工業安全態勢感知三部曲之安全數據采集與分析
1 工業安全態勢感知平臺
數據采集與分析
工業安全態勢感知平臺利用大數據、機器學習、人工智能等技術對網絡的安全狀況進行深度感知,其感知能力主要集中在對網絡、設備、主機、應用的數據收集、泛化,對采集的數據進行統計、分析、預測。工業安全態勢感知平臺通過對采集的數據集中處理,實現以下價值:
- 解決信息孤島問題,從整體視角分析威脅;
- 解決海量無效、重復、低等級告警帶來的分析障礙和安全運維效率低下問題;
- 解決安全事件日志類型及級別不統一,安全分析可用性差的問題;
- 解決安全分析碎片化問題,發現隱藏的攻擊行為,提高了安全分析的準確度;
- 解決威脅事件定量和定性分析難的問題;
- 解決缺少本地威脅情報帶來的無法本地溯源問題;
- 解決原設備日志誤報,提高了威脅分析的準確率。
2 從傳統IT態勢感知轉向OT態勢感知
面臨的挑戰
隨著工業互聯網安全市場需求的不斷發酵,越來越多的傳統IT安全廠家紛紛投入工控安全領域,在沒有對工控網絡中的資產、流量、控制系統、協議、工程師站、服務器和業務屬性深入研究的前提下,直接將IT網絡的態勢感知產品搬到工業控制網絡中,實際對業務產生的價值并不高,缺乏工控特色,對建設一體化工業安全運營中心不能起到指導作用。造成這種現象原因不外乎有兩種:一是工業控制網絡的特殊性,導致其數據采集難度大。二是工業控制網絡的工藝屬性決定了安全分析模型,導致IT網絡的安全模型在工業控制網絡中水土不服,其分析能力大打折扣。
數據采集難度大
工業控制網絡里面數據采集面臨的問題有以下幾個難點:
- 工業控制網絡協議與IT協議不同,而且其私有協議屢見不鮮;
- 工業控制網絡業務廠商關系復雜,流量鏡像往往受阻;
- 受工業控制系統穩定性約束,其操作系統和各種應用軟件版本較老,導致主機數據采集難度較大;
- 工業控制設備與傳統IT設備其工作模式和業務屬性不同,傳統資產運行狀態采集的技術難以應用到工業環境中,對工控設備的電源狀態、溫度等工業電氣指標數據采集缺失。
安全分析模型和思路的轉變
大部分傳統安全態勢感知主要針對IT信息網絡,其分析模型主要針對互聯網外部攻擊的釣魚網站、Web入侵、DDoS、垃圾郵件、惡意網站等,而工業控制網絡現階段開放在互聯網的環境相對較少,其主要的風險主要是來自于內網、終端層面,因此其分析模型要建立在生產工藝流程基礎之上,結合網絡流量、安全設備、主機及業務應用構建安全分析模型,才能感知網絡威脅,實現通報預警,聯防聯控。
3威努特工業安全態勢感知
數據采集與分析能力
數據采集種類
威努特深耕工控行業多年,對于各種工業控制網絡如電力、能源、軌交、石油石化、市政等關鍵信息基礎設施領域有深刻的理解,同時對網絡中的各種主流工控協議、私有工控協議,以及各種工業控制設備的內容積累頗多,能夠對網絡中的流量、安全事件日志、主機日志、業務應用日志深度采集,具備完整的流量+終端+業務應用+安全的全套數據采集能力。
網絡流量采集
網絡流量的采集與分析利用工業安全態勢感知流量探針產品,對工業控制協議(如Modbus TCP、 OPC、Siemens S7、DNP3、IEC104、Ethernet/IP、MMS、PROFINET和FINS等)的通信報文進行深度解析(DPI,Deep Packet Inspection)和文件還原,除了網絡中攻擊發現外,還可以從網絡流量中還原出文件(HTTP、SMTP、POP3、IMAP、FTP、SMB等協議)并通過多病毒檢測引擎有效識別出病毒、木馬等已知威脅;通過基因圖譜檢測技術檢測惡意代碼變種;還可以通過沙箱(Sandbox)行為檢測技術發現未知威脅;對抽取的網絡流量元數據,進行情報檢測、異常檢測、流量基因檢測,最后將所有安全信息關聯分析,輸出檢測結果上報工業安全態勢感知平臺。
告警日志數據采集
(1)安全設備日志采集
威努特工業安全態勢感知平臺日志采集能力覆蓋公司所有安全產品,支持各類信息的采集,同時支持市面上主流廠家安全設備的日志收集。其采集接口包括syslog、SNMP trap、NetFlow、FTP、SFTP、SCP、JDBC、文件等格式。
(2)業務系統告警日志采集
對于沒有日志外發接口或無法部署主機探針的業務系統,通過拷貝日志文件,解析并泛化處理,比如WinCC的日志文件。
主機數據采集
主機數據采集利用主機衛士產品,對操作員站、工程師站、數據服務器等工業現場主機,采集用戶操作日志、移動存儲日志、訪問控制日志、應用程序執行日志、外設日志、訪問關系日志、安全基線日志、非法外聯日志、執行樣本文件等。
威努特主機衛士對工程師站或業務服務器能夠采集以下日志信息:
圖 1 工程師站日志采集
工業控制網絡中受穩定性約束,很多主機操作系統較老,導致主機日志采集難度大,威努特主機衛士為解決這一難題適配了Windows Server:2003 SP2、2008、2008 R2、2012、2012 R2、2016 2000、Windows XP、Windows Vista、Windows 7、Windows 8、Windows 10、Linux Redhat、CentOS、麒麟、凝思等100余個版本的操作系統。
業務應用數據采集
威努特工業安全態勢感知平臺通過采集業務流量、主機和服務器的日志、工業控制設備\系統(PLC、RTU、WinCC等)日志,提取工程文件下載\變更日志、指令時序和周期日志、業務操作頻次日志、關鍵動作日志、重要配置變更日志、控制設備的狀態和告警日志、實時數據庫操作日志、組態軟件日志等,通過平臺泛化處理,按照一定的分析模型建立知識庫,為場景分析提供數據支撐。
專為工控網絡量身打造的3+1分析模型
面向“互聯網”為核心的傳統安全分析模型,由于工業網絡環境、特點與傳統的區別,很難直接復用,因此,工業態勢感知平臺需要以“工業控制”為核心感知業務,結合安全分析模型發現攻擊行為。威努特工業安全態勢感知采用流量、安全事件日志、終端行為、業務四個視角,打造“3+1”安全分析模型,實現對威脅的感知、分析、告警、處置一體化的安全分析平臺。
傳統IT態勢感知產品關心從安全業務的角度開展分析展示工作,而工業態勢感知平臺還要在網絡流量、主機行為以及工業控制系統和設備上獲取業務運行狀態和告警信息,把兩方面的信息綜合關聯分析,支撐網絡安全事件對生產業務影響分析和生產安全事件溯源歸因分析。
圖 2 安全分析模型
基于流量的安全分析
(1)通過對工控協議深度解析,提取指令特征,發現非法操作指令;
(2)基于基因圖譜技術,融合網絡拓撲、資產信息、漏洞庫、攻擊模型等知識,構建完整的網絡安全圖譜,對整網的安全態勢進行完整的量化評估,并進行攻擊擴散預警;
(3)通過對工業控制網絡中的流量解析,發現網絡中的惡意軟件、木馬和病毒等可執行程序;
(4)通過對網絡中資產的訪問關系,構建業務正常通信模型,發現異常行為;
(5)通過對網絡流量流速和大小分析,發現網絡中的異常資產或業務應用;
(6)通過對網絡質量分析,發現異常資產,輔助運維優化業務。
安全事件日志分析
采用“殺傷鏈”安全分析方法,對安全設備告警日志和非安全設備日志深度關聯分析,通過上下文關聯實現業務會話重放,按照攻擊階段對事件進行還原,從掃描探測、滲透入侵、下載植入、橫向擴散、命令控制、攻擊生效等維度對工控場景下特有的攻擊場景分析,生成關聯分析結果產生告警,并實現攻擊態勢的可視化。
圖 3 網絡攻擊態勢
- 終端行為安全分析
通過采集終端行為數據,發現基線配置風險和異常操作行為,安全威脅分析包括終端的異常登錄、口令暴力破解、程序非正常時間段的啟動、違規外聯、違規內聯、終端惡意掃描、非業務流程內資產的訪問、惡意樣本的傳播行為、U盤高風險拷貝行為、敏感數據外泄行為、內網透傳(主機外接wifi熱點)、主機失陷行為和非法程序調用等。
圖 4 非法程序調用
圖 5 非法登錄
業務安全分析
通過采集網絡流量信息,結合組態狀態日志,發現網絡中的僵尸系統、業務僵死現象、異常指令參數、狀態異常的組態系統以及通信控制指令的延遲、抖動,結合安全事件分析結果,精確定位業務故障產生的原因,幫助IT人員實現輕松運維,事件回溯和安全運營。
4 總 結
威努特工業安全態勢感知分析平臺主要通過采集安全設備日志、網絡流量、主機服務器日志、各種工業控制設備、系統(PLC、RTU、WinCC)日志,結合自身“場景化”安全分析模型發現工業控制網絡中的挖礦病毒、勒索病毒、違規外聯/內聯行為、指令異常、異常軟件調用等潛在風險,達到網絡安全事件的影響分析和生產安全事件歸因分析,同時也節省了安全分析的時間,提高了分析的效率和準確度。讓客戶對安全風險從說不明、看不清,提升到安全能力及威脅的可視化,為業務安全運維提供決策依據。
