一、认识工控安全监测审计系统
1、概述
工控安全监测审计系统是针对工业控制网络设计的信息安全系统。通过对工控网络流量进行实时采集和分析,并结合特定的安全策略,监测审计系统可快速识别网络中的异常行为、攻击行为,并实时告警;同时记录所有网络通信行为,为工业控制系统的安全事故调查提供坚实的基础。
2、系统架构
工控安全监测审计系统由监测审计引擎和监测审计平台组成,一个监测审计平台可以管理多台监测审计引擎。
1)工控安全监测审计引擎
工控安全监测审计引擎通过旁路部署在交换机侧,实时监听系统内数据。对协议进行识别、解析、策略匹配,并向工控安全监测审计平台推送解析后的流量数据。
工控安全监测审计平台对监测审计引擎的数据进行记录、分析、展现,并根据工控安全监测审计引擎推送的数据绘制网络拓扑。监测审计平台可以针对不同的监测审计引擎定义不同的策略。
2)工控安全监测审计平台
工控安全监测审计平台由应用服务、WEB服务和前端页面组成,负责管理多个工控安全监测审计引擎。
应用服务对各审计引擎的数据进行汇总分析,进而生成统计报表和拓扑数据;WEB服务提供审计、报警、拓扑、策略、协议、设备等数据的访问接口,便于前端页面的数据展示和操作;前端页面从WEB服务获取各类数据进行展示,同时提供必要的操作入口方便用户对数据进行操作和修改。
3、典型部署
工控安全监测审计系统采用旁路部署方式,深度解析交换机镜像端口流量,识别工控网络异常通信;系统采用无IP设计,对工控系统网络“零扰动”。如下图:
二、了解工控安全监测审计系统的工作原理
1、数据处理流程引擎数据处理流程
2、主要功能原理
1)服务基线
服务基线的含义:
-
服务基线是指一个通讯会话中的服务端和客户端之间的双向通讯报文;
-
服务基线的属性:服务端和客户端的IP地址、MAC地址、及他们之间的通讯协议、报文频度(间隔时间)。
服务基线的告警:
-
一条报文中的服务端和客户端的IP地址、MAC地址、及他们之间的通讯协议,若不在服务基线中,则视作违反服务基线,触发违反服务基线的告警。
a.告警信息:类型为“白名单告警”,子类型为“异常链路”,级别为“中级”,告警描述为“异常通信链路”;
b.告警触发机制:只要报文违反服务基线,就触发告警。
-
引擎每10秒(时间可配置),计算一次链路中最后一条报文和上一条报文的时间差,如果超过服务基线中设定的报文频度,则触发该链路的链路中断告警。
a.告警信息:类型为“黑名单告警”,子类型为“链路中断”,级别为“低级”,告警描述为“链路通信中断”;
b.告警触发机制:满足链路中断告警条件触发一次;当且仅当该链路又恢复后,才能再次触发链路中断告警。
2)流量基线
流量基线的含义:
-
流量基线指的是正常通讯情况下该正常链路流量(链路流量是一个通讯会话中服务端和客户端之间的通讯流量)的一个阈值。
-
流量基线的属性:服务端和客户端的IP地址、MAC地址、及他们之间的通讯协议、流量阈值(bps或pps)组成。
流量基线的告警:
-
引擎每10秒(时间可配置)计算出一个服务端与客户端的流量值(bps和pps),与流量基线中的正常流量阈值相比较,如果超出该判断值(阈值+阈值*死区),且持续时间超过设定时间,则触发该链路的违反流量基线的告警。
a.告警信息:类型为“白名单告警”,子类型为“异常流量”,级别为“中级”,告警描述为“异常通信流量”;
b.告警触发机制:该链路的违反流量基线的告警触发后,当且仅当该链路流量恢复到阈值以下后,才能再次触发违反流量基线的告警。
3)业务基线
业务基线的含义:
-
针对协议字段制定的规则和策略
业务基线的告警:
-
协议字段值和定义的策略中的规则设置的字段值不符合,则视作违反业务基线,触发业务基线的告警。
a.告警信息:类型为“白名单告警”,子类型为“异常报文”,级别为“低级”,告警描述为“未授权的通讯数据”。
b.告警触发机制;级别低于服务基线和流量基线、入侵监测、关键事件,当满足服务基线和流量基线、入侵监测、关键事件的条件时会优先触发这些告警而不会触发业务基线告警。
4)入侵监测
入侵监测的含义:
-
系统内置强大的风险漏洞库。通过特征匹配来进行识别漏洞风险并进行告警。
入侵监测的告警:
-
报文特征匹配上漏洞库特征后,即产生相对于的告警。
a.告警信息:类型为“关键事件告警”,子类型为该告警特征库中的类型信息,级别为该告警特征库对应的级别,告警描述为该告警的规则名称信息。
b.告警触发机制:匹配上漏洞特征库,即产生告警。
5)工控关键事件
工控关键事件的含义:
-
系统内置100+工控关键协议组态变更、异常操控指令、程序下装等关键事件规则,协议规则覆盖MODBUS、MMS、DNP、OPCUA、OPCDA、S7COMM、S7COMM-PLUS、CIP、IEC104、HART_IP、PN_MPR、PN_DCP等工业控制协议。
工控关键事件的告警:
-
协议字段值匹配上规则库中对应字段的值后,即产生相应的告警。
a.告警信息:类型为“黑名单告警”,子类型为该告警特征库中的类型信息,级别为该告警特征库对应的级别,告警描述为该告警的规则名称信息。
b.告警触发机制:匹配上漏洞特征库,即产生告警。
6)通信拓扑图
引擎采集交换机镜像端口的流量,对流量进行分析,并提取元数据(通信链路中的源IP、目的IP、源MAC、目的MAC、通信协议、包吞吐量等信息)并上传给监测审计平台。监测审计平台根据资产指纹库识别资产厂商、设备类型、设备型号等信息并生成资产列表。
图数据库通过分析上传的元数据进行绘制拓扑图。拓扑图通过查询数据库获取资产节点信息,通过查询图数据库获取通信拓扑图节点的通讯方向、链路告警信息、协议信息等进行直观展示。对于存在入侵等告警信息的异常链路进行红色链路异常展示,对于通信协议为工控协议的链路进行紫色链路突出显示。
往期精选
2021-04-15
2021-04-16
2021-04-16
2021-04-21
杭州立思辰安科科技有限公司
杭州立思辰安科科技有限公司基于立思辰二十年的安全基因和业务团队的自动化背景,在满足《网络安全法》、等保2.0等合规性要求的前提下,全新定位、研发工控网络安全产品,将安全技术和产品与工业互联网平台、工业自动化系统深度融合,形成具有核心竞争力的工控网络安全整体解决方案。公司拥有“立思辰”、“谷神星”两大产品品牌,二十多条产品线,广泛应用到电力、石油石化、交通、智能制造、矿业开采、港口码头、军队军工等行业。
保卫工控安全
护航国计民生
security.lanxum.com
400-606-8226
渠道合作:许经理 13581568080
技术咨询:谭经理 13810864759
原文始发于微信公众号(立思辰工控安全):原理篇|带你走进工控安全监测审计
