最优攻击路径,并结合主机的异常事件和告警,完成对整个攻击的还原,可以清晰查看到攻击的来源、去向和触发因素。这一套基于概率的算法,不仅可以对已经发生的攻击形成整体的分析认知,还可以通过概率推测可能发生的攻击,从而对可能受到攻击的资产及时进行安全防护,并对已经感染病毒的资产进行相应处理,彻底消除相关威胁。
注意:本文为了演示攻击路径的还原方案,并未开启IEG的全部安全防护策略,如果开启了IEG的全部安全防护策略,USB口禁用、非法程序禁止运行,这些恶意软件根本无法运行,也无法对主机造成破坏。
本文始发于微信公众号(中国信息安全):行业 | 一种工业现场的攻击路径还原方案
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
http://cn-sec.com/archives/163354.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论