作者 | 汤永田 南京中新赛克科技有限责任公司
摘要
网络安全态势感知技术在采集多维度、多层次数据的基础上,通过对安全信息分类、归并、建立数据模型、分析等手段进行融合、分析,得到网络的整体安全状况及其应对措施,并对网络安全状况的发展趋势进行预测,从而为工业控制系统网络安全提供可靠的数据参考和决策支持。本文在分析工业互联网安全态势感知平台建设必要性的基础上,进一步阐释了态势感知平台的技术架构及主要功能模块,并探讨了工控系统的态势感知平台的建设思路。
关键词:工业控制系统;网络安全;态势感知
1 工业控制系统网络安全现状
2015年以来,每年发生的工业信息安全事件接近300起。暴露的安全漏洞和过去相比大幅度增加。2017年,国家工业信息安全发展研究中心监测发现和处理研判的工控安全漏洞达到380个,与2016年相比呈现跃升的趋势。在这些漏洞中,接近两成都属于高危漏洞,对重要工业控制系统造成了极大威胁,如图1所示。
图1 工控系统行业漏洞危险等级饼状图
2018年工业和信息化部网络安全管理局对20个工业互联网相关企业开展安全评估,发现安全风险2200余处。经摸底,企业主要面临两类安全风险:一是企业存在风险对象公网违规暴露。二是内外网系统存在大量安全隐患,软硬件安全漏洞、弱口令等情况普遍存在。三是企业对安全事件监测防范能力较弱,后门、蠕虫等影响企业网络安全事件长期潜伏,行业整体安全形势严峻,安全监管需求日益迫切。
2 网络安全态势感知平台技术架构
工业互联网安全态势感知对影响工控网络安全的诸多要素进行获取、理解、评估以及预测未来的发展趋势,成为下一代安全技术的焦点。网络安全态势感知是对网络安全性定量分析的一种手段,是对网络安全性的精细度量。
网络安全态势感知平台主要是通过提取网络安全态势分析指标体系,建立基于复杂网络行为模型与模拟的工业互联网网络安全态势分析与预测体系,进而得出量化的或定性的网络安全态势评估结果并通过对历史态势的分析、建模,对未来的网络安全态势演化进行预测,以便网络安全管理人员对网络内的安全要素、安全设备、信息系统进行合理的调整、升级,应对网络安全态势的变化。网络安全态势感知平台主要包括安全设备信息提取、数据预处理、数据存储与索引、态势数据建模与分析、数据理解与可视化五个层次,其技术架构如图2所示。
图2 工业网络安全态势感知平台技术架构
2.1 安全设备信息提取
工业数据采集通过各类通信手段接入不同设备、系统和产品,采集大范围、深层次的工业数据,以及异构数据的协议转换与边缘处理,构建工业网络安全态势感知平台的数据基础。南京中新赛克科技有限责任公司自主研发的工业数据采集探针集成强大的工业协议分析引擎,可以识别OPC、Modbus、S7、Ethernet/IP(CIP)、IEC104、MMS、DNP3等多种工业协议,并对协议进行深度解析,支持对包括终端行为、原始流量、审计数据、监测数据、威胁告警数据、日志数据、资产和元数据等各种信息的数据采集,并支持以syslog、SNMP、tlv、Json等多种格式输出至平台。
2.2 数据预处理
由于采集的原始数据来源多样化,其数据格式、内容、质量千差万别,存储形式、表达的语义也不同,同时,这些数据中还存在着大量的不完整、不一致,甚至重复、错误或异常的数据,如果不对数据进行预处理,就会严重影响到后续数据的分析和挖掘,以及分析的准确性。因此,在态势分析之前,需要对采集的数据进行规格化、统一化的预处理,以改进数据质量,提高数据分析的效率、质量和准确性。数据预处理采用必要的数据清理算法,将异构的数据整理成易处理的结构化数据,通过聚类分析等算法压缩报警记录、消除冗余,对原始数据进行重新审核、筛选和排序,形成准确、基础的数据关系图谱。
2.3 数据存储与索引
数据存储与索引实现探测数据、监测数据及知识库资源的数据汇聚、存储及索引功能,提供开放接口供数据建模层进行数据获取。知识库作为工业控制网络安全态势感知技术的核心模块,应该主要包含工业设备(如各品牌PLC、RTU、IED等)指纹库、工业恶意行为指纹库(比如,支持SiemensS7、Modbus、Bacnet、Ethernet/IP等协议)、工业恶意组织指纹库、工业网络漏洞库等专业知识库。
2.4 态势数据建模与分析
将预处理之后的数据与知识库进行关联分析,把具有一定相关性,反映某些安全信息的数据提取出来进行建模,结合机器学习算法深入分析工业互联网标识信息、工控资产信息、攻击事件和攻击源头信息,进行威胁态势展示和数据关联挖掘。
在全面获取网络威胁相关状态数据的前提下,设定不同的场景和条件,根据网络安全的历史和当前状态信息,建立符合网络及业务场景的分析模型,并基于网络威胁结合资产脆弱性来进行态势预测,能够更好地反映网络安全在未来一段时间内的发展趋势。
2.5 数据理解与可视化
网络安全态势感知与可视化技术的结合,将网络中蕴涵的态势状况通过可视化图形方式展示给用户,并借助于人在图形图像方面强大的处理能力,实现对标识态势、攻击源、攻击事件和工控资产的态势进行可视化展示,并通过可视化界面进行数据关联查询。
3 网络安全态势感知技术主要能力
3.1 资产发现与管理
工业互联网安全态势感知平台内置丰富的资产指纹库,通过指纹比对等方式可以自动识别网络中的IT与OT资产信息,并可将被监测的工业企业的网络拓扑在页面上动态呈现。支持IP自动发现、指纹自动识别和数据同步的方式在系统数据库中录入资产信息,实现对资产流量监视、端口状态统计、协议状态统计、资产活跃状态监视、资产访问行为监视等管理方式,并随时对资产可能出现的变更或退网方式及时响应。能够识别的资产种类包括但不限于工业互联网平台、联网设备及系统、工业APP、工业数据等。
3.2 工业网络入侵检测
工业控制系统属于生产运行系统,其现场控制层具有较高的实时性和可用性需求,因此需要动态信息安全防护结构。工业互联网安全态势感知平台内置工业网络入侵检测模块,针对采集数据进行入侵检测分析,并及时告警。入侵反应根据实时入侵检测所感知的系统攻击警报和异常警报,评估系统安全态势,及时的做出并实施最优安全策略,以缓解入侵攻击的影响。
入侵反应包括安全策略决策和策略执行两个部分。前者根据检测的警报,综合工业控制系统的多方面约束和目标,制定最优安全策略;后者协调制定的信息安全策略和可能的功能安全策略,并制定具体的实施方案。在安全策略决策过程,评估入侵攻击的危害性对于制定最优策略具有重要参考。如果系统的入侵反应成本超过信息攻击所造成的损失,则要慎重考虑是否需要采取反应措施,以防出现过度反应。
3.3 僵木蠕态势感知
僵尸网络、木马、蠕虫病毒三者合称“僵木蠕”。僵木蠕对互联网和企业内部网络危害非常巨大。工业互联网安全态势感知平台针对僵木蠕的传播特点,对网络上传播的僵木蠕进行识别,并追踪溯源僵木蠕的传播路径、控制命令路径,最终追踪溯源发现命令控制服务器。通过发现的命令控制服务器,再反查受控主机,最终实现对僵木蠕网络态势的感知,为后续采取行动打击僵木蠕创造条件。
3.4 工业控制系统漏洞扫描
漏洞扫描主要包括两个方面的能力:传统网络的漏洞扫描及工控系统漏洞扫描。系统支持同时对传统网络和工控网络进行漏洞扫描,其中在传统网络扫描方面支持对操作系统(LINUX,WINDOWS,MACOS)进行漏洞扫描,包括系统漏洞扫描和配置检查,支持对通用应用软件进行漏洞扫描,包括常用的HTTP服务、FTP服务、TELNET服务、邮件服务等进行漏洞扫描,支持对业界主流的数据库扫描,包括Oracle、MSsql、Mysql、DB2、Sybase、达梦等,能够对弱口令检测、配置风险、账号风险等进行检测。
在工业控制系统中,无论是一次系统还是二次系统,以及间隔层还是过程层,业务的连续性、健康性是至关重要的,尤其对石化、电力、交通、核工业、水利等行业的核心监控、生产系统。工控漏洞扫描模块实现了针对SCADA、现场总线、数字化设计制造软件的漏洞扫描,实现了针对Schneider、Siemens、VxWorks等DCS控制器嵌入式软件(包括PLC等)的漏洞扫描,具备了发现漏洞、评估漏洞、展示漏洞、跟踪漏洞等完备的漏洞管理能力。
3.5 安全事件关联分析与态势评估
在安全事件预处理后,需要将安全事件进行综合的关联分析,考虑到整体网络攻击的危害程度和区域安全防护能力,并将得到的结果以可视化的方式直观地显示出来。事件关联技术一般采用决策树、贝叶斯网络等方法。而网络安全态势评估主要是综合评估网络安全状态,即利用网络安全属性的历史记录,为用户提供一个准确的网络安全状态评判和网络安全的发展趋势,使网络管理者能够有目标的进行决策和防护准备。可以将神经网络、模糊推理等方法引入到态势评估中,进行合理的规则推理,得到合理的判断结果。
3.6 网络安全态势预测
安全态势预警是实现网络安全主动防卫的关键环节。工业互联网安全态势感知平台利用海量的报警数据,发现黑客入侵规律,根据入侵前奏实现入侵行为的早期预测,预测系统未来可能遭受的入侵行为、黑客入侵目的及可能遭受威胁的设备,即实现“分析过去,预测未来”的目的。只有准确地预测入侵行为,才能采取有效的针对性措施,加以阻止。
4 工业控制系统网络安全态势感知系统建设思路
网络安全态势感知建设对提升网络安全防护能力至关重要。从政府监管层面来说,应做好顶层设计,结合国家工业互联网产业需求,统筹设计国家工业互联网安全监测技术平台功能和架构。加强构建“国家级-省级-企业级”专业化安全监测和预警通报技术手段,实现工控网络相关企业安全态势可感、可知、可监管。
南京中新赛克科技有限责任公司提供监管侧工业互联网安全态势感知平台解决方案。在运营商核心路由器上做规则过滤,筛选出工业专线流量,并通过镜像方式将流量接入到工业互联网探针;工业互联网探针支持工业协议的解析、工业设备指纹的提取等,对接入的流量进行预处理生成全息日志;工业互联网安全监测与态势感知平台对全息日志进行数据治理、数据分析,并结合人工智能等技术进行工业资产、工控漏洞、工业云平台、安全事件的监测,如图3所示。
图3 监管侧工业互联网态势感知平台部署方式
要建好用好网络安全态势感知,离不开有效的技术平台、安全运营管理和安全人员建设。通过网络安全态势感知技术平台建设实现网络空间的安全持续监控能力,及时预警各种威胁与异常,并进行可视化展示;通过网络安全运营管理建设,建立健全各项安全管理制度、安全预警机制等,实现有效的安全决策和应急响应;通过技术人员建设,提高网络安全工作能力和安全事件处置能力,达到网络安全威胁事中阻断、事后溯源的效果。
5 总结
网络入侵和攻击正在向规模化、复杂化的趋势发展。工业控制系统由于在设计之初就存在大量安全漏洞,且因可用性的要求,绝大多数使用者都不会对系统进行升级或改造,因此工控网络往往容易成为网络攻击的首选目标。工业互联网安全态势感知平台能够实时、准确地掌握网络安全态势状况,检测恶意攻击行为,让网络安全工作具有主动性和条理性,是监测和预防网络安全事件的有效途径。
作者简介
汤永田(1990-),男,南京人,硕士,现任南京中新赛克科技有限责任公司产品经理,曾就职于中兴通讯,主要从事工业控制系统网络安全防御技术研究。
来源:《工业控制系统信息安全专刊(第六辑)》(为便于排版,本文省去参考文献)
声明:本文来自工业安全产业联盟,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。