工業控制網絡主要安全風險

工業控制網絡發展至今,已經經歷了由通過內部總線進行通信的單一的工業控制設備向基于普渡模型的工業控制系統過渡,將不同層之間及每層區域之間通過工業以太網或工業總線網絡連接起來。但隨著信息技術的發展,越來越多的企業開始進行數字化、智能化轉型,以網絡為基礎將新一代信息通信技術與工業經濟深度融合,構建起工業互聯網網絡體系。

雖然工業互聯網將工業控制系統的信息和物理系統之間通過互聯網、物聯網等方式建立了網絡連接,但它們之間通信目的仍然是數據感知和操作控制,故仍存在部分安全風險,具體包括:

  • 來自互聯網的安全威脅

生產網與信息網打通后,工業控制系統設備有可能受到來自互聯網的非法訪問及遠程控制,同時信息網中常見的攻擊及病毒文件也可能通過網絡傳輸至生產網,影響業務系統正常運行。

  • 業務鏈路不清晰,流量不明確

由于之前生產網與信息網各自獨立,運維人員不了解生產網絡的業務系統,不清楚網絡中是否還跑著其它不相關的工業協議及實際的業務狀態,一旦有突發情況或者長時間有與正常業務不相關的異常數據,管理人員難以察覺,不清楚狀況。

圖1 業務鏈路不清晰

  • 業務故障難以判定

雙網聯通后可能出現業務出現卡頓、無法訪問等問題,難以通過流量統計的角度進行判斷是網絡問題還是業務系統問題,故障出現可能無明顯規律,無法復現故障,事后蹲守成本巨大。

圖2 業務故障難判定

  • 安全事件無法回溯

出現安全事件時,傳統安全日志僅包含源目的ip、協議類型、安全事件類型等字段,難以針對該安全事件進行復現,雖檢測出安全事件,卻無法對攻擊進行有效修補措施,有被重復攻擊的可能。

圖3 安全事件可能再次發生

下一代工控安全監測審計概念

針對上述安全風險,傳統工業審計類產品普遍通過工業協議深度解析、針對IP和協議的統計分析、工業協議白名單、安全事件告警等功能,聚焦于單次攻擊或單臺受攻擊設備,僅在受攻擊后對當前網絡狀態進行安全分析,展示具體攻擊信息及設備當前風險,只能滿足部分基礎安全需求。

針對整體鏈路的流量情況不明確、業務故障難定位等安全風險,需要有具有更強的回溯能力且能對流量做更細粒度解析的設備,適應生產網與信息網融合的趨勢,能夠應對從原有生產網內固定不變的交互行為向隨時都有可能產生通信的網絡環境的轉變,同時需要能夠對互聯網中產生的新型未知威脅進行檢測,將安全與網絡結合分析,呈現當前網絡鏈路質量及安全態勢。

基于上述功能要求,威努特在原有工控審計產品的基礎上增強了協議分析能力及流量采集功能,推出了下一代工控安全監測與審計系統,通過記錄流量日志,實現流量和異常可追溯,對網絡環境進行全方位安全監測。在網絡關鍵位置旁路部署,監測系統流量,基于高性能服務器進行數據采集,通過高性能操作系統施展多核多線程CPU、內存、IO、存儲等硬件資源進行并行計算、數據入庫、收包存包、DPI/DFI解碼還原、數據統計、特征匹配、協議解碼和元數據建模等多種方式的數據處理,實現實時數據和歷史數據進行可視化分析、回溯分析、異常分析。

圖4 威努特下一代工控安全監測與審計系統

下一代工控安全監測審計系統特色功能

網絡狀態全可視

針對設備側收到的數據包,也可基于IP、端口、工業協議、傳統協議等相關字段數據,生成結構化的會話連接表及網絡全景圖,一目了然呈現當前網絡中的所有工業設備訪問關系、會話狀態、業務通信關系等信息,將網絡情況可視化,掌握會話情況和變化趨勢,最細粒度監控當前工業網絡信息和對當前流量進行閉環全流程分析。

圖5 訪問關系清晰可視

圖6 鏈路整體數據包統計

應用協議全分析

下一代工控安全監測與審計系統搭載了威努特自主研發的深度數據包解析引擎,深度數據包解析引擎支持涵蓋OPC、Modbus TCP、SiemensS7、DNP3、IEC104、Ethernet/IP(CIP)等多種工控網絡協議,可對工控協議做指令級檢測與審計,對各類數據包進行快速有針對性的捕獲與深度解析。在遵循工業控制系統可用性與完整性的基礎上,能夠檢測出數據包的有效內容特征、負載和可用匹配信息,如惡意軟件、具體數據和應用程序類型。

針對傳統應用協議,下一代工控安全監測與審計系統可基于DPI特征庫和DFI流量模型進行協議和應用識別、應用行為審計。在收包時,對所有的流量全量進行DPI/DFI識別和應用行為審計,可以識別2000多種預定義協議和應用,500種自定義應用,對識別數據在經過統計計算入庫,從而實現了對采集鏈路的全量流量實時應用識別、多維護統計。

圖7 協議識別工作流程

圖8 網絡整體應用統計

異常流量全感知

下一代工控安全監測審計融合十余種安全能力檢測,支持基于工控協議通信記錄,智能學習通信關系、操作功能碼和參數等方面對正常通信行為建模,實現違規行為監測審計,并可對工控系統的工程師站組態變更、操控指令變更、PLC下裝、所有寫操作、負載變更等關鍵事件進行實時監控,對異常關鍵事件進行檢測。

設備還支持對異常包攻擊的檢測、基于接口的端口掃描防護和IP掃描防護、各類 flood攻擊防護、弱密碼防護和防暴力檢測。同時通過IPS、病毒防護以及威脅情報等分析引擎,快速發現網絡攻擊、蠕蟲、木馬、異常連接、敏感數據外發、違規操作等危害網絡安全的異常行為,準確獲取攻擊痕跡與證據,將當前網絡整體安全狀態進行集中呈現。

圖9 安全狀態統計

流量報文全回溯

下一代工控安全監測與審計系統在進行采集和數據處理時,會將數據包、原始會話日志數據通過多個維度進行分類匯總、聚合成多個數據表,入庫到回溯數據庫中。在進行回溯分析時,對物理地址、IP地址、應用、網段、地區、物理/IP/TCP/UDP會話等多個數據表進行展示。并且可以對數據進行2-3級鉆取,查看數據流量和協議詳細統計指標,下載數據包進行web解碼。對指定歷史時間段的數據也可進行多級多層可視化報表呈現、實現快速定位檢索,以便快速取證、分析問題。

圖10 流量報文全回溯

業務故障全定位

當業務出現問題時,下一代工控安全監測與審計系統支持基于五元組+特征值的全局線索回查能力,以及多種字段組合篩選的高級檢索能力,為工業互聯網聚焦海量數據間檢索與查詢,在設備上提供類似Wireshark抓包軟件功能,進行初步篩選與分析,具備協議通信時序圖分析、流追蹤等功能,可提升報文排查效率。

圖11軟件界面解包分析

圖12 通信時序圖分析

設備同時支持通過單一協議/應用/IP會話/TCP會話/UDP會話的分段故障分析,快速發現故障所在鏈路段,縮小排障范圍;也支持多段鏈路對比分析網絡通信指標,丟包率/重傳率/重置包數/握手RTT/時延等關鍵排障指標,通過對比多個鏡像點流量情況,找出問題點,完成故障定位。

審計
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接