近年来,工业控制系统的网络安全时间频频发生,有些是因为黑客恶意攻击,有些是因为工作人员无意中引入病毒等恶意软件。安全事件发生后,除了要立即修复被破坏的主机或设备,还有一个重要的任务就是亡羊补牢,还原攻击路径、追溯攻击来源,避免该类事件再次发生。
攻击溯源和攻击路径还原一向都是难度很大的技术活,一般由安全专家来完成。安全专家需要收集大量的关联设备、网络设备的日志,从海量数据中查找攻击事件的蛛丝马迹,仔细分析其时序性和关联性,结合自己的安全专业知识进行分析。
为了解决这一问题,我们利用USM、SMA、IEG等形成解决方案,广泛手机网络和主机的各种日志和会话信息,融入安全专业知识,通过专利算法,帮助客户半自动化地完成攻击溯源和攻击路径还原的问题。
整体的网络部署:
USM部署在生产管理层对工业网络中的安全产品及安全事件进行集中管控的一体化产品。通过对生产控制网络中的边界隔离、网络监测、主机防护、入侵检测、运维管理等安全产品进行集中管理,实现安全策略的统一配置、运行状况的全面监控、安全事件的实时告警,同时可对工控主机上报的非可信文件进行特征匹配,实现病毒及恶意代码程序的识别,帮助工业企业用户掌握工控网络的安全现状,降低运维成本、提高安全事件响应效率。
IEG安装在每一台操作员站与工程站设备,可以通过截取系统调用实现对文件、目录、进程、注册表和服务的强制访问控制,结合文件和服务的完整性检测、防缓冲区溢出等功能,将普通操作系统透明提升为安全操作系统。
SMA是专门针对工业控制网络的信息安全审计平台,采用旁路模式部署,镜像分析网络中的所有流量和会话,把深度分析的结果发送给USM进行统一汇总分析,对工业生产过程“零风险”。
SMA开始工作后,将基于学习的网络模型判断是否出现网络异常,发现网络异常后将产生告警事件上报给USM。
IEG作为主机安全终端,监测主机的异常事件并产生告警事件上报给USM。
告警事件包括未知设备告警、非法外设告警、异常连接告警、异常流量告警等,各告警信息中包括告警时间、源 IP、目的 IP、异常信息等。USM将各告警信息按时间进行排序,以未知设备告警信息、外设告警信息中的目的资产 IP 作为攻击路径起点,构建多条攻击路径;根据各攻击路径及预设概率计算规则,计算各攻击路径的攻击概率;将攻击概率最大的攻击路径确定为最优攻击路径。
攻击路径还原的算法流程如下图所示:
在这个方案中,我们基于网络安全知识和概率统计算法,计算得出最优攻击路径,并结合主机的异常事件和告警,完成对整个攻击的还原,可以清晰查看到攻击的来源、去向和触发因素。这一套基于概率的算法,不仅可以对已经发生的攻击形成整体的分析认知,还可以通过概率推测可能发生的攻击,从而对可能受到攻击的资产及时进行安全防护,并对已经感染病毒的资产进行相应处理,彻底消除相关威胁。