您所在的位置: 首頁(yè) >
新聞資訊 >
技術(shù)前沿 >
前沿 | 八大不同,工業(yè)企業(yè)態(tài)勢(shì)感知建設(shè)須知
安全態(tài)勢(shì)感知收集匯總?cè)罩?、告警、流量等多個(gè)數(shù)據(jù)源的信息,通過(guò)大數(shù)據(jù)關(guān)聯(lián)分析,反映系統(tǒng)整體運(yùn)行現(xiàn)狀和未來(lái)趨勢(shì),可以理解是整個(gè)系統(tǒng)的大腦,對(duì)各種信息進(jìn)行收集、加工、分析,為使用者提供決策參考。
圖1 工業(yè)態(tài)勢(shì)產(chǎn)品功能框架
工業(yè)態(tài)勢(shì)感知產(chǎn)品,從分析對(duì)象、分析方法、安全策略等方面與傳統(tǒng)IT系統(tǒng)態(tài)勢(shì)感知都有差別。工業(yè)系統(tǒng)由于溫度、濕度、震動(dòng)、腐蝕性或者專(zhuān)有行業(yè)的專(zhuān)門(mén)的標(biāo)準(zhǔn)規(guī)范等要求,導(dǎo)致工業(yè)安全產(chǎn)品在硬件選型、通信協(xié)議、網(wǎng)絡(luò)部署、漏洞處理、安全策略等方面與傳統(tǒng)IT產(chǎn)品都有較大差異,傳統(tǒng)態(tài)勢(shì)感知產(chǎn)品不具備工業(yè)級(jí)硬件要求,不支持工業(yè)協(xié)議,不能識(shí)別工業(yè)資產(chǎn)和漏洞,所以工業(yè)安全領(lǐng)域中,需要使用工業(yè)態(tài)勢(shì)感知產(chǎn)品對(duì)工業(yè)系統(tǒng)進(jìn)行安全監(jiān)控和趨勢(shì)分析,為了便于理解,我們對(duì)IT領(lǐng)域和工業(yè)領(lǐng)域的安全態(tài)勢(shì)產(chǎn)品的差異進(jìn)行了具體的對(duì)比分析。
01 監(jiān)控的資產(chǎn)不同
數(shù)據(jù)是傳統(tǒng)IT系統(tǒng)的核心,例如政府、金融、互聯(lián)網(wǎng)電商的數(shù)據(jù)非常重要,系統(tǒng)安全建設(shè)主要圍繞著數(shù)據(jù)的產(chǎn)生、傳輸、存儲(chǔ)、備份、訪(fǎng)問(wèn)利用的方向開(kāi)展;常見(jiàn)的需要監(jiān)控的資產(chǎn)通常是服務(wù)器、網(wǎng)絡(luò)設(shè)備、存儲(chǔ)設(shè)備。
廠家多、型號(hào)多
工業(yè)安全態(tài)勢(shì)感知產(chǎn)品數(shù)據(jù)收集和分析的基礎(chǔ)是工業(yè)資產(chǎn)的識(shí)別、工業(yè)網(wǎng)絡(luò)的理解、工業(yè)協(xié)議的解析、工業(yè)應(yīng)用的識(shí)別,這些與IT系統(tǒng)都有較多差異。首先是資產(chǎn),工業(yè)企業(yè)雖然也有部分IT類(lèi)資產(chǎn),但多數(shù)是各種專(zhuān)業(yè)設(shè)備和控制設(shè)備,自動(dòng)化設(shè)備是物理世界的控制核心,工業(yè)現(xiàn)場(chǎng)的電機(jī)、閥門(mén)、開(kāi)關(guān)、機(jī)械手臂等需要自動(dòng)化設(shè)備控制。自動(dòng)化設(shè)備通常包括工業(yè)數(shù)據(jù)采集與監(jiān)控系統(tǒng)(SCADA)、可編程邏輯控制器(PLC)、分布式控制系統(tǒng)(DCS)等。自動(dòng)化設(shè)備的生產(chǎn)廠商很多,西門(mén)子、通用、施耐德、羅克韋爾、菲尼克斯、霍尼韋爾、ABB、三菱、歐姆龍、和利時(shí)、臺(tái)達(dá)等都是著名的工控設(shè)備廠商。
圖2 常見(jiàn)IT資產(chǎn)和工控資產(chǎn)舉例
資產(chǎn)發(fā)現(xiàn)難度大
工控資產(chǎn)的發(fā)現(xiàn)通常使用無(wú)損掃描和被動(dòng)發(fā)現(xiàn)的方式,通?;诹髁揩@取到資產(chǎn)的大致信息,再結(jié)合資產(chǎn)指紋庫(kù),詳細(xì)匹配資產(chǎn)的廠商、型號(hào)、版本信息。由于市面上的工控設(shè)備廠商多,產(chǎn)品型號(hào)多,工業(yè)協(xié)議多,據(jù)統(tǒng)計(jì),市面上的工控設(shè)備廠家達(dá)100+,產(chǎn)品型號(hào)500+、工業(yè)協(xié)議40+,導(dǎo)致工業(yè)資產(chǎn)的識(shí)別難度要遠(yuǎn)超過(guò)IT系統(tǒng),通常的IT態(tài)勢(shì)感知產(chǎn)品幾乎無(wú)法準(zhǔn)確識(shí)別工控資產(chǎn),通常建議使用工業(yè)態(tài)勢(shì)感知產(chǎn)品。
02 探針運(yùn)行環(huán)境不同
態(tài)勢(shì)感知產(chǎn)品需要使用探針進(jìn)行數(shù)據(jù)采集,工業(yè)系統(tǒng)的運(yùn)行環(huán)境比IT機(jī)房環(huán)境要復(fù)雜的多。例如工業(yè)產(chǎn)品需要滿(mǎn)足工業(yè)級(jí)寬溫要求,要求設(shè)備在在-40~70℃的范圍內(nèi)可以正常運(yùn)行,而且普通的IT設(shè)備機(jī)房的溫度一般工作在20℃左右;很多工業(yè)生產(chǎn)車(chē)間粉塵較重,要求設(shè)備滿(mǎn)足全密封無(wú)風(fēng)扇要求;某些車(chē)間廠區(qū)沒(méi)有機(jī)架安裝環(huán)境,需要安全設(shè)備可以使用導(dǎo)軌安裝方式等各種特殊工業(yè)要求。
圖3 各種類(lèi)型的工業(yè)環(huán)境
工業(yè)系統(tǒng)中的探針需要滿(mǎn)足工業(yè)環(huán)境要求,《GB/T 2423 環(huán)境試驗(yàn)要求》和《GB/T 17626 電磁干擾》對(duì)工業(yè)領(lǐng)域應(yīng)用的電子產(chǎn)品的溫度、濕度、抗震、跌落、防水、防塵、防腐蝕性、抗霉變、抗電磁干擾等運(yùn)行環(huán)境都提出了要求。
03 探針設(shè)計(jì)要求不同
旁路流量探針不建議使用bypass
Bypass在流量探針中普遍使用,當(dāng)探針設(shè)備故障時(shí),流量可以通過(guò)bypass透明傳輸,看似完美的設(shè)計(jì),在工業(yè)領(lǐng)域里卻引起過(guò)嚴(yán)重的故障,某安全設(shè)備廠商的流量探針使用了bypass,在設(shè)備未上電的時(shí)候,旁路部署模式下bypass處于連通狀態(tài),造成兩臺(tái)機(jī)組DCS網(wǎng)絡(luò)直接連通,導(dǎo)致兩臺(tái)機(jī)組跳機(jī),嚴(yán)重影響了生產(chǎn)活動(dòng)。
漏洞探針不能發(fā)POC報(bào)文
傳統(tǒng)漏洞掃描原理是模擬黑客的攻擊行為,向設(shè)備發(fā)送特定的漏洞利用報(bào)文,具有一定的攻擊性,極易導(dǎo)致工業(yè)主機(jī)和控制設(shè)備不穩(wěn)定,所以工業(yè)領(lǐng)域的漏洞發(fā)現(xiàn)探針只允許采集信息,不能向工控領(lǐng)域發(fā)攻擊性的驗(yàn)證報(bào)文,僅允許發(fā)送少量的無(wú)損報(bào)文。
軟件探針不能占用過(guò)多的系統(tǒng)資源
工業(yè)系統(tǒng)主機(jī)普遍存在設(shè)備老舊、配置低的問(wèn)題,如Windows98類(lèi)的設(shè)備還在使用,傳統(tǒng)探針普遍使用實(shí)時(shí)或者定時(shí)掃描方式發(fā)現(xiàn)主機(jī)上的漏洞和異常,占用系統(tǒng)資源較多,容易造成系統(tǒng)主機(jī)藍(lán)屏、卡頓、帶有病毒查殺功能的探針經(jīng)常會(huì)誤刪文件,導(dǎo)致應(yīng)用無(wú)法使用。為了盡可能少的占用系統(tǒng)資源,工業(yè)系統(tǒng)的軟件探針多數(shù)使用的是基于網(wǎng)絡(luò)白名單、系統(tǒng)白名單、應(yīng)用白名單的設(shè)計(jì)思路,預(yù)先定義好系統(tǒng)中流量和應(yīng)用,不需要頻繁的掃描,對(duì)系統(tǒng)和應(yīng)用影響幾乎沒(méi)影響,同時(shí)盡量精簡(jiǎn)探針功能,不建議使用帶有查殺病毒的探針。
圖4 數(shù)據(jù)采集探針對(duì)主機(jī)影響舉例
04 探針部署方式不同
如下圖所示,IT系統(tǒng)內(nèi)部通常是網(wǎng)絡(luò)可達(dá)的,數(shù)據(jù)采集比較簡(jiǎn)單,應(yīng)用系統(tǒng)可以直接發(fā)送數(shù)據(jù)給Server端,或者統(tǒng)一發(fā)送給探針;工業(yè)系統(tǒng)不同應(yīng)用間通常是不通的,工業(yè)應(yīng)用除了數(shù)據(jù)采集,通常不對(duì)外發(fā)送數(shù)據(jù),需要單獨(dú)部署探針,同時(shí)探針數(shù)據(jù)上傳需要穿越網(wǎng)絡(luò)隔離裝置(網(wǎng)閘或防火墻)。
圖5 IT系統(tǒng)和工業(yè)系統(tǒng)數(shù)據(jù)采集示意圖
05 監(jiān)控的協(xié)議不同
安全分析需要建立在通信語(yǔ)義的理解基礎(chǔ)上,需要識(shí)別系統(tǒng)通信協(xié)議和具體指令。IT網(wǎng)絡(luò)通信普遍基于TCP/IP標(biāo)準(zhǔn)通信協(xié)議,網(wǎng)絡(luò)中的流量基本HTTP\HTTPS\P2P\FTP\SMTP\VOIP\IMS\STP\H.263\TELNET\SSH\等傳統(tǒng)通信協(xié)議,基于這些通用協(xié)議,只能獲得上網(wǎng)行為、用戶(hù)畫(huà)像等與工業(yè)生產(chǎn)無(wú)關(guān)的互聯(lián)網(wǎng)用戶(hù)數(shù)據(jù)。
這些在工業(yè)網(wǎng)絡(luò)通常是禁止使用的,工業(yè)協(xié)議通常與生產(chǎn)加工制造相關(guān),每條協(xié)議報(bào)文都跟生產(chǎn)控制關(guān)聯(lián),對(duì)協(xié)議的理解能力,決定了態(tài)勢(shì)感知產(chǎn)品對(duì)系統(tǒng)工藝的理解能力,只有理解了工藝指令,才能及時(shí)發(fā)現(xiàn)對(duì)工藝有破壞影響的指令動(dòng)作,在協(xié)議指令、功能碼、下發(fā)數(shù)據(jù)范圍多方面進(jìn)行保護(hù),能夠防止誤操作或者惡意篡改對(duì)工業(yè)產(chǎn)生的影響。
協(xié)議種類(lèi)多、互通性差
由于工控廠商很多,每個(gè)廠家的使用各自的通信協(xié)議,導(dǎo)致工業(yè)協(xié)議種類(lèi)非常多,已經(jīng)存在500多種工業(yè)協(xié)議,常見(jiàn)的包括Modbus、IEC104、OPC這類(lèi)通用工業(yè)協(xié)議,還包括如西門(mén)子公司的S7協(xié)議、Tridium公司的Fox協(xié)議、菲尼克斯電氣公司的PCWorx,Vxworks公司的WDBRPC協(xié)議,歐姆龍的FINS協(xié)議等。通過(guò)對(duì)工業(yè)流量的分析收集,建立流量模型和流量基線(xiàn),以基線(xiàn)出發(fā),可以實(shí)現(xiàn)異常流量、異常行為檢測(cè)、異常指令檢測(cè)。
圖6 IT網(wǎng)絡(luò)和工業(yè)網(wǎng)絡(luò)常見(jiàn)協(xié)議舉例
06 監(jiān)控的漏洞不同
隨著兩化融合的大趨勢(shì),工業(yè)系統(tǒng)的網(wǎng)絡(luò)環(huán)境發(fā)生了變化,早期的封閉的工業(yè)網(wǎng)絡(luò)邊界逐漸模糊,由于工控設(shè)備設(shè)計(jì)之初考慮的主要是功能、性能、實(shí)時(shí)性這些要求,安全因素考慮的較少,導(dǎo)致存在大量的安全漏洞,CNVD收錄的工控設(shè)備漏洞每年呈現(xiàn)快速增長(zhǎng),截止目前已經(jīng)達(dá)到2000多個(gè),很多攻擊行為都是利用了工控系統(tǒng)的漏洞,執(zhí)行惡意代碼,由于各類(lèi)工業(yè)安全事件的頻繁發(fā)生,工業(yè)用戶(hù)開(kāi)始關(guān)注自己系統(tǒng)中的安全漏洞。
漏洞發(fā)現(xiàn)技術(shù)不同
傳統(tǒng)漏洞探針多數(shù)使用IP掃描和端口掃描對(duì)系統(tǒng)所有資產(chǎn)進(jìn)行多次掃描,并對(duì)端口進(jìn)行反復(fù)的漏洞利用嘗試,最終確定系統(tǒng)中的漏洞,這種方式往往需要向網(wǎng)絡(luò)中發(fā)送較多的報(bào)文,有可能導(dǎo)致被掃描系統(tǒng)運(yùn)行不穩(wěn)定。工業(yè)系統(tǒng)中,明確要求禁止大范圍的頻繁發(fā)送報(bào)文,所以工業(yè)系統(tǒng)的漏洞探針通常需要使用被動(dòng)發(fā)現(xiàn)和無(wú)損掃描結(jié)合,同時(shí)結(jié)合指紋庫(kù)、漏洞庫(kù)信息,確定系統(tǒng)中的漏洞,漏洞發(fā)現(xiàn)過(guò)程中可以不發(fā)送報(bào)文,或者發(fā)送少量的無(wú)損探測(cè)報(bào)文,完全不會(huì)對(duì)工業(yè)網(wǎng)絡(luò)造成影響。
漏洞規(guī)避方式不同
傳統(tǒng)態(tài)勢(shì)感知產(chǎn)品掃描到漏洞通常會(huì)提示用戶(hù)安裝補(bǔ)丁或者更換軟硬件版本來(lái)規(guī)避漏洞影響;工業(yè)系統(tǒng)軟硬件更新迭代很慢,很多十年前的系統(tǒng)和軟件還都在生產(chǎn)運(yùn)行,升級(jí)或打補(bǔ)丁會(huì)導(dǎo)致系統(tǒng)不穩(wěn)定,同時(shí)工業(yè)系統(tǒng)的升級(jí)涉及到嚴(yán)格的測(cè)試驗(yàn)證過(guò)程,必然影響到生產(chǎn),所以工業(yè)系統(tǒng)一般不輕易升級(jí)或打補(bǔ)丁,工業(yè)系統(tǒng)長(zhǎng)期帶著很多漏洞運(yùn)行,如何確保工業(yè)系統(tǒng)在有漏洞的情況下免受攻擊,是工業(yè)安全主要需要解決的問(wèn)題。
通過(guò)綜合整合分析漏洞所屬資產(chǎn)的軟硬件配置、運(yùn)行的應(yīng)用、上報(bào)的日志告警、日?;€(xiàn)、網(wǎng)絡(luò)流量、網(wǎng)絡(luò)邊界防火墻或網(wǎng)閘、本機(jī)防毒和殺毒軟件運(yùn)行情況等影響因素,綜合評(píng)估和監(jiān)控漏洞的影響面。同時(shí)將感知到的風(fēng)險(xiǎn)和威脅同步給防火墻、主機(jī)設(shè)備等安全產(chǎn)品,通過(guò)增加或安全策略的方式,規(guī)避漏洞,相當(dāng)于間接給系統(tǒng)打了補(bǔ)丁,業(yè)界也稱(chēng)為虛擬補(bǔ)丁。
07 威脅分析模型不同
IT威脅舉例
IT系統(tǒng)面臨的攻擊主要集中在應(yīng)用服務(wù)和數(shù)據(jù)方面,攻擊者利用僵尸網(wǎng)絡(luò)大量的向服務(wù)器發(fā)送請(qǐng)求,逐漸耗盡服務(wù)器資源,最終導(dǎo)致不能提供服務(wù);另外,數(shù)據(jù)篡改也是較為常見(jiàn),攻擊者通過(guò)利用操作系統(tǒng)、中間件、應(yīng)用程序的漏洞,入侵服務(wù)器,對(duì)數(shù)據(jù)進(jìn)行修改、刪除、竊取操作;例如針對(duì)數(shù)據(jù)庫(kù)服務(wù)的暴力破解、特權(quán)提升、漏洞利用、數(shù)據(jù)竊??;針對(duì)WEB服務(wù)的目錄遍歷、SQL注入、XSS跨站、木馬上傳等。
工業(yè)威脅分析
如下圖所示,工業(yè)態(tài)勢(shì)感知產(chǎn)品通過(guò)關(guān)聯(lián)分析安全設(shè)備、流量、日志、告警、白名單等多重?cái)?shù)據(jù)源信息,建立流量模型、操作模型、網(wǎng)絡(luò)模型、工藝模型、行為模型,通過(guò)套用分析模型提高威脅判定準(zhǔn)確率。
圖7 工業(yè)態(tài)勢(shì)感知威脅分析過(guò)程示意圖
誤操作模型
工業(yè)生產(chǎn)網(wǎng)通常不對(duì)外提供服務(wù),也不允許安裝與工藝無(wú)關(guān)的應(yīng)用,很多IT系統(tǒng)中的威脅場(chǎng)景在生產(chǎn)網(wǎng)絡(luò)中并不存在;控制指令很多需要操作員手動(dòng)下發(fā),誤操作再所難免;工業(yè)態(tài)勢(shì)產(chǎn)品通過(guò)關(guān)聯(lián)分析網(wǎng)絡(luò)流量和工藝指令,建立誤操作操作模型,并同步給防火墻,當(dāng)誤操作發(fā)生時(shí),防火墻能夠攔截到此次操作,從而避免錯(cuò)誤的發(fā)生。
非法連接模型
工業(yè)主機(jī)通常不允許連接外界網(wǎng)絡(luò),同時(shí)企業(yè)信息網(wǎng)也不允許跨區(qū)訪(fǎng)問(wèn)工業(yè)生產(chǎn)網(wǎng),工業(yè)生產(chǎn)網(wǎng)中的主機(jī)和通信模型是確定的,通過(guò)對(duì)網(wǎng)絡(luò)流量的學(xué)習(xí),建立合法的連接模型,并將連接模型同步給主機(jī)衛(wèi)士軟件,當(dāng)主機(jī)嘗試連接模型之外的設(shè)備時(shí),及時(shí)上報(bào)告警或阻斷。
介質(zhì)管理模型
工業(yè)系統(tǒng)中U盤(pán)使用的較多,U盤(pán)介質(zhì)方便使用的同時(shí),也非常容易帶入病毒和木馬,席卷全球的震網(wǎng)病毒,就是通過(guò)U盤(pán)引入系統(tǒng)的。針對(duì)這個(gè)問(wèn)題,工業(yè)用戶(hù)通常使用專(zhuān)業(yè)的安全U盤(pán),為了便于對(duì)U盤(pán)使用進(jìn)行約束和管理,態(tài)勢(shì)感知產(chǎn)品通過(guò)建立介質(zhì)訪(fǎng)問(wèn)模型,對(duì)允許訪(fǎng)問(wèn)的介質(zhì)進(jìn)行管理并記錄。
工藝指令模型
流量探針解析并學(xué)習(xí)系統(tǒng)中的工藝指令,建立工藝指令模型,并將模型同步給防火墻,破壞性或錯(cuò)誤指令下發(fā)時(shí),通過(guò)防火墻進(jìn)行攔截。
08 建設(shè)思路不同
IT系統(tǒng)的安全建設(shè)從系統(tǒng)早期建設(shè)就已經(jīng)開(kāi)始了,各種安全防護(hù)能力多數(shù)已經(jīng)具備,缺少的是對(duì)各單點(diǎn)設(shè)備數(shù)據(jù)收集匯總分析,形象點(diǎn)就是缺一個(gè)分析大腦。
合規(guī)建設(shè)、態(tài)勢(shì)感知建設(shè)二合一
工業(yè)安全系統(tǒng)建設(shè)較晚,很多安全建設(shè)都是伴隨著等保合規(guī)逐步開(kāi)展的,態(tài)勢(shì)感知產(chǎn)品的建設(shè)過(guò)程本身就是等保2.0中的安全管理中心的重要組成部分,不單純是為了某個(gè)應(yīng)用或某個(gè)項(xiàng)目定制的大屏展示型產(chǎn)品,相比于大腦型態(tài)勢(shì)感知產(chǎn)品,工業(yè)態(tài)勢(shì)感知產(chǎn)品,更像是一個(gè)管家,對(duì)系統(tǒng)中資產(chǎn)和應(yīng)用進(jìn)行配置核查、合規(guī)評(píng)估,確保系統(tǒng)安全建設(shè)符合各類(lèi)標(biāo)準(zhǔn)要求。
表1 IT系統(tǒng)和工業(yè)系統(tǒng)態(tài)勢(shì)感知建設(shè)思路對(duì)比
表1對(duì)IT系統(tǒng)和工業(yè)系統(tǒng)態(tài)勢(shì)感知建設(shè)思路做了簡(jiǎn)單對(duì)比,工業(yè)安全項(xiàng)目建設(shè)開(kāi)始時(shí)就建議規(guī)劃出流量探針、軟件探針的數(shù)量和部署位置,例如流量探針與流量審計(jì)產(chǎn)品可以復(fù)用,軟件探針可以與主機(jī)衛(wèi)士類(lèi)產(chǎn)品復(fù)用,建議系統(tǒng)建設(shè)初期就把態(tài)勢(shì)感知產(chǎn)品與安全合規(guī)建設(shè)放在一起考慮,同步進(jìn)行,一方面節(jié)約成本,另一方面,各系統(tǒng)接口兼容性更好;產(chǎn)品選型上盡量選擇專(zhuān)業(yè)的工業(yè)態(tài)勢(shì)感知產(chǎn)品,便于更能適應(yīng)工業(yè)環(huán)境和應(yīng)用場(chǎng)景。
原文來(lái)源:威努特工控安全 ,作者:產(chǎn)品與解決方案部