关键信息基础设施安全态势感知技术发展研究报告
前言:
“态势感知(Situation Awareness,SA)”是一种基于环境的、动态、整体地洞悉安全风险的能力,是以安全大数据为基础,从全局视角提升对安全威胁的发现识别、理解分析、相应处置能力的一种方式,最终是为了决策与行动,是安全能力的落地应用。
“态势感知”早在20世纪80年代被美国空军提出,覆盖感知、理解和预测三个层次。90年代,概念开始被广泛接受,并随着网络的兴起而升级为“网络空间态势感知(Cyberspace Situation Awareness,CSA)”,是指在大规模网络环境中能够引起网络态势发生变化的安全要素进行获取、理解、显示,以及趋势预测分析从而支撑决策的系列活动。
2016年4月19日,习近平总书记在于网络安全业界人士座谈会上明确指出:“加快构建关键信息基础设施安全保障体系,全天候全方位感知网络安全态势,增强网络安全防御能力和威慑能力。”另一方面,随着我国“中国制造2025”国家战略的稳步推进,将会催生一个与互联网更加紧密融合的先进工业生产体系。由此,“工业控制系统网络安全态势感知技术”成为了一个时期以来,国家监管单位以及相关行业信息中心需要着重发展并推广应用的一项重要技术。“工业控制系统网络安全态势感知技术”是指通过各种技术手段,对工业生产相关网络的关键资产数据、威胁数据和脆弱性数据进行充分采集,并根据不同行业特点建立风险模型,依据模型对数据进行融合分析,最终对该工业生产环境所面临的风险状况提出量化评价的技术手段。
本报告对上述问题一一进行了分析和解答。文中描述了关键信息基础设施安全态势感知的技术要素,介绍了关键信息基础设施安全态势感知的技术实现原理,探讨了如何通过关键信息基础设施安全态势感知系统协助完成工业企业工业网络风险的监测预警、危害评估、应急响应、安全加固以及事后复查等工作,使得在不同场景不同层面上,协助包括基础作业层、专业技术层和管理决策层用户等人员更好地完成安全工作,并此基础上结合整体防御体系在探讨了关键信息基础设施安全态势感知技术的未来发展趋势。
本报告由『网信防务』研究团队,通过调查国内在关键信息基础设施安全态势感知相关技术产品上作的较为突出的公司,并结合当前最新的相关资料撰写。
关键发现:
关键信息基础设施安全态势感知技术是政策导向性很强的技术门类,它有力的支撑了《网络安全法》第五章“监测预警”中对于关键信息基础设施的一些监测要求,也成为《工业控制系统安全防护指南》、《工控系统安全事件应急响应管理工作指南》落地执行的一种重要技术手段。
关键信息基础设施安全态势感知技术是一项综合性的“新技术”,需要将传统IT领域的主被动监测技术手段与工业企业特有的应用场景、协议结构、网络介质、风险指标等进行深度、广泛的融合,并基于此开发出适合于工业企业特点的关键信息基础设施安全态势感知技术类产品。
关键信息基础设施安全态势感知技术可以为不同类型的用户提供价值。不仅仅为工业企业用户感知自身企业工业风险提供技术支撑,还可以为政府监管单位掌握某个区域的关键信息基础设施的网络安全状况提供数据支撑,甚至还可以作为“网络空间识别区”,为网军作战提供重要军事情报信息。
关键信息基础设施安全态势感知技术可以为不同层面的用户提供价值。不仅仅为运维团队、安全应急团队等提供技术参考,还有一个非常重要的价值是协助用户决策层如何分配好合适的安全预算,评估企业第三方供应商的安全级别,来降低企业所面临的风险。
关键信息基础设施安全态势感知技术应该融入从威胁检测到应急响应的整个生命周期,全面减少安全风险暴露的时间,而这个时间窗口是由工业企业防护者最为关心的、也是衡量工业企业安全能力的两条重要指标共同构成的,即平均威胁检测时间和平均威胁响应时间。
行业标准及规范是建设关键信息基础设施安全态势感知体系最好的参考,然而在这方面,还是刚刚起步阶段,包括工控网络威胁分类标准、工控风险数据采集标准、工控风险监测模型等标准都还没有发布。
目录
1技术定义
2技术实现
3应用场景
4应用价值
5标准及规范
6应用局限性和挑战
7未来趋势分析
8附录:关键信息基础设施安全态势感知技术资源
1 技术定义
1.1. 关键信息基础设施安全态势感知技术定义
习主席在“419讲话”中专门强调:“要树立正确的网络安全观,加快构建关键信息基础设施安全保障体系,全天候全方位感知网络安全态势,增强网络安全防御能力和威慑能力”,这为近一个时期以来的工业控制系统网络安全工作指明了方向。更是随着《网络安全法》、《工业控制系统信息安全防护指南》、《工控系统信息安全事件应急管理工作指南》等一系列法律、法规颁布施行,“关键信息基础设施安全态势感知”一词开始频繁的出现在各大重要行业信息中心、以及省市监管单位的重大项目规划中。然而,由于行业信息中心、国家监管单位,以及乙方技术提供单位,对于业务的理解角度、获取信息的能力,以及获取信息后的用途各有不同,所以造成了“关键信息基础设施安全态势感知”尚无统一定义。
笔者基于多年相关领域的工作经验,对于关键信息基础设施安全态势感知定义如下:
“关键信息基础设施安全态势感知技术,是一种针对基于信息网络的生产系统运行状态信息的获取、存储、分析、反馈的能力,该类信息主要包括,针对生产系统的资产监控、脆弱性、威胁等方面的信息”。
我们知道,一方面,工业控制系统与传统IT系统不论是在软硬件架构,还是安全性要求上都具有比较大的差异;另一方面,随着大数据技术的兴起,态势感知技术也正逐渐成为信息安全技术中的一个新的门类。我们可想而知,将态势感知这样一个新兴的技术门类,应用于工业控制系统这样一个差异化较大的全新业务领域,必然会产生一些独特的特点和规律,接下来我们来通过一些关键特征来更深一步了解关键信息基础设施安全态势感知技术。
1.2. 关键信息基础设施安全态势感知技术关键特征
承载着关键信息基础设施的工业企业网络,一般会划分为信息管理网络和生产控制网络两部分,该两部分网络具有:彼此严格隔离,协议类型完全不同(IT协议、工业以太网协议)等两个特点。这就造成了关键信息基础设施安全态势感知技术的如下关键特征:
◎ 生产控制网络与信息管理网络独立信息采集
由于工业企业信息管理网络与生产控制网络严格隔离,所以信息采集工作必须要从该两个网络分别着手。依据笔者相关经验,对于生产控制网络来说,应着重考虑内部资产(如PLC、DCS、RTU等)品牌类型、软硬件版本等,以及内部工业恶意行为等信息的采集工作;对于信息管理网络来说,应该着重考虑外部恶意行为,以及内部资产非法外联等信息的采集工作。
◎ 工业协议数据采集
关键信息基础设施安全态势感知技术应该主要用于监测工业生产网络安全状况趋势,并支撑相应应急响应机制建设。这就要求该技术主要基于工业协议(如Siemens S7、Modbus、Bacnet、Ethernet/IP等)来开展各种维度的监测、分析等工作。
◎ 主被动采集手段相结合
由于工业生产控制网络安全等级要求很高,一旦操作不当可能会操作物理伤害,所以不同于IT网络系统,在信息的采集过程中要首要考虑采集会否影响系统本身安全性,所以建议使用主被动结合采集手段,并且优先使用被动采集手段。
◎ 工业安全知识库为核心
知识库作为关键信息基础设施安全态势感知技术的核心模块,应该主要包含工业设备(如各品牌PLC、RTU、IED等)指纹库、工业恶意行为指纹库(比如,支持Siemens S7、Modbus、Bacnet、Ethernet/IP等协议)、工业恶意组织指纹库、工业网络漏洞库等专业知识库。
◎ 信息采集重点与行业特点相关性很大
不同行业的工业企业生产控制网络结构差异化较大,在进行基础采集探针部署阶段,要进行针对性的调整。比如,电网、燃气等应用SCADA较多的行业,可重点考虑工业设备非法外联监测和外部威胁监测;石油炼化、先进制造等应用DCS较多的行业,则可重点考虑外部威胁监测和内部威胁监测。
2 技术实现
关键信息基础设施安全态势感知服务通常根据工业企业不同业务特征和需求,提供针对其生产控制网络的威胁、脆弱性信息,并根据知识库的各种工业指纹库,进行综合分析处理,形成针对甲方工业控制网络的整体安全状况以及发展趋势,支撑甲方单位工业控制网络安全保障机制建设。本节将根据关键信息基础设施安全态势感知技术的体系架构、工业设备主动探测技术、工控系统威胁监测技术等三个方面进行说明。
2.1 态势感知体系架构
关键信息基础设施安全态势感知技术往往需要依靠多种数据采集引擎共同协作,包括(但不限于):
全网大规模主动探测引擎(外部)
分布式威胁监测引擎(外部)
资产信息采集引擎(内部)
威胁监测引擎(内部)
具体包含的技术模块如下:
1) 工控威胁分布式监测技术,通过将探针分布式部署于工业企业内部,基于主流工业协议的深度模拟仿真,以及庞大、全面的工业协议恶意行为库、敏感组织特征库等知识库,实现针对工业控制网络的恶意攻击行为的诱捕、存储、分析。该技术需要考虑自身伪装和安全问题,需要通过一些手段,解决避免被敌手发现的问题,笔者建议可以考虑使用伪随机函数的方法将探针模拟的数据结构进行随机化构造。该技术核心价值在于事先发现恶意行为和恶意行为趋势,也可能捕获新型恶意行为(APT)代码,支撑工控系统安全保障体系建设。
2) 工控旁路审计技术,通过将设备部署于工业生产控制网络现场环境,实现工控协议的旁路监测、指令级解析、恶意行为审计。该技术需要庞大的工业协议库和恶意行为指纹库的支撑,以及对于已知恶意行为的危害分级能力。
3) 工业网络态势综合分析展示技术,根据不同工业行业的网络安全特点,建设“工业网络风险指标体系模型”,从内部工业控制网络和外部信息管理网络两个角度进行“工业威胁建模”和“工业网络脆弱性建模”,并通过充分融合上述三种技术能力所生成的数据源,依靠关联分析、机器学习、智能分析等算法引擎,实现对目标工业网络安全状况的量化分析和趋势预测。
较为常规的部署方式如下图所示:
工业网络安全态势感知系统整体架构如下图所示,由五个层面的功能构成,各层面的功能如下:
数据接入层:实现数据的接入功能,通过开放的互联网资源接入到开放联网的工控系统;基于企业工控系统流量入口的数据采集系统,通过镜像接口获取局域网通信流量数据。
数据采集与清洗层:实现工控设备及企业工控网络入口流量数据的采集与清洗功能,通过主动探测对工控设备进行设备探测、识别。
数据存储与索引层:实现探测数据、监测数据及知识库资源的数据汇聚、存储及索引功能,提供开放接口供数据建模层进行数据获取。
数据建模与分析层:实现数据的关联分析,深入分析工业互联网标识信息、工控资产信息、攻击事件和攻击源头信息,进行威胁态势展示和数据关联挖掘。
数据理解与可视化层:对标识态势、攻击源、攻击事件和工控资产的态势进行可视化展示,并通过可视化界面进行数据关联查询。
2.2 工业设备大规模主动探测技术
1. 工业设备深度信息扫描技术
通过工控协议的深度解析,结合智能识别技术,大数据分析算法,能快速准确挖掘出目标区域联网工控设备厂商、版本、地理位置等关键信息,结合CNVD、CNNVD等工控漏洞库,进行漏洞关联以及系统脆弱性分析,有效提升监管机构对工业控制系统信息安全的技术监管能力。
3. 工控指纹字典构建技术
通过体系化的工控协议分析,提取协议的关键字段(比如寄存器地址、功能码等)等信息。结合机器学习、模式识别等技术,实现半自动化的工控指纹字典构建能力。支持Siemens S7、Modbus、Bacnet、Ethernet/IP、IEC 61850、IEC 104、Fins、DNP3、Melsec-Q等25种主流工业协议,支持Siemens、ABB、GE、Rockwell、Schneider等主流工控设备提供商的相关产品识别。
4. 高并发快速扫描技术
采用分布式调度引擎,组件扫描集群;结合负载均衡技术,实现高并发、高吞吐的快速扫描,支持灵活扫描集群扩展。
5. 海量存储及挖掘技术
采用分布式处理机制,实现对海量应答报文快速挖掘出关键目标信息;采用分布式存储技术,对海量数据进行分片存储,支持TB级别数据存储,支持对关键字毫秒级别的检索及查询。
2.3 工控威胁分布式监测技术
1. 私有协议高仿真模拟技术
对于TCP/IP应用协议仿真领域来讲,最大的难点在于协议仿真的广度和深度,团队依靠多年以来对于办公应用协议(如HTTP、SMTP等)、网关协议(SSH、SNMP等)以及工业私有化协议(如Siemens S7、Modbus等)几类的大量通信研究经验,通过逆向分析通信数据、深度研究RFC文档等手段,实现对工业协议的高精度仿真;
2. 仿真引擎自我保护技术
作为网络蜜罐,随时面临可能被敌手探测、发现的危险性,为了保证蜜罐自身安全性,团队特别设计了一套基于非对称算法进行密钥管理,基于对称算法进行数据加密、身份鉴别的安全保障体系,从而可以有效避免敌手对本系统的数据窃听,也可以防止敌手捕获我方蜜罐后的仿冒接入行为。另一方面,本系统也构造了伪随机发生器,从而保证每一个蜜罐中的任意协议引擎都是完全不同,从而也可以有效避免批量识别我方系统的风险;
3. 知识库构建及机器学习技术
本系统一旦构建完毕,则在互联网形成了一个弹性、自组织的数据采集系统,随着探针数量的增加,可以采集到海量恶意(或仅仅为探测)的数据报文。为了对这些数据进行有效识别,我们需要建立专门的知识库,它应该包括:恶意行为指纹库、恶意组织指纹库、危害等级评价等级库、外部威胁情报库等,这些知识库可以帮助我们从海量的数据当中根据行为、组织、地域、国家等维度进行精确分析。目前,我们要根据我们的业务按特性建立机器学习引擎,从而可以使得我们的系统具备自我反馈、学习能力,帮助我们的系统自动从海量的数据当中抽取有价值的特征填充到知识库中,并指导未来的深度分析。
4. 深度报文检测技术
为解决基于端口的报文识别分析所产生的问题,提出了基于载荷(Payload)的协议识别算法,即从网络数据包中提取用于识别的信息。深度报文检测(Deep Packet Inspection,DPI)技术就是在分析包头的基础上,增加了对应用层载荷的分析,是一种基于应用层的流量检测和控制技术,当数据流流经监控设备时,DPI引擎通过匹配关键代码段、数据包长度等信息对应用层协议进行识别分析。
5. 动态检测技术
与DPI技术进行应用层的载荷匹配不同,动态流检测(Dynamic Flow Inspection,DFI)采用的是一种基于流量行为的协议识别技术,DFI技术首先通过分析数据流的数据包长度、连接速率、传输字节数、包与包之间的时间间隔等信息来建立数据模型,将流量模型与网络传输的数据流进行比对,从而实现应用层数据的分类识别。
6. 工业通信恶意行为检测技术
构建工控恶意行为知识库,对捕获的流量进行实时代码审计。流量检测主要基于协议解析与流量识别,以及特征匹配技术。在协议解析和流量识别的基础上,通过恶意行为的特征码、通信指纹、异常数据等实现恶意代码流量的检测与识别。依托的恶意行为知识库需要特征数量庞大、尽可能全面覆盖已知恶意代码,同时具备不断自我完善更新、自我反馈的能力。
3 应用场景
关键信息基础设施安全态势感知是一项综合的信息采集、利用技术,目标是推动相关单位工业控制系统网络安全保障建设。为了有效发挥关键信息基础设施安全态势感知系统的能力,还必须了解相应的应用场景。在这里,我们更深入地探讨不同场景下不同角色分别如何使用关键信息基础设施安全态势感知系统。
3.1 为安全运维人员发现隐患提供技术支撑
近年来,随着网信办、工信部、公安部等部委在各省推动的工业网络安全检查工作的深入开展,针对工业控制系统网络安全的运维工作也逐步完善起来。日常安全运维是工业控制系统网络安全保障的重要环节,参与该层面的人员包括信息网络的日常运维人员、安全运维人员,以及生产控制网络的运维检修人员等。
一般来讲,工业企业的网络安全运维人员会分别隶属于两类部门:信息管理部门和自动化部门,其中信息管理部门的安全运维人员主要负责公司内部信息系统的网络安全相关问题,自动化部门的安全运维人员则主要负责独立的生产控制网络的网络安全事件。然而,一直以来由于缺乏有效手段,信息系统安全运维人员和生产控制网络安全运维人员都不能有效发现针对工业控制系统的潜在恶意行为。
通过部署关键信息基础设施安全态势感知系统,可以在工业企业的信息管理网络和生产控制网络中部署一些针对于工业控制系统的安全监测引擎,从而可以有效的辅助发现工业控制系统的脆弱性及威胁。
案例3.1-1:关键信息基础设施安全态势感知系统助力安全运维
如上图所示,安全运维人员可以依靠系统发现工业企业内部某IP承载的PLC设备,在2017年5月3日遭受了来自德国的某IP针对S7comm协议的攻击,运维人员可以首先基于这次恶意行为的危害等级进行风险评估,然后以这次捕获到的恶意代码、发生时间、针对协议、攻击地点、被攻击地点等信息为索引,展开一次应急响应,并针对发现的安全问题开展安全加固工作。
3.2 为安全研究人员深度分析提供有效资源
由于主流工业协议大部分为私有协议,而且PLC、DCS等工业控制设备也不是常规的x86、PowerPC等体系结构,所以对于安全事件的深入技术研究需要捕获大量的恶意样本提供支撑,从而可以:
主动获取工控恶意行为代码(可能包括新型攻击代码)
深度恶意代码研究,抵抗更高级的攻击威胁 (APT)
扩展他们的调查,以确定攻击威胁的相关黑色产业链
对工控恶意行为进行溯源追踪,确认攻击源
推动针对工业控制系统的安全保障建设
利用关键信息基础设施安全态势感知系统可以捕获一些恶意行为(可能包含未知行为),如下图所示:
经过上下文数据综合分析,得到结论如下(已脱敏):位于香港的节点,于2016年4月13日捕获到一次来自伊朗(IP:*.221.*.*),明显区别于一般性探测的恶意攻击行为。攻击者在成功建立S7协议连接后,执行的S7功能为枚举设备的功能模块信息,之后利用枚举获得的参数再次建立S7协议连接,并执行了CPU功能中PLC停止运行的恶意操作。在成功执行了上述操作后,攻击者可能出于检验攻击效果的目的,分别在1小时和4小时后再次与该蜜罐建立连接,枚举设备的功能模块信息。2016年6月14日伊朗的另外一个地址(IP:*.221.*.*),在使用不同参数枚举了设备的功能模块信息后,执行了三遍不同数据的上传操作,试图恶意修改设备的工作逻辑。
案例3.2-2:工业恶意行为分析
3.3 为管理人员研判安全趋势提供数据支撑
随着中央网信办关键基础设施处的建立、工信部《工业控制系统安全防护指南》、《工控系统安全事件应急响应管理工作指南》,以及公安部《工业控制系统等级保护》征求意见稿等政策法规的陆续颁布施行,工控安全保障体系日益完善。不过在具体落地实施过程当中,不论是各省市主管单位,还是重要行业信息安全责任部门,都没有一套技术平台,可以有效的对自身工业控制网络信息安全风险进行有效监测、评估。关键信息基础设施安全态势感知系统则可以有效的解决这个问题,它可以通过广泛部署于被监测单位DMZ区域的工业探针,对一个时间段以来的工业风险进行有效监测,从而可以辅助政府监管部门以及企业责任部门根据趋势指定安全保障策略,如下图所示:
案例3.2-3:研判工业控制网络风险趋势
3.4 为决策者推进安全保障建设提供技术平台
如何保障工业企业生产控制网络信息安全,已经成为政府监管部门以及企业的重要任务之一。《国务院关于深化制造业与互联网融合发展的指导意见》(国发[2016]28号)中明确要求:“实施工业控制系统安全保障能力提升工程,制定完善工业信息安全管理等政策法规,健全工业信息安全标准体系,建立工业控制系统安全风险信息采集汇总和分析通报机制,组织开展重点行业工业控制系统信息安全检查和风险评估。组织开展工业企业信息安全保障试点示范,支持系统仿真测试、评估验证等关键共性技术平台建设,推动访问控制、追踪溯源、商业信息及隐私保护等核心技术产品产业化。以提升工业信息安全监测、评估、验证和应急处置等能力为重点,依托现有科研机构,建设国家工业信息安全保障中心,为制造业与互联网融合发展提供安全支撑”。工业企业工业网络安全保障体系建设是一个复杂而且浩大的工程,目前各种基础的法律法规、标准指南、技术装备等都在积极快速的完善之中,总体来讲,工业网络安全保障体系结构与传统IT类似,应当建立纵深防御体系,主要体现在:事前、事中、事后三个阶段;以及上位机、下位机、工业网络以及物理环境4个主要方面,下图为笔者基于多年相关领域工作经验总结的工业网络安全保障体系框架:
关键信息基础设施安全态势感知技术包含:工业网络安全监测、审计以及取证技术,由上图可以看出,关键信息基础设施安全态势感知技术贯穿了工业网络安全保障体系的事前、事中、事后3个阶段,以及上位机、下位机、工业网络3个方面。因此,我们可以看出建设关键信息基础设施安全态势感知体系,对于安全保障建设的重要程度。
具体到工业网络在信息安全保障体系运营角度来看,与传统的IT网络安全保障体系运营流程基本一致,关键信息基础设施安全态势感知系统可以依靠广泛部署于关键部位的工业探针,支撑工业企业群的风险监测,从而实时发现安全风险点。具体如下图所示:
其中,各环节具体工作如下:
• 工控风险监测:在工业控制网络和信息管理网络部署信息采集点
• 发现工控风险点:基于采集的数据,实时发现威胁或者脆弱性
• 风险评估:针对威胁或者脆弱性能够对工业控制系统带来的危害成都进行评估
• 应急响应:针对危害较大的风险点启动应急响应机制,进行取证分析
• 安全加固:针对发现的风险点,研究部署安全加固方案
4 应用价值
关键信息基础设施安全态势感知技术如果仅从技术角度来看,它属于威胁情报的细分门类,因为这种技术所能产生的输出物不论是工业现场非法暴露面、工业内网非正常通信数据、外部工业协议恶意行为样本以及恶意行为组织信息等,都属于威胁情报范畴。然而,它的价值并不仅于此,从系统平台角度来看,关键信息基础设施安全态势感知系统实际上是工业企业工业网络安全保障体系的基础设施,它可以从获取到的大量工业网络威胁情报中,根据不同行业对于安全的控制要求和容忍程度,进行态势评估和影响评估,从而以此平台为抓手,逐步推动安全保障体系的建设和运营工作切实落地。
《网络安全法》第三章“网络运行安全”第二节“关键信息基础设施的运行安全”第三十一条要求:“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护”。这首先明确了我国关键信息基础设施的行业范围。《网络安全法》第五章“监测预警与应急处置”第五十二条要求:“负责关键信息基础设施安全保护工作的部门,应当建立健全本行业、本领域的网络安全监测预警和信息通报制度,并按照规定报送网络安全监测预警信息”。
不论是按照国家《网络安全法》的要求,还是基于自身安全生产的实际需求,作为关键信息基础设施的运营者,最核心的诉求应当是建立一整套针对于工业控制系统网络的信息安全保障体系,关键信息基础设施安全态势感知技术是满足这个需求的一个重要技术方案,如下图所示:
4.1 提高事前风险发现能力
IT系统正在经历着防御策略的转变,从以网络和设备为中心的以事件驱动防护的策略,转变为侧重于监测和事件响应的以线索为驱动的提前制防护思路,让威胁检测阶段前置进行。这里,威胁检测阶段实际是指企业发现一个对自己造成影响的并需要深入分析和应对的潜在威胁所花费的平均时间。对于安全生产高于一切的工业控制系统网络来说,这种思路同样,甚至于更加适用。
我们常说企业会因看不见的“威胁”而更加恐惧,关键信息基础设施安全态势感知系统不仅仅可以通过大量工业探针捕获基础数据,更多的还有通过情报社区、专业安全机构、第三方开源资源获取而来,通过机器分析检测并基于该工业企业风险模型,安全团队可以据此快速评估出这次安全事件是否会爆发以及它的威胁等级。确保有充分的信息提供给安全专家从而对此次事件作出快速、准确的决策,让工业企业看见威胁。
在这其中,值得注意的是其实无论是何种攻击,无论针对的是随机目标还是特定目标,黑客所使用的攻击策略、技术及程序都极有可能是会重复使用的,而同时,更有可能用到常见的攻击方式。因此,通过利用之前的一些经验(无论是政府还是大型金融机构),都有助于在实际第一次见到威胁时就可以对其进行识别,在搞清楚自己是如何被攻击后,可以识别威胁并响应攻击,这就是了解威胁的过程。
▪ 获取数据与线索发现
感知的第一步就是识别潜在威胁,比如这个异常流量的交互到底是来源于工业网络中某个新生产设备,还是恶意程序。而这个过程通常要依托对取证数据进行分析得来,但关键信息基础设施安全态势感知系统的融入可以通过对工业风险数据源、工业风险数据指标的直接参考,使安全员的分析过程提高效率,同时通过发现有关攻击样本等来前置检测时间点,从而降低整个检测过程所需的时间。这里主要的分析方式就是用户分析和机器分析这两种。用户分析基于人,通过监测、观察指示器,认为评估趋势、行为和建模。机器分析就是通过软件捕获数据流并持续对其进行的监测的分析,通过复杂分析算法优先识别出威胁的存在。
▪ 威胁验证
传统威胁验证的过程,使确认威胁存在的真实情况,是属误报、可忽略容忍的风险等级,还是确实需要进一步深入调查的潜在威胁。而通过威胁情报所提供的情报数据,我们可以通过对攻击者的了解,判断在未来一定时间段,工业企业的资产是否面临威胁,是否需要提前部署对应措施。
4.2 缩短事中应急响应时间
关键信息基础设施安全态势感知技术的应用,实际上可以作用于风险监测到应急响应整个生命周期,为工业企业防护者提供参考,从而减少风险暴露时间。这里的应急响应时间指企业全面分析威胁并缓解此次事件所花费的时间,实例可以参考 “3.1为安全运维人员发现隐患提供技术支撑” 中“案例3.1-1:关键信息基础设施安全态势感知系统助力安全运维”。
▪ 事件分析
安全小组在初步检测认定遭遇了安全事件的威胁后,会立即步入响应状态。开始深度调查分析威胁情况与风险规模,从而判断此次安全事件的整体态势,是正在进行,还是已经发生并开始启动缓解工作。同时,可以根据威胁情报信息来判断,提交的告警是否与其它安全事件或安全风险有所关联。
▪ 事件响应
这个阶段需要专业分析人员对于该事件发生根本原因、威胁影响规模、应急技巧等各方面有着充足的认识与丰富的经验,并针对安全事件有着高度一致的观点和态度,同时还要具备与其它组织部门的合作沟通能力、充足的知识储备以及自动化的响应应急机制。而威胁情报可以为安全人员提供相似安全情景(包括安全事件类型、行业背景、业务特征等)下的应急处理建议、实践示例等进行参考。
4.3 提供事后处置方法参考
▪ 恢复加固
这是该生命周期的最后一个步骤,也算是为事件应急处理后做“清扫战场”的工作,诸如在环境中根除环境中的所有威胁情况、清理恶意资源、加固环境,最后对引发事件的根源问题进行分析总结,预防同样情况再次发生等信息均可能从适合的威胁情报信息中进行获取和参考,同时也可以将工业企业遇到的一些典型的、具有行业特征的安全事件,整理成可机读威胁情报进行分享和交换,为其它企业提供参考。
回到经典的信息系统安全模型与框架中P2DR的数学模型。即S系统防护、检测和反应的时间关系如下:
If Pt > Dt + Rt, 那么S是安全的;
If Pt < Dt + Rt, 那么Et = (Dt + Rt) – Pt。
其中,Pt=防护时间(有效防御攻击的时间)Dt=检测时间(发起攻击到检测到攻击的时间)Rt=响应时间(检测到攻击到处理完成的时间)Et=暴露时间。当企业的对于威胁检测和响应所花费的时间越长,在Pt时间一定的情况下,那么Et时间即工业企业安全威胁暴露在外的时间就越长,那么遭遇到的风险就越高。
最后,当更深一步挖掘整个监测、响应过程的关键时,我们可以发现,一个理想的关键信息基础设施安全态势感知平台可以简化每个处理过程的工作流,尽可能提供自动化。而如果一个组织可以如此完善检测、响应生命周期中的每一个步骤,那么也就意味着降低了检测威胁与应急处理的时间,更重要的是,减少了威胁暴露的时间。
4.4 快速识别行业内的网络安全状况,成为监管部门的有力抓手
工业控制系统网络安全的行业主管部门和集团型工业企业的信息管理部门,需要落实工控网络安全的监督检查、信息通报工作,受限于工业控制网络对于可用性的绝对要求,IT领域传统的每年利用漏洞扫描、渗透测试等方法开展第三方评估工作的做法,很难移植到工业领域。目前只能采取定期的现场检查或主动填报信息的方法,这些方法过于依赖执行团队的能力和责任心,占用政府监管部门和企业大量人力、物力不说,得到的效果也是参差不齐很难保证,可以借助关键信息基础设施安全态势感知技术来逐步改变这种状况。
4.5 实现外部(互联网)风险评估新方法,弥补传统评估手段的不足
风险评估是信息安全重要的工作方法之一,要想实现全面了解安全状况,是需要从外部对外部、从外部对内部、从内部对内部的多角度实现。然而,由于工业控制系统需要与外部网络(互联网)相互隔离,所以对于工业控制网络的风险评估往往忽视了从外部互联网进行评估的工作思路,而审视几次重大的工控病毒事件(比如Stuxnet、BlackEnergy等),都是以互联网作为攻击的发起点。
4.6 基于外部数据提供了评估组织安全状况的客观依据
安全风险不仅局限在信息系统自身的防护工作,还需要对下级分子公司或者供应商、合作伙伴等安全状况进行风险评估,全面控制安全风险,一般采用现场审查的方式,或者组织自助填报信息,无法做到常态化和保证客观性,关键信息基础设施安全态势感知技术提供了从第三方的角度实施风险评估的能力,可以做为集团管理或者供应商风险管理的一个补充手段。
5 标准及规范
态势感知技术属于比较先进的技术门类,而工业控制系统又是全新安全防护领域,所以目前国内尚未发布针对性的标准规范,目前唯一相关性较大的规范就是《工业控制系统信息安全事件应急管理工作指南》。下边将就该指南内容进行详细解读。
5.1 《指南》的出台背景
随着两化融合的不断深入,以及物联网、云计算和大数据等新一代信息技术的快速发展,工业控制系统智能化、网络化趋势日渐明显,病毒、木马等威胁向工业控制系统持续扩散。近年来,工控安全事件频频发生,工控安全漏洞数量持续增长,工业控制系统面临着日益严峻的安全形势。国家“十三五”规划《纲要》、网络强国、中国制造2025及“互联网+”等一系列战略部署的推进实施,对我国工控安全保障工作提出了更高的要求,迫切需要快速提升工控安全保障水平和事件应急处置能力,更好的支撑经济社会健康有序发展,维护国家安全。
5.2 总体考虑
密切结合工控安全事件应急工作实际,以防范重大工控安全事件为重点,厘清工业和信息化部、地方工业和信息化主管部门、技术支撑队伍和企业职责,加强工控安全事件应急管理和组织协调,提升工控安全事件应急处置能力。
• 目的意义
一是建立健全工控安全事件应急工作机制。依据《国家网络安全事件应急预案》制定《指南》,进一步完善工控安全事件应急制度,形成有效的工控安全应急工作机制,为工控安全事件应急管理与处置工作提供依据与方法。
二是提升工控安全事件应急处置能力。《指南》明确了工控安全事件应急工作的组织机构和职责,确定了工控安全事件的监测通报、处置流程和具体措施,提出了应急队伍、专家组、物资和经费保障等应急力量和应急资源方面的要求,为应急处置工作提供行动指南。
三是完善工控安全管理体系。《指南》的研究制定和宣贯落实,与颁布的《工业控制系统信息安全防护指南》和正在编制的《工业控制系统信息安全防护评估工作管理办法》共同构建了工控安全管理体系。文件中提出的安全要求和管理方法覆盖了工业控制系统规划、设计、建设、运行、维护等全生命周期,为加强工控安全管理奠定了坚实基础。
• 编制原则
政府指导、企业主体。政府通过完善政策措施、加强监督管理,指导企业树立工控安全主体责任意识,督促企业将工控安全作为生产安全的重要组成部分,做好工控安全应急相关工作,加快提升工控安全事件应急能力。
预防为主、平战结合。按照系统化、科学化管理思想,加强工控安全监测与风险预判,及时掌握工控安全态势,畅通信息传输渠道,充分发挥各方力量,将预防与消减有机结合,积极做好工控安全事件的预防和消减工作。
快速反应、科学处置。建立感知快、研判快、处置快、消减快的工控安全快速反应体系,不断强化工控安全事件应急队伍的整体应急水平和快速反应能力,科学管理、指挥有力,妥善处置工控安全事件。
5.3 《指南》的管理要求
《指南》对工控安全风险监测、信息报送与通报、应急处置、敏感时期应急管理等工作提出了一系列管理要求,明确了责任分工、工作流程和保障措施。
• 加强风险监测
风险监测是掌握工控安全事件、感知风险动向的基础性工作。《指南》要求国家工业信息安全发展研究中心等技术机构、地方工业和信息化主管部门和工业企业做好风险监测工作。其中,国家工业信息安全发展研究中心等技术机构负责组织开展全国工控安全风险监测、预警通报等工作,地方工业和信息化主管部门负责组织开展本地区工控安全风险监测工作,工业企业组织开展本单位工控安全风险监测工作。
• 开展信息报送与通报
信息报送与通报是帮助工控安全应急相关部门及时了解风险及事件全貌的重要途径。《指南》明确指出,地方工业和信息化主管部门、工业企业在开展风险监测的同时,要及时将重要监测信息报国家工业信息安全发展研究中心。国家工业信息安全发展研究中心负责汇总、整理和研判,并将结果报工业和信息化部。针对影响范围大、危害程度深的风险信息,工业和信息化部及时向有关行业、地区、企业通报。此外,对于可能超出本地区应对能力范围的安全风险和事件信息,地方工业和信息化主管部门应及时向工业和信息化部报告。
• 做好应急处置
工控安全事件应急处置是应急工作的重中之重,做好工控安全应急处置对于维护国家安全、社会秩序、经济建设和公众利益都具有举足轻重的意义。对于工控安全应急处置工作,《指南》明确了以下几方面要求:一是工业企业应积极开展先期处置。对于可能或已经发生工控安全事件时,工业企业应采取科学有效方法及时施救,力争将损失降到最小,尽快恢复受损工业控制系统的正常运行。二是重点做好应急处置中的信息报送。应急处置过程中,地方工业和信息化主管部门和工业企业应及时报告事态发展变化情况和事件处置进展情况。三是必要时工业和信息化部将组织现场处置。必要时,工业和信息化部将派出工作组赴现场,指挥应急处置工作,并协调应急技术机构提供技术支援。四是应急结束后及时开展总结评估。《指南》要求,应急工作结束后,相关工业企业应做好事件分析总结工作,并按时上报。
• 保障措施
《指南》要求,建立覆盖工业和信息化部、地方工业和信息化主管部门、工业企业三个不同层次的预案体系,促进工控安全应急管理工作规范化、制度化;通过定期组织开展应急演练,提高应对工控安全事件的技术能力;通过建立国家工控安全应急专家组和地方工控安全应急专家组,支持工控安全应急技术机构、基础平台建设,提升应急处置基础能力。
此外,《指南》还强调了国家重要活动、会议等重要敏感时期的应急管理要求,明确工业和信息化部做好应急指导,地方工业和信息化主管部门和工业企业加强风险监测、做好信息报送和应急值守等,确保重要敏感时期工业控制系统安全、平稳运行。
6 应用局限性和挑战
关键信息基础设施安全态势感知系统是一套与企业信息安全目标、业务安全需求等高度结合的综合管理系统,在投入使用前,需要做好信息收集工作与需求分析工作。目前市场上,此类产品种类还比较少,并且只能提供基础威胁数据的采集分析能力,并不能基于行业、企业业务特性,进行安全评估、趋势分析,甚至辅助决策等的操作。
我们需要注意的是,关键信息基础设施安全态势感知技术是新的安全思路,但并不是安全的唯一保障,接下来我们共同分析以下威胁情报技术的局限。
6.1 政策缺乏可操作性配套规范
国家《网络安全法》第五章“监测预警与应急处置”第五十二条规定:“负责关键信息基础设施安全保护工作的部门,应当建立健全本行业、本领域的网络安全监测预警和信息通报制度,并按照规定报送网络安全监测预警信息”。但是,目前并没有发布配套的标准、规范、指南等可操作性规范,这导致了目前行业内仅有少数的几家企业提供了工控安全监测的产品或解决方案,而且这些产品和解决方案都是从自己的公司的能力出发,并不能对《网络安全法》的要求提供有力支撑。
6.2 工业风险数据采集能力参差不齐
工业风险数据的采集需要:工业协议识别、仿真、工业恶意行为库、工业恶意组织库、工业漏洞库等一些列关键能力的支撑。然而,由于工业领域的封闭特性,导致信息安全从业者较难获取这些关键能力。这就要求工业控制系统运营者根据自身需求,认真筛选、培养合适的供应商,并争取成为长期的合作伙伴。
6.3 工业风险数据分析门槛较高
由于工业协议基本都是私有协议,且进行逆向分析具有较大的困难(比如Siemens的协议转换线MPI、PPI等只进行协议转换,其售价就高达1500-3000¥)。这就导致了对于采集到的大量工业风险数据的分析工作,只能依赖于供应商的数据分析人员,这很大的阻碍了该类产品的市场推广程度。
6.4 行业差异较大,缺乏针对性的应用方案和产品
工业组织需要根据自身业务特征,明确对技术的应用,不同形式关键信息基础设施安全态势感知系统,都拥有自身的特征与局限,带来的价值存在很大差异。例如:由于电网、燃气等行业的SCADA业务系统往往分布广泛,更加需要收集非法外联,以及区域性的恶意行为的数据;而石油炼化行业的生产设备会集中部署于一个厂房内,对于车间内网的工业恶意行为的监测则是采集数据的重点。
6.5 行业协同能力与机制尚未成熟
关键信息基础设施安全态势感知系统的核心是海量的工业风险数据,这就需要企业间、甚至行业间形成数据交换机制。然而,大数据产业作为新兴产业,产业链上存在较多空白点,这也就导致了数据协同、交换工作短期内无法规范化开展。
7 未来趋势分析
在工控安全保障方面,我们可以来借鉴下美国的做法:2007年,美国土安全部(DHS)的国家行动中心(NOC)成立了国家设施协调中心(NICC),其职责包括:
• 态势感知:提供7x24关键基础设施的威胁信息;
• 信息协调:通过关键基础设施的组织网络(ISAC)协调运营者及行业间数据;
• 关键基础设施评估:评估关键基础设施的重要性和风险;
• 决策支持:向国土安全部(DHS)和合作伙伴提供决策建议;
• 安全修复:提供安全修复、加固建议。
另一方面,美国土安全部的国家网络安全和通信集成中心(NCCIC)下属成立了工控系统应急响应中心(ICS-CERT),专门负责工控系统、设备等的信息安全问题应急响应。2013年,基于上述工作的支撑,美国土安全部对关键基础设施发布了《National Infrastructure Protection Plan (NIPP) 2013: Partnering for Critical Infrastructure Security and Resilience》,强化了态势感知能力建设对于关键基础设施安全保障体系的重要性。对于未来趋势,提出以下几点分析以供参考。
7.1 产生行业针对性的关键信息基础设施安全态势感知解决方案
随着国家政策法规的持续推动,关键信息基础设施安全态势感知技术会日益普及和成熟,从而使得针对工业控制网络的监测预警能力快速集成到工业企业整体的安全保障体系中,使安全工作更体系化和有效率。然而,由于态势感知系统对于数据采集的实时性、多样性、可用性、易用性等都有很高的要求,而且需要建立一套针对性很强的业务安全模型。所以,能否提供适用于各种工业生产网络的一套自动化、辅助分析,并且由不同体系的产品、系统、结构等各层面信息支撑的快速防御系统,将会是未来关键信息基础设施安全态势感知类产品发展的首要步骤。
工业企业由于生产环境不同,造成工业网络模型差异较大,比如,电网、燃气等SCADA类型工业控制网络的主要特点是:覆盖范围广、设备分散、会用到低功耗无线传输手段、主要处理监视功能、对可用性敏感程度为中高级别等;石油炼化、冶金制造等DCS类型工业网络的主要特点是:设备集中于大片厂区、基本全部使用有线传输、对可用性敏感程度为高级别等;先进制造、轨道交通等PLC类型工业网络的主要特点是:设备集中于厂房内、会使用wifi传输手段、对可用性敏感程度为中高级别等。上述网络模型和安全敏感度的区别,需要开发针对性的态势感知解决方案。
7.2 国家、行业协会推动态势感知技术标准化
关键信息基础设施安全态势感知技术在风险信息的采集阶段,需要规范采集信息的种类、粒度等信息;交换阶段,需要规范数据交换标准(美国推出了STIX、TAXII等);使用阶段,需要根据不同行业业务特性规范风险模型等。标准规范研究工作的进展程度,将是推动关键信息基础设施安全态势感知技术发展及产业化应用的一个重要风向标。
7.3 相关产业链中将形成不同体量的合作群体
关键信息基础设施安全态势感知本质上是对工业控制网络风险信息的采集、存储、挖掘、提炼的过程,目前来看,很难有哪一家企业能够独立完成所有信息的采集工作,这就需要供应商之间的信息共享。然而,风险信息的共享、交换和产业协作并非无条件的,由于很多企业之间存在竞争关系,或受到体制的约束,合作都是建立在个人关系相互信任的基础上,并且数据资源的宝贵对于组织来说不愿意和比自己弱的资源交换,这样将让具备相同体量数据基础的组织之间合作,根据数据规模形成几个不同级别的合作阵营。
7.4 形成国家级工业网络安全指数发布平台
基于上述行业关键信息基础设施安全态势感知解决方案的推出、相关标准化工作的完善,以及合作群体生态化的逐步确立,国家将可以对各个区域、各个行业已经建立好的服务于本区域或行业的态势感知系统开展数据接引工作,这样,就可以将全国的工业网络安全风险数据进行汇总分析,从而形成国家级的工业网络安全指数发布平台。从而,也可以有力支撑我国工业2025国家战略的稳定、有序推进。
8 附录:关键信息基础设施安全态势感知技术资源
8.1 相关厂商产品名录
• 烽台科技
• 中国网安
• 威努特
• 六方云
• 中科兴安
8.2 相关标准(暂无)
8.3 免费工具
(1) 广域网工控设备搜索引擎资源
https://www.shodan.io/report/l7VjfVKc
http://ics.zoomeye.org/
http://www.ditecting.com/
(3) 相关开发资源
2.1 发现类
https://code.google.com/p/plcscan
https://code.google.com/p/modscan
https://github.com/arnaudsoullie/scan7
https://github.com/atimorin
auxiliary/scanner/modbus/modbus_findunitid
auxiliary/scanner/modbus/modbusdetect
2.2 操纵类
auxiliary/scanner/modbus/modbusclient
auxiliary/admin/scada/modicon_command
auxiliary/admin/scada/igss_exec_17
auxiliary/admin/scada/multi_cip_command
Open ICS protocol libraries
https://www.scadaforce.com/modbus [python]
https://github.com/bashwork/pymodbus [python]
https://rubygems.org/gems/modbus-cli [ruby]
http://libnodave.sourceforge.net [C,C++,C#,Delphi,Pascal,Perl,VB(A)]
https://code.google.com/p/dnp3 [C++]
2.3 异常分析类
http://blog.snort.org/2012/01/snort-292-scada-preprocessors.html
http://www.digitalbond.com/tools/quickdraw/
2.4. fuzz类
https://github.com/jseidl/peach-pit/blob/master/modbus/modbus.xml
(3) 综合类资源
https://scadahacker.com
http://www.digitalbond.com
https://ics.sans.org/ics_library
http://plcscan.org/blog/
http://blog.iec61850.com
http://www.modbus.org/
http://scadastrangelove.blogspot.kr
http://www.slideshare.net/phdays/timorinalexander-efanov-dmitry
8.4 收费资源
(1)《工业SCADA系统信息安全技术》(2014.5.1)
讲述了工业监视控制与数据采集(SCADA)系统基本概念,系统地分析工业SCADA系统存在的脆弱点和面临的信息安全威胁,阐述了工业SCADA系统信息安全体系,论述其相应的关键技术;介绍了典型电力SCADA系统信息安全实际工程应用案例,并对国内外工业控制系统信息安全的发展趋势进行了分析。读者对象:政府、军队、高校、科研机构等从事工业控制系统信息安全研究的科研人员,以及相关企业进行工业控制系统信息安全开发、建设和应用的技术人员。
(2)《工业控制系统信息安全》(2015.9.1)
本书简洁、全面地介绍了工业控制系统信息安全概念和标准体系,系统地介绍了工业控制系统架构和漏洞分析,系统地阐述了工业控制系统信息安全技术与方案部署、风险评估、生命周期、管理体系、项目工程、产品认证、工业控制系统入侵检测与入侵防护、工业控制系统补丁管理。
(3)《工业控制系统安全等级保护方案与应用》(2015.3.1)
本书分为7章,分别介绍了工业控制系统信息安全概论、工业控制系统安全等级保护定级、工业控制系统安全等级保护要求、工业控制系统等级保护安全设计、工业控制系统安全等级保护实施、工业控制系统安全等级保护测评和工业控制系统安全等级保护方案应用。
(4)《工业网络安全—智能电网,SCADA和其他工业控制系统等关键基础设施的网络安全》(2014.6.1)
纳普所著的《工业网络安全》一书向您解释了作为工业控制系统基础的特定协议和应用,并且为您提供了对它们进行保护的一些非常容易理解的指南。除了阐述合规指南、攻击与攻击面,甚至是一些不断改进的安全工具外,本书还为您提供了关于SCADA、控制系统协议及其如何运作的一个清晰理解。
(5)《智能电网安全:下一代电网安全》(2013.1.1)
本书着眼于当前智能电网的安全以及它是如何被开发和部署到全球千万家庭中的。《智能电网安全:下一代电网安全》详细讨论了针对智能仪表和智能设备的直接攻击以及针对配套网络和应用程序的攻击,并给出如何防御这些攻击的建议。《智能电网安全:下一代电网安全》给出了一个针对成长中的系统如何实现安全性的框架,用来指导安全顾问与系统和网络架构师如何防范大大小小的攻击者,从而保证智能电网的稳健运行。《智能电网安全:下一代电网安全》详细介绍了如何使用新旧黑客技术来攻击智能电网以及如何防御它们。讨论当前的安全举措。以及它们达不成所需目标的原因。找出黑客是如何利用新的基础设施攻击基础设施。
(6)《智能电网信息安全指南(第1卷):智能电网信息安全战略架构和高层要求》(2013.1.1)
本书由美国国家标准和技术研究院所著,提出了美国针对智能电网信息安全的分析框架,供相关组织根据智能电网业务特性、安全风险和漏洞制定有效的信息安全战略参考使用。主要内容包括信息安全战略、智能电网的逻辑架构和接口、高层安全要求、密码和密钥管理等,可供相关读者阅读学习。
(7)《智能电网信息安全指南:美国国家标准和技术研究院7628号报告(第二、第三卷)》(2014.6.1)
本书为《智能电网信息安全指南 美国国家标准和技术研究院7628号报告》第二、第三卷,内容包括隐私和智能电网、脆弱性类别、智能电网的自下而上安全分析、智能电网信息安全的研究与开发主题、标准审阅综述、关键电力系统安全要求用例。该报告提出了美国针对智能电网信息安全的分析框架,供相关组织根据智能电网业务特性、安全风险和漏洞制定有效的信息安全战略参考使用。
文/DustinW
声明:本文来自网信防务,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。