利器出鞘:⼯业安全态势感知平台之场景化威胁分析壁炉门
金属圆锯片
场景化威胁分析的重要性
伴随着两化融合的快速发展,我国关键基础设施和能源⾏业⼴泛使⽤的SCADA、DCS、PLC等⼯业控制系统,越来越多地采⽤计算机和⽹络技术,如Ethernet、TCP/IP以及OPC等,极⼤地推动了⼯业⽣产的同时也使⼯业控制系统接⼝越来越开放,从⽽导致控制系统⾯临的信息安全问题⽇益严重。随着⽹络安全对抗技术的不断发展,⽹络攻击的⼿段越来越专业化、多样化、⾃动化,⽽基于传统被动防御模型下的安全实践很难有效检测并发现分散在不同安全设备上的真实攻击。攻击者使⽤⼤量混淆攻击⽅法,使安全设备产⽣海量攻击告警,让真正的攻击淹没在告警事件中,从⽽绕过安全检测设备实施攻击,给攻击检测和溯源带来了⼀定的挑战。 因此,在安全分析模型中⼀定要基于攻击场景分析安全事件,对⼀次完整会话的所有告警事件进⾏归类、推演,采⽤基于上下⽂回溯的⽅式对攻击场景进⾏还原,剔除⼲扰告警,还原攻击链条,根据事件影响评估模型对事件进⾏定性,发现⽹络中隐藏的真正威胁。
⼯业场景下⾯临的主要威胁
通常,企业更关注于管理⽹络的安全问题,很多企业对控制系统安全存在认识上的误区:认为控制系统
没有直接连接互联⽹、⿊客不了解控制系统,因此控制系统是安全的。⽽实际情况是,企业的很多控制⽹络都是“敞开的”,系统之间未进⾏有效隔离,同时⿊客和病毒的⼊侵途径多种多样,尽管企业⽹内部安装了⽹络安全防护产品,进⾏了各类⽹络安全技术防护,但⼯⼚信息⽹络、移动存储介质、因特⽹以及其它因素导致的信息安全问题正逐渐向控制系统扩散,直接影响了⼯⼚⽣产控制系统的稳定性与安全性。近年来,国内外很多企业的DCS控制系统已经出现中病毒或遭⿊客攻击的现象,给安全⽣产带来了极⼤隐患。
⼯控⽹络主要⾯临的威胁场景有⾮法外设的接⼊、⾮授权访问、⾮法外联、挖矿、、C&C攻击、恶意⽂件、异常登录操作⾏为、异常程序⾏为、⽹络接⼊异常、跨区通信等。
威努特⼯业安全态势感知平台
场景化威胁分析能⼒
威努特⼯业安全态势感知平台不仅是⼀个⼤数据安全分析平台,同时还是⼀个知识平台,公司多年来深耕⼯控安全⾏业,聚焦电⼒、⽯油、⽯化、轨道交通、制造、烟草、市政等⼯控⾏业的安全建设,积累了⼤量⼯控安全场景的威胁分析模型及处置经验,将特定的算法转化为⼯业安全态势感知平台知识库,以下重点介绍平台对⼯控环境下的场景威胁分析能⼒。
异常资产分析高频变压器参数
66aaaa
通过起始时间段、数据来源进⾏动态学习,根据不同规则制定多条安全基线,但同⼀时间内只能有⼀条安全基线⽣效。通过数据的实时分析,偏离安全基线将产⽣⾮法接⼊资产告警。
图1 违反业务基线告警
异常⼯艺⾏为分析养蜂专用车
通过对⼯业协议的深度解析,基于五元组、⼯业协议、指令、寄存器值域等建⽴指定时间段的⼯艺⾏为基线,对偏离安全基线的⾏为及时告警。
异常⽹络⾏为分析
通过资产会话的源地址、⽬的地址、⽬的端⼝、协议号、应⽤协议等进⾏建模分析,在指定时间段内分析出⽹络⾏为基线。通过对数据的实时分析,及时对⽹络异常⾏为告警。
图2 异常⽹络⾏为分析
异常程序⾏为
收集终端应⽤程序信息,当程序出现异常资源调⽤、关键程序配置⽂件内容变更、关键程序物理位置变化等情况时,及时告警。
图3 关键程序⽂件变更
⾮法外设接⼊
通过收集终端外设接⼊信息,对外设接⼊设备、接⼊设备指纹、拷贝⽂件的类型等信息建⽴基准,出现异常及时告警。
⾮授权访问
平台通过收集⽹络访问⽇志、终端⽇志,结合业务资产基线和⽹络⾏为基线,发现⾮授权程序调⽤、⾮授权业务请求、⾮授权违规操作等,并及时产⽣告警。
⾮法外联
平台通过对终端⾏为⽇志和⽹络⽇志分析,发现⼯控业务内⽹主机访问互联⽹业务的⾏为,及时告警。
挖矿场景
⼯业安全态势感知平台通过结合威胁情报数据和流量特征,发现内⽹失陷主机⾏为,其类型不限于挖矿病毒、病毒、隐蔽通道、C&C外联等。
毒、隐蔽通道、C&C外联等。
图4 C&C外联事件告警
恶意⽂件分析
⼯业安全态势感知平台对前端流量探针还原的⽂件进⾏病毒检测,其类型不限于.exe、.xml、.xlsx、.
doc、.ini、.sh、.jsp、.php等⽂件,结合⽂件轨迹,发现可能感染病毒的所有主机并及时告警。
异常登录操作⾏为
单人飞行器⼯业安全态势感知平台通过收集终端登录⾏为⽇志,结合⽤户⾏为基线,发现暴⼒破解、⽤户账号\设备的异常⾏为。
图5 暴⼒破解事件告警
跨区通信
⼯业安全态势感知平台⽤户可通过⾃定义⽅式灵活定义跨区通信基线,对⽹络访问⾏为⽇志进⾏分析,发现与固化的通信模型不⼀致,及时产⽣告警。
图6 跨区通信规则配置
总结
⾯对复杂、分散、独⽴的事件⽇志,利⽤单设备、单事件源分析某⼀攻击⾏为很难保证分析的准确性。⼯业安全态势感知⼤数据平台,可对分析的源数据统⼀汇总、泛化,利⽤丰富的场景化分析模型准确、⾼效地定位⼯业控制⽹络的安全问题,同时利⽤⼤数据可视化技术和多种告警机制建⽴业务安
全监测与预警能⼒,保障⼯业⽣产的稳定性与安全性。
利器在⼿:⼯业安全态势感知平台之运维可视化
威努特简介
北京威努特技术有限公司(简称:威努特)成⽴于2014年,专注于⼯控安全领域,以⾃主研发的全系列⼯控安全产品为基础,为电⼒、轨道交通、⽯油⽯化、市政、烟草、智能制造、军⼯等国家重要⾏业⽤户提供全⽣命周期纵深防御解决⽅案和专业化的安全服务。凭借持续的研发创新能⼒和丰富的实战经验⼊选全球六家荣获国际⾃动化协会ISASecure认证企业之⼀和亚太地区唯⼀全球⽹络安全联盟(GCA)创始成员。
威努特秉承⾸创的⼯业⽹络“⽩环境” 技术理念,迄今为国内及“⼀带⼀路”沿线国家的2000多家客户实现了业务的安全合规运⾏,已成为最受客户信赖的⼯控安全领军企业。同时,作为中国⼯控安全国家队,积极推动产业集建设构建⽣态圈发展,牵头和参与⼯控安全领域国家、⾏业标准制定和重⼤活动⽹络安全保障⼯作,致⼒于为国家关键信息基础设施保驾护航。
威努特始终以“专注⼯控,捍卫安全”为使命,致⼒于为我国关键信息基础设施⽹络空间安全保驾护航!
稿件合作:shushu12121
