我的位置:

工控安全十大核心技术概览

作者:「匡安网络」

发表于:May 09, 2020

浏览:

      工控安全的核心在于保证工业控制系统的稳定运行和应用数据安全,目前工控系统的安全防护措施,主要基于等级保护2.0、工控安全防护指南要求出发,构建区域化、网格化的边界防护,建立安全可信的上位机控制白环境,建立监测预警和人员监管机制,通过基于策略的边界安全防护,基于流量的实时监测,广泛应用智能AI关联分析,挖掘隐藏在深处的工控现场威胁,构建分层、分域、分层次的纵深安全防护体系。
      经过调研总结,这里就
工控安全十大核心技术作简要介绍:

1.工控安全白名单技术

      工控安全白名单技术专门针对工业控制系统的环境特点研发而成,依据程序特征建立操作系统运行的安全白环境,并且禁止非授信程序运行,解决了操作系统因无法升级补丁带来的安全问题,保证了系统的稳定运行;并且工控安全白名单区别于传统的杀毒软件,不依赖于特征库,不用频繁升级,完美适配工控环境;除了限制未授权程序执行外,还具备监控注册表、侦测网络非法外联、限制移动存储介质非法接入等功能。


2.基于工控协议的深度报解析技术

      目前广泛应用的工控协议大多不具备信息安全功能,攻击者很容易利用这些协议漏洞对工控系统进行网络攻击,因此有必要对工控系统控制单元的通信数据进行深度分析和过滤防护,阻断不符合协议标准结构以及不符合业务要求的数据内容。

      通过对工业通信协议的深度解析,阻止控制指令中的不合规的控制参数。工业通信解析技术不仅对二层三层网络协议进行解析,更能进一步解析到工控网络包的应用层,对工控协议进行深度分析,防止应用层协议被篡改或破坏。


3.工业网络流量安全检测技术

      针对于工业生产网络中的过程流量进行解析、检测,先恶意代码、病毒、攻击行为等。一般网络中出现攻击的时候,网络连接、网络流量都会发生不正常的变化,利用开启检测之前建立的攻击模型可以检测出这些异常现象。工业网络流量检测技术实时监视网络上的数据流信息,分析网络通讯数据,通过海量的规则对网络攻击行为和其它违规网络活动进行精准匹配,从而达到发现攻击及时预警的目的。


4.动态端口防护技术

      工控网络中一些协议或服务采取动态端口形式出现,例如OPC的基础协议DCOM协议使用动态端口机制,在真正建立数据连接之前通讯双方还需要协商需要使用的端口。还有常见FTP、Oracle等都会涉及动态端口。

动态端口防护技术可以深度解析协议到指令级别,可以跟踪服务器和客户端之间协商的动态端口,最小化开放生产控制网的端口。端口动态开启,连接结束后自动关闭,保证运行安全。


5.网络隔离技术

      网络隔离技术的目标是确保隔离有害的攻击,在可信网络之外和保证可信网络内部信息不外泄的前提下,完成网间数据的安全交换。网络隔离技术是在原有安全技术的基础上发展起来的,它通过隔离单元摆渡、单向传输等实现网络的数据安全交换,隔离网络攻击。采用物理隔离方式,不建立网络连接,即可实现数据的可靠传输。既隔离了网络,又可进行数据的交换,满足企业的需求。


6.通信数据加密技术

      工业控制系统最初的设计是个完全封闭的环境,各企业都开发出了自己的私有协议,导致目前工控协议众多,并且随着工控环境开放性的提升以及协议逆向技术的发展,工控协议在设计之初只追求可用性未过多的考虑安全性,协议未进行加密处理,私有协议逐渐变成无安全保护机制、极易受到攻击的公有协议,在传输过程中极易被别有用心的人窃听或篡改,给工业生产带来极大的安全隐患;为了弥补工控协议设计上的缺陷,可将工控协议的传输进行加密处理。

通过密码算法及芯片,对关键通信数据和链路建立加密通信数据通道。增强的工控协议的认证和加密传输功能使攻击者无法进行伪装,无法篡改传输指令,无需改变底层传输协议,即可实现系统的传输安全。用于保护端到端通信的认证安全,保护数据的完整性和保密性。


7.ICS/OT工业蜜罐主动防御技术

      蜜罐作为一种主动防御技术,对系统中所有的操作和行为进行监视和记录,通过对系统进行伪装,使得攻击者在进入到蜜罐系统后并不会知晓其行为已经处于系统的监视中。

蜜罐优点:

1)使用简单  

2)资源占用少  

3)数据价值高。

蜜罐缺点:

1)数据收集面狭窄:如果没有人攻击蜜罐,就会变得毫无用处。

2)给使用者带来风险:可能为用户的网络环境带来风险。当前工业蜜罐的价值已被业界认可,特别对于应对未知威胁(如0-day攻击)可能更有价值。工业蜜罐结合ICS系统高可用性、可靠性的特点,立足于对ICS网络、流量以及实时性的无损影响,克服在OT场景下无法安装安全代理或安全探针的问题,有助于捕捉并分析OT侧的网络威胁。无疑,ICS蜜罐业已成为工业安全领域的卓有成效的产品。构建高交互、高仿真、高性能、高价值的蜜罐甚至蜜网,仍然存在不小的挑战。


8.ICS/OT恶意代码沙箱技术

     专门针对ICS恶意软件而设计的沙箱,可用于未知的ICS恶意软件(零日恶意软件)。通过了解ICS协议,设备和应用程序,在云端创建了一个虚拟ICS环境(基于云的沙箱),用于执行可疑ICS恶意软件并观察其行为。通过虚拟化完整的OT环境,ICS恶意软件沙箱可以快速自动识别ICS专用恶意软件,精确定位其IOC,并在全球ICS社区中实现威胁情报共享。

使用多种技术将可疑文件获取到ICS恶意软件沙箱进行分析。首先,可以将可疑文件直接通过电子邮件发送到ICS恶意软件沙盒;或者,可以使用API将隔离的和/或可疑文件从其针对OT网络的终端自动发送到ICS恶意软件沙盒。在ICS恶意软件沙盒环境中,威胁会被执行并提取情报。恶意软件在其中执行的模拟ICS环境包括所有必不可少的运行组件,例如ICS专用的库,服务,连接的PLC,注册表项,dLL等。

然后,它会在执行过程中(在沙箱中将其激活时)对恶意软件进行检测,以全面分析其行为并记录其创建的IOC。ICS恶意软件沙箱可以高效地发现ICS特定的恶意软件,并可以模拟往返于PLC的流量类型,例如,作为其蜜罐功能。这样一来,恶意软件就可以在安全的空间中执行,同时可以解压和发现其功能并将其与其他已知或未知变体进行匹配。恶意软件沙盒包含ICS软件,虚拟的ICS流程和文件以及ICS网络。


09.监测分析预警技术

      在工业控制网络中,某些情况下无法获知网络流量内的数据走向和传输的工控协议,以及协议的详细内容;同时为了安全生产的目的,在特定场景下无法直接部署安全防护设备,但又需要对工业控制系统的安全状态进行监控,实时掌握工控系统面临的风险。

工控监测分析预警技术通过接入底层工控网络的流量数据进行深度分析,对工控协议的内容进行解析,能够实时发现工业网络中的异常行为和对重要工业控制系统的攻击事件,并且能够产生告警,便于事后的调查取证,同时也可为安全防护策略的配置提供参考依据。


10.机器学习建模技术

      随着人工智能和大数据的兴起,工业网络的数据挖掘也越来越受重视。工业网络的数据之大,对数据挖掘技术来讲是一座宝库。除了依据协议来人工定义入侵模式,我们还可以通过数据挖掘技术来发现潜在的模式。

由于机器学习技术对数据处理的能力,我们可以获取更实时,更复杂的学习数据。

通过机器学习对数据的处理能力,实时监测潜在威胁模式,实时更新模型。



转载声明
本文转载自大路咨询
转载仅为传播更多行业资讯,如有侵权请联系删除