绿盟科技针对工控系统网络可能发生的异常行为进行安全监测研究,深入解析不同行业工控系统使用的工控协议,利用基于白名单的业务行为基线和基于黑名单的入侵检测规则匹配,重点对工控系统监测审计与入侵检测技术进行了深入研究,提出了基于智能学习与业务感知的工控安全监测体系。
0x00概述
当前工控系统安全保障正面临五大挑战:一是安全失衡,即重发展、轻网络,重功能安全、轻信息安全;二是态势失察,即资产底数不清、安全态势不明、风险预警缺乏;三是诊断失据,即审查评估无标准、安全防护无指南、测试工具不成熟、诊断环境受限制;四是防护失效,由于工控系统的特殊性,导致大量现有的信息安全措施无法直接应用于工控安全防护工作中;五是力量失衡,由于我国工控安全研究力量分散,仍无专注于工控安全的先进的、权威的技术研究与支撑机构,以至于目前对工控安全的态势感知、有效防控、应急恢复、预测分析技术的保障能力还处于初级水平。基于以上安全现状,绿盟科技针对工控系统网络可能发生的异常行为进行安全监测研究,深入解析不同行业工控系统使用的工控协议,利用基于白名单的业务行为基线和基于黑名单的入侵检测规则匹配,重点对工控系统监测审计与入侵检测技术进行了深入研究,提出了基于智能学习与业务感知的工控安全监测体系。
0x01安全监测在工控安全保障策略中的重要性分析
图1 工控网络安全保障的七个策略
- 实现应用白名单(Application Whitelisting , AWL)。
- 确保合适的配置和补丁管理。
- 减少攻击面。
- 建立一个可防御的环境。
- 管理认证。
- 实现安全的远程访问。
- 监测和响应。
以上7个步骤涉及到了很多的安全产品,例如:
国内已经出现了多款主机白名单产品,解决了工控系统主机病毒感染、恶意脚本执行、操作系统内核漏洞隐患、应用程序缓冲区溢出攻击等问题,实现了主机保护。工控漏洞扫描系统可以对一些关键系统的安全配置进行评估和管理。使用工控IDS、工控防火墙产品在边界上对ICS进行防护。还有一些可信网关、安全审计等产品,可以用于实现以上的7个策略。
虽然这些策略可以防止90%多的攻击,但是还有剩下的一些攻击手段,需要持续性的监测。此外,对于一些严重程度较低的异常,有些安全管理员很可能会忽略这些警告,而这很可能是有敌手对工控系统进行APT攻击,如果将这些异常信息进行关联分析,从中发现潜在的安全隐患,不仅能够减少管理员的压力,同时还能更好地保护工控安全。
在第七个策略安全监测和响应中,尤其需要对位于现场控制层的控制设备以及位于过程监控层的工作站的通讯过程进行安全监控。由此,可将工控安全监测预警体系的创建分为三个步骤。
- 根据上文提到的7个策略,在工控各个节点添加适用于工控的安全设备,如在边界防护方面,布置工控防火墙、工控IDS等。对工控网络内部,使用工控安全监测审计系统、资产识别系统等。将这些底层的安全系统部署在工控环境中,就可以很大程度地提升工控系统的安全性。
- 众多的底层安全系统之上,监测审计和分析系统需要对各个底层设备产生的告警记录、日志进行汇总、精炼和关联分析,深入挖掘出这些记录之中隐藏的信息。对工控系统整体的安全态势有了了解。
- 对未来的安全态势做出预测,如果可能提供必要的安全措施建议,同时提供更友好的可视化技术。
经过分析我们发现,现在的工控网络安全监测预警方案的建立仍然处于第一阶段,我们需要根据工控安全需求和脆弱性,结合七个策略,制定适用于工控的安全产品,从各个威胁点上保护工控环境的安全。在众多工控安全系统中,工控系统的监测审计与入侵检测是搭建整个预警体系的关键所在。作为预警体系的探针,工控安全监测审计系统承载着数据收集和分析的要务。
适用于工控网络的安全监测与入侵检测系统,需要对工控系统网络内的异常行为进行实时的监测分析,快速执行已经准备好的响应方案。
可考虑在五个位置部署监控程序:
1) ICS边界对IP流量进行监测,正常和非正常的通信。
2) 在控制网络中的IP流量,恶意的连接或者内容。
3) 基于主机和网络的产品,监测恶意软件和攻击企图。
4) 登录分析(时间或者地点),监测被盗用的账号的使用或者不正确的访问,验证所有的异常现象,通过快速电话联系。
5) 监测用户的管理行动,检测访问控制操作。
0x02工控网络安全监测与入侵检测技术特性
- 基于机器自学习的业务行为基线
工业网络中设备众多、网络通信复杂,用户很难全面的掌握网络中所必须的业务通信需求,这会给安全设备的规则配置带来很大的困难。为了方便用户进行异常行为检测规则的配置,提高规则配置的准确性,减少规则配置的工作量,绿盟科技研究了基于机器自学习的业务行为基线技术,并应用到绿盟工控安全监测审计模块中。该功能采用被动检测的方式从网络中采集数据包,并进行数据包的解析,智能的与系统内置的协议特征、设备对象等进行匹配,生成可供参考的网络交互信息列表,通过对协议分布和流量信息的匹配,形成“工控场景行为基线”,帮助用户以最直观的方式了解和掌握网络中的业务通信状态,发现工控网络潜在的安全风险。
图2 工控网络基线资产关系图
通过基线自学习功能梳理工控现场资产拓扑,建立工控网络行为模型,对基线外异行为如组态变更、操控指令变更、负载变更、异常访问等告警,实现对工控现场安全事件的告警与响应,保障工业控制系统的安全稳定运行。
- 深度融合业务场景的异常行为检测
电力、石油、石化、轨道交通、烟草、煤炭、钢铁及先进制造等各个行业的工业控制系统千差万别,不同的工艺流程往往有着不尽相同的业务处理方式,针对不同行业工控网络的异常监测有着较强的特异性差异。绿盟科技深入不同行业的OT网络场景,融入针对不同行业的业务安全告警。如针对变电站场景,可对IEC 61850协议簇进行深度解析,对应到特定场景下的关键操作行为(遥控操作,改定值操作);针对其他行业场景,可设置通用行业场景,解析Modbus TCP、S7 Comm等常见协议规约。
同时,绿盟工控安全监测审计模块可对工控系统的配置文件进行解析,如变电站SCD文件等厂商相关配置文件的解析,将功能代码与具体业务操作进行关联,实现业务安全审计的功能。如可对工控协议报文进行检测和告警。可对运维人员下发的工控协议报文产生的非法操作进行检测和告警。可对资产新增、路径异常、未知协议、越权操作、关键控制等行为进行检测和告警。
- 工业控制系统行业场景网络拓扑
在部分工业控制系统环境中,由于系统使用者和系统管理者很有可能分属于两个部门,所以没有相关人员对工业控制系统进行过资产的梳理、拓扑的更新等操作,并且由于工控设备大多数部署在工控现场,可能位于不同机柜甚至位于不同的地区,在进行工业控制系统资产梳理和拓扑编制的过程中存在较多困难点。
针对此种情况,绿盟工控安全监测审计模块以资产管理为导向,预制了不同工业环境下的工业网络分层拓扑结构图,展示被监听的工业网络场景下的网络资产。
图3 工业控制网络行业场景拓扑图
- 工业网络协议深度解析
绿盟科技基于对工控环境的理解,针对工控环境使用的规约进行了相关的分析和研究,对于协议的内容进行了完全的解码,可以深入到指令级别的分析,对于从上位机指令下发控制端到下位机指令接受操控端的通讯过程进行全面细致的解析。如对Modbus Tcp协议,可以深入到功能码寄存器层面进行细致的监测审计(写多个寄存器、读保持寄存器等)。
图4 深入到功能码寄存器层面的工控协议深度解析
绿盟工控安全监测审计模块通过镜像方式对流量进行深入解码,分析其中的操作是否符合定义的操作要求,如发现其中有任何的违规操作,及时进行报警,由管理员来进行相关的处理。
- 基于规则库的攻击事件匹配与检测能力
- 工控入侵检测:绿盟工控入侵检测模块可以针对西门子、施耐德、ABB、AB等主流工业控制系统的控制器的漏洞利用过程进行有效检测,可以针对主流上位机WellinTech、Advantech、WINCC等漏洞利用的过程进行检测。支持PLC抗拒绝服务漏洞(CVE-2013-2784)、缓冲溢出漏洞(CVE-2014-0768)等典型工控漏洞的识别,并产生告警信息。
- 入侵检测和高级威胁检测:绿盟工控入侵检测模块具备CVE-Compatible兼容性认证特征库,可对网络病毒、蠕虫、间谍软件、木马后门、扫描探测、暴力破解等恶意流量的检测和阻断,支持特征用户自定义。
- 快速威胁响应:作为微软MAPP成员,绿盟科技可在24小时内快速发布入侵检测规则,并第一时间分发到用户设备中,实现快速威胁响应。
0x03工控网络安全监测与入侵检测行业应用
- 智能变电站监控系统安全监测审计
绿盟工控安全监测审计模块可旁路部署在智能变电站的站控层、间隔层、过程层的交换机上,对三层两网进行工控网络的流量监控和安全审计。
- 调度数据网边界安全监测审计
如图所示,可将绿盟工控安全监测审计模块和工控入侵检测模块部署在调度数据网边界的实时交换机和非实时交换机上,对加密前和解密后的数据报文进行深度解析,识别104协议和其他流经调度数据网和生产控制大区边界的网络协议,并进行数据报文的分析,进行实时的流量监控和安全审计。
调度数据网边界安全监测审计与入侵检测
0x04工控网络安全监测与入侵检测价值体现
- 针对不同行业的工控网络场景建立融合业务的安全行为基线,形成工控网络数据流量的健康性监控。
- 及时发现生产系统中潜在的攻击行为并产生实时的告警事件。
- 快速定位异常位置,协助相关人员快速解决故障及事件。
- 指导安全工作和决策。
- 满足工信部指南、能源局36号文、发改委14号令、工控等保等合规性要求。