工业安全态势感知平台之场景化威胁分析
场景化威胁分析的重要性
伴随着两化融合的快速发展,我国关键基础设施和能源行业广泛使用的SCADA、DCS、PLC等工业控制系统,越来越多地采用计算机和网络技术,如Ethernet、TCP/IP以及OPC等,极大地推动了工业生产的同时也使工业控制系统接口越来越开放,从而导致控制系统面临的信息安全问题日益严重。随着网络安全对抗技术的不断发展,网络攻击的手段越来越专业化、多样化、自动化,而基于传统被动防御模型下的安全实践很难有效检测并发现分散在不同安全设备上的真实攻击。攻击者使用大量混淆攻击方法,使安全设备产生海量攻击告警,让真正的攻击淹没在告警事件中,从而绕过安全检测设备实施攻击,给攻击检测和溯源带来了一定的挑战。
因此,在安全分析模型中一定要基于攻击场景分析安全事件,对一次完整会话的所有告警事件进行归类、推演,采用基于上下文回溯的方式对攻击场景进行还原,剔除干扰告警,还原攻击链条,根据事件影响评估模型对事件进行定性,发现网络中隐藏的真正威胁。
工业场景下面临的主要威胁
通常,企业更关注于管理网络的安全问题,很多企业对控制系统安全存在认识上的误区:认为控制系统没有直接连接互联网、黑客不了解控制系统,因此控制系统是安全的。而实际情况是,企业的很多控制网络都是“敞开的”,系统之间未进行有效隔离,同时黑客和病毒的入侵途径多种多样,尽管企业网内部安装了网络安全防护产品,进行了各类网络安全技术防护,但工厂信息网络、移动存储介质、因特网以及其它因素导致的信息安全问题正逐渐向控制系统扩散,直接影响了工厂生产控制系统的稳定性与安全性。近年来,国内外很多企业的DCS控制系统已经出现中病毒或遭黑客攻击的现象,给安全生产带来了极大隐患。
工控网络主要面临的威胁场景有非法外设的接入、非授权访问、非法外联、挖矿、勒索、C&C攻击、恶意文件、异常登录操作行为、异常程序行为、网络接入异常、跨区通信等。
威努特工业安全态势感知平台
场景化威胁分析能力
威努特工业安全态势感知平台不仅是一个大数据安全分析平台,同时还是一个知识平台,公司多年来深耕工控安全行业,聚焦电力、石油、石化、轨道交通、制造、烟草、市政等工控行业的安全建设,积累了大量工控安全场景的威胁分析模型及处置经验,将特定的算法转化为工业安全态势感知平台知识库,以下重点介绍平台对工控环境下的场景威胁分析能力。
异常资产分析
通过起始时间段、数据来源进行动态学习,根据不同规则制定多条安全基线,但同一时间内只能有一条安全基线生效。通过数据的实时分析,偏离安全基线将产生非法接入资产告警。
图1 违反业务基线告警
异常工艺行为分析
通过对工业协议的深度解析,基于五元组、工业协议、指令、寄存器值域等建立指定时间段的工艺行为基线,对偏离安全基线的行为及时告警。
异常网络行为分析
通过资产会话的源地址、目的地址、目的端口、协议号、应用协议等进行建模分析,在指定时间段内分析出网络行为基线。通过对数据的实时分析,及时对网络异常行为告警。
图2 异常网络行为分析
异常程序行为
收集终端应用程序信息,当程序出现异常资源调用、关键程序配置文件内容变更、关键程序物理位置变化等情况时,及时告警。
图3 关键程序文件变更
非法外设接入
通过收集终端外设接入信息,对外设接入设备、接入设备指纹、拷贝文件的类型等信息建立基准,出现异常及时告警。
非授权访问
平台通过收集网络访问日志、终端日志,结合业务资产基线和网络行为基线,发现非授权程序调用、非授权业务请求、非授权违规操作等,并及时产生告警。
非法外联
平台通过对终端行为日志和网络日志分析,发现工控业务内网主机访问互联网业务的行为,及时告警。
挖矿场景
工业安全态势感知平台通过结合威胁情报数据和流量特征,发现内网失陷主机行为,其类型不限于挖矿病毒、勒索病毒、隐蔽通道、C&C外联等。
图4 C&C外联事件告警
恶意文件分析
工业安全态势感知平台对前端流量探针还原的文件进行病毒检测,其类型不限于.exe、.xml、.xlsx、.doc、.ini、.sh、.jsp、.php等文件,结合文件轨迹,发现可能感染病毒的所有主机并及时告警。
异常登录操作行为
工业安全态势感知平台通过收集终端登录行为日志,结合用户行为基线,发现暴力破解、用户账号\设备的异常行为。
图5 暴力破解事件告警
跨区通信
工业安全态势感知平台用户可通过自定义方式灵活定义跨区通信基线,对网络访问行为日志进行分析,发现与固化的通信模型不一致,及时产生告警。
图6 跨区通信规则配置
总结
面对复杂、分散、独立的事件日志,利用单设备、单事件源分析某一攻击行为很难保证分析的准确性。工业安全态势感知大数据平台,可对分析的源数据统一汇总、泛化,利用丰富的场景化分析模型准确、高效地定位工业控制网络的安全问题,同时利用大数据可视化技术和多种告警机制建立业务安全监测与预警能力,保障工业生产的稳定性与安全性。
