美国能源部报告公布网络资产攻击面管理工具runZero评估结果

近日，能源部发布了一份关于旨在应对针对能源部门的网络攻击的网络安全工具的评估报告。报告评估了一种名为runZero的网络资产攻击面管理工具，作为清洁能源网络安全加速器（CECA）计划第二批的一部分，并发现该技术可以帮助扫描和识别工业控制系统（又称 ICS）网络上的设备，而不会妨碍 ICS 资产的性能。

引言

许多市场力量推动着电力行业的不断发展。能源系统正变得越来越多样化、互联化、分布式和智能化，分布式能源资源（DER）与公用事业网络的集成和互联也越来越多。不同资产之间数据交换的增加带来了新的网络安全挑战，并使互联设备之间的可视性变得更加复杂。

破坏电力公司管理的关键资产、系统和网络的网络攻击会对经济、公众健康和安全造成重大负面影响。要减轻网络攻击带来的威胁，就需要对技术系统（包括信息技术（IT）和公用事业的 OT）有越来越细致入微的了解。因此，提高组织对其环境的可见性对于改善不断发展的电力系统的网络安全至关重要。目前，许多能源系统的运营使用手动流程管理 OT 资产，这可能会耗费大量时间，从而难以快速高效地应对网络事件（NIST 2020）。此外，许多资产管理流程都是静态的，只能捕捉特定的时间点或不可重复，无法实时了解资产状态。

未来的能源系统将包含越来越多的清洁能源组件，这些组件在地理位置上比较分散，运营商、所有者和利益相关者也更加多样化。随着这些多样化的分布式技术被集成到现有的电力系统中，电力部门需要更多自动化、动态响应的工具来改进资产识别和资产管理。

1.1 CECA 计划概述

DOE CESER 赞助 CECA，以加快部署新兴安全技术，解决现代和未来电网面临的最紧迫的安全问题。公用事业合作伙伴为 CECA 提供战略指导和成本分担。第二批公共事业合作伙伴包括伯克希尔哈撒韦能源公司 (BHE) 和杜克能源公司。

每个 CECA 小组都关注一个 “优先风险”，即由 CECA 的公用事业合作伙伴定义的共同风险。然后，根据优先级风险选择在确定的评估方案中测试的解决方案。团队参与者的解决方案将在 NREL 集成能源系统高级研究 (ARIES) 网络范围内进行测试，该网络范围提供了一个在现实和可扩展的网络物理环境中进行受控模拟的平台（NREL 2024）。CECA Cohort 2 的优先风险是 “系统可见性和设备安全与配置不完整导致的隐藏风险”。Cohort 2 包括未来能源系统中的清洁能源组件，将帮助电力部门评估并获得信心，为其不断发展的配电系统采用新的网络安全解决方案。

1.2 Cohort 2

Cohort 2 评估的解决方案侧重于识别资产所有者可能因系统或设备配置的不完全可见性而无法发现的风险。第 2 组解决方案旨在提高 OT 系统的可见性，以揭示 OT 网络和资产并阐明风险。资产识别、攻击面列举和配置管理等功能可帮助 OT 资产所有者更好地了解其风险状况。

尽管监控和识别其他领域 IT 网络中资产的解决方案已得到广泛应用，但针对 OT 环境的监控解决方案却鲜有采用。由于定制资产、传统固件或专有协议的原因，在 OT 环境中运行为 IT 环境构建的主动扫描解决方案可能不安全、不合适。这些因素意味着，如果设备无法正确解析其网络接口上的现代协议网络数据包，那么在 OT 环境中进行主动扫描可能会影响设备的预期功能。由此对运行造成的影响可能包括可用性降低、设备关闭或损坏。为了增强人们对使用主动扫描资产识别解决方案的信心，电力部门必须确保解决方案能够实时或接近实时地发现和识别系统中的所有资产，同时不影响正常运行。如果相信这些解决方案有能力提高可视性，同时又能满足 OT 环境的特定要求，就可以更广泛地采用这些解决方案。

CECA Cohort 2 评估了市场就绪解决方案的主动和被动资产发现功能，记录和分析了结果，并确定了功能或能力方面的差距。本报告介绍了这些结果，以帮助电力行业加快采用和改进这些解决方案及类似解决方案，从而降低风险。第 2 组评估的重点是测试解决方案揭示环境特征的能力。红队或渗透测试解决方案本身等活动不在评估范围内。

受测解决方案：runZero

runZero Inc.1是一款专有的网络资产攻击面管理（CAASM）产品，可帮助企业识别资产，发现企业IT和/或OT基础设施中的错误配置和风险。runZero 产品采用专有的主动扫描和被动采样技术，可与现有工具集成，帮助客户建立准确的资产清单。它可以识别各种 IT 和 OT 资产，包括现场设备、远程设备和基于云的资源，如物联网 (IoT)。

2.1 资产识别

runZero产品的主要功能是在不中断运行的情况下识别客户网络上的所有资产。runZero公司在设计该产品时避免了典型安全扫描仪的常见问题，如误报和漏报，以及对系统和网络性能及可用性的不利影响。runZero 产品通过非认证扫描、被动流量采样以及与其他工具的集成，收集了数百种有关设备的详细属性。

runZero产品可以通过主动扫描和/或被动发现来识别网络上的资产。runZero的主动扫描只使用符合评论请求（RFC）的IP流量，不使用安全探测器，对每台主机的数据包速率进行节流，并对特定的易损设备使用特殊规定。在部署 runZero 产品时，用户可以启用被动流量采样、主动扫描或两种方法，在主动扫描之间，产品会持续采样网络流量以识别新资产。

2.2 部署

2.2.1 组件

runZero 产品由两个软件组成：一个是用户交互的服务器，称为 runZero 控制台；另一个是收集信息的软件，由 runZero 命令行扫描器、runZero “资源管理器 ”代理2 或两者的组合来完成。

运行归零控制台

runZero控制台是一个网站/软件即服务（SaaS）服务器，runZero用户可在线访问或通过本地托管版服务器访问。runZero控制台由解决方案的用户界面组成，其仪表板可显示组织的站点和资源管理器、资产库存、计划中或已完成的任务、报告和其他信息。控制台还为组织提供账户管理。有几种方法可以部署 runZero 界面，包括自托管和云托管选项。自托管时，控制台被称为平台。

CECA 在本报告讨论的测试中使用了自托管界面。据报告，CECA 测试的 runZero 产品版本可通过 “指纹识别 ”或将设备类型的属性和特征关联到配置文件中来识别 180 种独特的 IT 和 OT 设备类型。runZero 产品可扫描的公用事业生产环境中的设备类型包括但不限于继电器、电能表、RTU、可编程逻辑控制器和串行以太网转换器。

数据收集器

runZero 产品通过多种方式收集信息，为控制台提供信息。首选方法是使用放置在每个相关子网防火墙后面的runZero资源管理器。如果部署资源管理器不可行，客户可以部署 runZero 命令行扫描仪来收集数据。如果这两种方法都不可行，客户可以使用他们可以使用的工具从他们的环境中收集数据包捕获（PCAP）文件，然后将 PCAP 上传到 runZero 控制台。

运行零资源管理器

runZero 的资源管理器是网络和资产发现的主要引擎。资源管理器是基于软件的代理，可部署在每个子网中，主动扫描资产或被动采样流量。接口和资源管理器通过网络套接字和表示状态传输（REST）应用编程接口（API）进行通信。资源管理器使用接口的通用记录定位器（URL）和传输层安全（TLS）证书连接到控制台，这两种证书都会自动加载到资源管理器的二进制文件中。每个接口的 TLS 证书都是硬编码，也可以选择使用环境变量覆盖 TLS 证书。资源管理器二进制文件可直接从接口下载。

命令行扫描器

runZero 可在无法访问互联网的空中封闭网络中通过命令行进行操作，在这种网络中部署与控制台连接的资源管理器是不可行的。该扫描仪具有与资源管理器相同的选项和类似的性能特征。扫描仪的输出文件名为 scan.rumble.gz，可以上传到 runZero 控制台（runZero 2024a）。

手动 PCAP 上传

收集数据的最后一种方法是通过 PCAP 上传。客户可使用现有工具和基础设施收集 PCAP，然后将其上传到 runZero 控制台进行分析。

2.2.2 CECA 集成

3 CECA 在两个不同的环境中对 Cohort 2 解决方案进行了评估：一个是以光伏电站、变电站和控制中心为模型的较小规模发电和配电系统；另一个是以由较大变电站提供服务的电表为模型的高级计量基础设施 (AMI) 环境。runZero 平台与基线运行环境 (BOE) 的集成如图 1 所示。

光伏电站和变电站环境

大多数测试都是在一个包含基本公用事业控制中心、清洁能源光伏发电厂（即太阳能发电厂）和变电站的环境中进行的。如图 1 所示。建立该环境的目的是为了模拟解决方案在识别包含清洁能源组件和传统 OT 设备的 ICS 网络中的资产时需要处理的所有复杂问题。该环境包含 13 种不同的 OT 设备，它们通过各种介质、协议和固件版本进行通信。

根据 runZero 文档（runZero 2024c），runZero 控制台被集成到该环境中。自托管的 runZero 控制台安装在控制中心的非军事区 (DMZ)，集成所需对 BOE 进行的唯一安全更改是允许传输控制协议 (TCP) 网络流量指向 runZero 平台的 443 端口。

图 1. 与 runZero 集成的光伏电站和变电站环境高层概览

图 2. 与 runZero 集成的光伏电站、变电站和控制中心示意图

AMI 环境

为了评估该解决方案的规模，CECA 还将 runZero 集成到了一个单独的、更大的环境中，该环境在子网（10.200.1.0/20）内的单个扁平网络上拥有 3,948 台 AMI 设备。该环境的规模代表了一个较大变电站可服务的客户数量。图 3 提供了这一环境的示意图，仅用于场景 4：规模发现的评估。在 AMI 环境中，添加了一台虚拟机来托管 runZero 资源管理器，并在单独的子网中添加了 runZero 控制台。

图 3. 与 runZero 集成的 AMI 环境高层概览

评估与结果

CECA 根据第 2 组的优先风险，因系统可见性不完整而隐藏的风险，制定了一项评估计划，以测试为第 2 组选定的每个解决方案的能力。评估计划详细列出了四个方案，每个方案测试解决方案的若干特性。每个方案都是一套科学的、可重复的程序和数据收集方法。表 1 显示了每个方案测试的特征。表后是每个特征的简短说明。

表 1. 测试矩阵

时间：识别环境中的所有资产需要多长时间？
库存准确性：解决方案能正确识别环境中的多少资产？
数据丰富度：对于每个已识别的资产，解决方案收集的数据有多详细？
额外的网络流量：该解决方案为 ICS 网络增加了多少额外的网络流量？
运行中断：解决方案是否会影响 ICS 系统的正常运行？
警报：解决方案是否会在网络上出现意外设备时通知用户？
更改检测：解决方案如何跟踪资产随时间发生的变化？以下章节介绍了各项测试的目标和结果。附录 D 详细介绍了各项测试的具体步骤。每个测试均运行五次，以确保数据的一致性。

3.1 情景 1：初始发现

该场景主要考察解决方案在初步发现之前未识别的环境时的表现。

三种不同的配置文件在各种环境中测试了解决方案：

场景 1.A：保守：调整为最不可能影响底层 ICS 的持续运行或对脆弱的 OT 设备造成负面影响
场景 1.B：默认：产品的默认或推荐设置
方案 1.C：深度：进行调整，以识别尽可能多的信息，特别是有关光伏电站和变电站中的 OT 资产的信息。

CECA 通过使用默认设置和应用 runZero 配置 OT 扫描的操作手册来配置 runZero 平台，以满足这三种情况。

表 2. 情景 1 扫描剖面图

3.1.1 情景 1.A：保守型

此方案重点关注解决方案以最安全的方式识别新环境中资产的能力，同时不对 OT 设备造成负面影响。

时间安排

方案 1.A 平均耗时 181 秒，标准偏差为 7 秒。库存准确性

runZero 平台成功识别了环境中的所有资产，但通过 RTU 后面的串行连接且无法使用 IP 寻址的资产除外。这些设备是

SEL 311C
SEL 321
SEL 501

数据丰富度

有限扫描确定了扫描中确定的每台设备的标准属性--媒体访问控制 (MAC) 地址、辅助 MAC 地址、MAC 供应商和 IP 地址（但未确定上面列出的设备）。此外，扫描还确定了扫描中启用的任何可用服务和为探测打开的端口。例如，地址解析协议 (ARP)、网络基本输入/输出系统 (NetBIOS)、简单网络管理协议 (SNMP)、安全外壳协议 (SSH)、文件传输协议 (FTP)、超文本传输协议 (HTTP)/TLS、服务器消息块 (SMB)、网络时间协议 (NTP)、telnet、远程桌面协议 (RDP) 和 Modbus。在 33 台设备中，有 21 台设备的主机名被确定。

未发现 SCADA 平台、NTP 和系统日志服务器、变电站工作站或任何史怀哲工程实验室 (SEL) 751、411L 或 351A 设备的主机名。在 33 台设备中，有 24 台设备的操作系统 (OS) 已被识别。变电站工作站或任何 SEL 751、411L 或 351A 设备均未找到操作系统。33 台设备中有 20 台的操作系统版本已确定。未发现变电站工作站、任何 SEL 3633、3530 RTAC、351A、411L 或 751 设备或 SMA Solar Sunny Highpower 设备的操作系统版本。

表 3. 情景 1.A 数据丰富度

图 4. 方案 1.A 后的 runZero 资产库存选择视图

额外网络流量

每个资源管理器为各自子网增加的额外网络流量如表4 所示。

表 4. 方案1.A 中资源管理器对子网的网络流量

每个资源管理器对各自平台产生的额外网络流量如表5 所示。

表 5. 情景1.A中资源管理器到平台的网络流量

运行中断

主动扫描没有影响任何基础ICS 进程或 OT设备。附录 A.4详细介绍了用于监控持续运行的方法。

3.1.2 情景1.B：默认

该场景重点考察解决方案在新环境中使用默认或推荐设置识别资产的能力。

OT 限制扫描与默认扫描的主要区别在于识别出的每项服务信息的丰富程度。启用更多的runZero 探测器可以收集更多信息。图5 展示了runZero 平台收集和分类有关每个资产的丰富信息的能力。

图 5. 对runZero 资产视图进行排序以仅显示带有SEL 图标的资产的示例

计时

方案 1.B 平均耗时224 秒，标准偏差为3 秒。

库存准确性

与方案 1.A一样，runZero平台成功识别了环境中的所有资产，但通过RTU 后面的串行连接且没有相关IP 地址的资产除外。这些设备是

SEL 311C
SEL 321
SEL 501

丰富的数据

除了在 OT限制扫描中收集到的数据外，默认扫描还识别出另外三个主机名（SCADA平台以及 NTP和系统日志服务器）和几个额外的服务，包括PostgreSQL、互联网控制消息协议(ICMP)、Cisco订阅器微服务基础架构(SMI) 和用于管理的Web 服务(WSMan)。runZero在通过分布式网络协议版本3 (DNP3) 通信的OT 设备上识别出开放的TCP 端口20,000，但没有识别出DNP3 服务。

表 6. 方案1.B 数据丰富度

图6. runZero 为通过DNP3通信的设备上的20000端口收集的属性

附加网络流量

表7显示了每个资源管理器为各自子网增加的额外网络流量。

表7.方案1.B中资源管理器在子网中的投注流量

表8显示了每个资源管理器在各自平台上产生的额外网络流量。

表8.方案1.B中资源管理器到平台的网络流量

图7. RunZero 详细识别Modbus属性

运行中断

主动扫描不会影响任何底层ICS进程或OT设备。附录A.4详细介绍了用于监控持续运行的方法。

3.1.3 情景1.C：深入

该场景重点关注解决方案在新环境中识别资产的能力，目的是尽可能多地识别有关OT设备的信息。

CECA没有观察到OT全面扫描与之前执行的默认扫描在结果上有明显差异。OT全面扫描的目标是以安全的方式提供OT设备的详细识别。图7.8举例说明了runZero可以收集的一些详细数据

时间

方案1.C平均耗时286秒，标准偏差为5秒。库存准确性

与前两次扫描一样，runZero平台成功识别了环境中的所有资产，但RTU后面通过串行连接且没有相关IP地址的资产除外。这些设备是

SEL 311C
SEL 321
SEL 501

数据丰富度

各评估字段的数据丰富度与方案1A中确定的数据相同。另外还使用了几个探针并进行了指纹识别（如ICMP）。

表9.方案1.C数据丰富度

额外的网络流量

每个资源管理器为各自子网增加的额外网络流量：

表10.场景1.C中资源管理器对子网的网络流量

每个资源管理器对各自平台产生的额外网络流量：

表 11. 方案 1.C 中平台的资源管理器网络流量

运行中断

主动扫描未影响任何底层ICS进程或OT设备。附录A.4详细介绍了用于监控正在进行的操作的方法。

3.2 情景2：发现变化

场景2重点关注解决方案如何识别先前分析环境的变更。CECA将此情景设计为情景1的后续测试9，在此之前，解决方案已确定了集成到环境中的初始资产。情景2试图了解解决方案如何适应和识别运行环境的变化。情景2还探讨了解决方案根据环境中的新设备和/或变更设备检测和发出警报的能力。系统所有者会对此类警报感兴趣，以便让他们了解有意或无意修改或添加到环境中的新资产。

在场景1和场景2测试之间，对环境所做的更改包括：

新设备：
-攻击者设备：环境中添加了一个新设备，模拟未经授权的攻击者连接到网络。模拟攻击者在变电站OT子网中插入了运行Kali Linux 操作系统的RaspberryPi。
-配置错误的设备：变电站 IT子网中的打印机通过以太网插入交换机，违反了策略。
更改现有设备：
-控制中心工程工作站的IP地址更改为10.1.1.10，但MAC地址和所有其他属性保持不变。
-控制中心系统日志服务器的MAC地址更改为10:c5:95:ff:04:ff，但IP地址和所有其他属性保持不变。

图8直观地描述了这些变化。

图8.群组2 runZero AOE

方案2使用了与方案1C相同的OT全面扫描配置文件。

警报CECA对runZero平台进行了配置，以便在识别到环境中的任何新资产时发出警报。在每次测试中，runZero平台都会根据发现的新设备发出警报：打印机、攻击者设备和具有不同MAC地址的系统日志服务器。图9显示了runZero平台内部警报的示例。

图 9. RunZero对新设备的警报

变更检测

runZero 平台成功识别了环境中引入的四种变化。新的攻击者设备和新连接的打印机被识别出来并进行了剖析--就像其他设备一样深入。对更改的IP 地址进行了跟踪，并用新IP 更新了工程工作站的设备条目。最有趣的行为是解决方案如何跟踪系统日志服务器的MAC 地址变化。如图10 所示，runZero平台在库存数据库中创建了一个新的设备条目，并将 “旧 ”系统日志服务器标记为 “离线”。

图 10.RunZero 资产库存排序以显示已更改的 MAC

未用于评估的测量下列标准不属于方案 2 的目标，但在测试期间进行了测量。它们为方案 1C 中测试的 OT 全面扫描提供了额外的数据点。

时间

场景 2 平均耗时 294 秒，标准偏差为 7 秒。

额外网络流量

表 12 显示了每个资源管理器为各自子网增加的额外网络流量。

表 13 显示了每个资源管理器对各自平台产生的额外网络流量。

表 13. 方案 2 中资源管理器到平台的网络流量

数据丰富度

表14. 情景2数据丰富度

运行中断

主动扫描未影响任何基础ICS进程或OT设备。

3.3 情景3：被动发现

该场景重点考察解决方案如何完全使用被动方法检查网络流量并从中提取信息。之前的每个场景都测试了解决方案使用主动扫描识别资产的能力，而本场景则隔离了解决方案的被动能力。

CECA通过在每个防火墙接口上创建镜像端口，并通过通用路由封装（GRE）隧道将复制的流量发送到每个子网的资源管理器，从而配置runZero平台进行被动流量采样。除了镜像流量外，每个资源管理器还被配置为监听其子网上的任何广播流量。配置完成后，允许runZero平台采样流量30分钟。环境中参与定期通信的每个资产都以每分钟至少数次的频率进行通信，因此30分钟的时间允许所有活动资产多次产生网络流量。

图11.显示光伏和变电站环境中通过GRE隧道镜像到runZero Explorers 的流量的高层概览

库存准确性

与之前的主动扫描相比，被动采样只能识别部分设备和属性。这在意料之中，因为主动探测器可以询问设备以获取更多信息，而被动采样只能监听现有的网络流量：

无法识别静默资产：该解决方案无法识别系统中在采样期间不产生任何网络流量的资产。这包括控制中心系统日志和 NTP 服务器、变电站 SEL 3622 安全网关和 SEL 411L。
图 12.RunZero被动采集的资产清单
无法识别网络基础设施：无法识别光伏电站和变电站等交换机，因为它们只是交换流量，在进行被动采样的任何点都没有任何特征。此外，runZero 平台没有足够的信息将从不同角度进行的观察合并为单一资产。具体来说，变电站防火墙有三个不同的接口10.2.2.1、10.2.3.1 和 10.2.4.1，尽管是同一个防火墙上的三个接口，却被列为三个不同的资产。runZero 平台没有从被动流量中获得足够的信息，无法将这三个接口与同一设备关联起来。
只能识别通过采样点的签名：平台无法识别光伏电站中的 SEL 751（IP 10.79.110.13）。尽管该设备正在产生网络流量，但它仅与光伏电站中的 SEL 3530 实时自动化控制器 (RTAC) 通信，因此光伏电站防火墙上的被动采样无法检测到该本地流量。

数据丰富度

被动采样的数据丰富度降低，仅反映在流量采样点可以观察到的数据。对识别出的每个资产都记录了IP和MAC地址（以及MAC供应商）。工程工作站（运行Windows 10）的主机名以及系统、信息和Anlagentechnik Solar Technology AG (SMA) 逆变器均已确定。确定了IT资产的 “噪音 ”服务，如 ARP、通用互联网文件系统(CIFS)和NetBIOS；确定了SMA逆变器5353端口的多播域名系统(MDNS)；确定了runZero平台443端口的TLS。

表15. 情景3数据丰富度

额外网络流量

表16中显示的额外网络流量仅与runZero探索者与平台通信有关。相对于摄取的数据量，资源管理器与平台通信的信息量微乎其微。看来，runZero勘探器在本地处理采样流量，只向控制台/平台报告精炼数据。这最大限度地减少了runZero控制台/平台给系统增加的额外网络流量。

表16. 方案3中资源管理器到平台的网络流量

3.4 情景4：规模发现

该方案重点关注解决方案的规模性能。前三个方案都是在相同的光伏和变电站环境下运行的，设备数量为几十台。为了给解决方案施加压力并测试其规模性能，CECA创建了AMI 环境，在一个 “扁平 ”子网（无类域间路由 (CIDR)符号中的/20）中安装了3948 台不同的AMI设备。在实际场景中，这些设备将进行通信并产生网络流量，从而为网络增加更多 “噪音”，进而增加网络性能的延迟。为了尽量减少测试变量，没有增加额外的网络流量。

场景4包括两次连续扫描。首先，启动解决方案以识别环境中的所有现有资产，而无需事先了解任何情况。其次，网络中增加了一个设备，再次启动解决方案识别环境中的所有资产，包括新设备。在这两次扫描中，解决方案均使用默认设置，与方案1B 相同。

场景4既增加了解决方案识别单个设备所需的时间，也增加了解决方案在识别单个资产时给基础设施带来的额外网络流量。此外，场景4还提供了一个机会，可以测试解决方案在更大的环境中识别新设备的能力。请注意，场景4 并非在评估所识别数据的准确性或丰富性。

预警

runZero平台在识别出新添加的设备后，会在每次运行结束时生成警报。平台在每次迭代中都会发现新设备。

图13.情景4运行B中新资产的RunZero警报

时间

扫描A的平均时间为8,202秒（略低于2小时17分钟），扫描B的平均时间为8,152秒（略低于2小时16分钟）。CECA使用了默认的runZero扫描速率（1,000）以及默认的最大主机速率和组大小（分别为40和4,096个）。提高这些设置可加快扫描时间。

图14. runZero 资产清单显示通过ARP和NDP发现的同一设备

重复设备

在每次运行过程中，发现识别到的设备总数不一致，每次运行都会多出一到三个设备。进一步调查发现，这些额外设备是通过 “邻居发现协议”（NDP）识别的，而不是ARP，扫描过程中识别的所有其他设备都是如此。NDP是互联网协议第6 版(IPv6) 专用协议，其功能与ARP 类似。NDP识别出的每个额外条目都有一个通过ARP 识别出的相应条目，两个条目都有匹配的MAC地址。研究人员怀疑这两种不同的发现方法导致同一设备出现重复条目。在每种情况下，研究人员都会对偏差进行说明，并确认重复的实体被正确归类，不会影响测试的整体结果。

其他网络流量

表17 和表18 所示的平均网络流量约为每个已识别设备的170 kB。这将根据扫描配置文件中启用了哪些探针而发生变化。

表 17. 场景4 中子网的资源管理器网络流量

表 18.方案4 中资源管理器对平台的网络流量

结论

公用事业ICS网络可能是一个庞大的、地理位置分散的系统，由一系列不同的设备和ICS协议组成。这些特点使得资产所有者无法准确评估哪些设备（已知和未知）连接到他们的网络，也无法真正了解他们所面临的风险，以及这些风险是如何随着环境的变化而出现和演变的。runZero是一类解决方案中的一个产品，旨在帮助资产所有者在保持正常业务运营的同时，列举他们的资产并了解潜在风险。

第二组的CECA 评估在一系列场景中对runZero产品进行了测试。这些测试表明，runZero产品始终能够识别环境中的所有IP 地址资产。除了识别设备之外，runZero产品还展示了收集每台设备和所有开放端口详细信息的能力。这些功能甚至扩展到识别某些OT 协议（如Modbus）的存在。在所有测试中，CECA观察到runZero扫描为扫描范围内的每台活动主机额外增加了170千字节到1200千字节的网络流量，并为扫描范围内的每台活动主机增加了大约2秒到9秒的时间。这两个范围的低端代表了地址空间利用率高得多的大型环境，而高端则是在地址空间利用率相对扫描范围较低的环境中观察到的。

CECA的测试表明，runZero的主动扫描方法对部署的ICS资产或正在进行的SCADA过程和通信没有任何不利影响。CECA针对不同的ICS协议和设备对runZero进行了测试，以最大程度地验证结论；但是，由于设备和协议的样本受限于执行测试的时间和可用性，因此不能简单地认为这些结论具有普遍性。这些结果表明，主动扫描是一种可行的资产识别解决方案，不会对ICS操作产生不利影响。这一结论可以消除人们对主动扫描干扰操作的担忧，从而减少对被动收集方法的依赖。ICS领域中更广泛的资产识别技术仍面临挑战，包括通过串行连接等传统媒体连接的资产的可见性、不可IP 寻址的资产的识别，以及连接在RTU 后面的资产的可见性（RTU不会将流量转发给下级设备）。要解决上述每个问题，都可能需要供应商特定的凭证识别方法或操作员手动操作。

网络安全是一个复杂多变的领域，充满了独特的挑战。随着能源行业的重大变革，威胁、风险、架构和技术将继续演变。解决方案的创新也应与时俱进。解决方案提供商要解决的行业挑战始终广泛存在。使用诸如runZero 所提供的解决方案来识别控制系统资产并监控该设备的变化，有望提高整个行业的安全性。

往期回顾

【国际视野】美国政府问责局发布：《信息技术系统年度评估：国防部需加强软件指标并解决持续存在的网络安全与报告差距问题》

【国际视野】美国白宫科技政策办公室发布《研究安全计划指导方针》

【国际视野】美国网络安全和基础设施安全局发布《红队针对联邦文职行政部门组织的行动凸显了深度防御的必要性》报告

【国际视野】欧盟委员会发布第二份《数字十年状况》报告

END