“态势感知(Situation Awareness,SA)”是一种基于环境的、动态、整体地洞悉安全风险的能力,是以安全大数据为基础,从全局视角提升对安全威胁的发现识别、理解分析、相应处置能力的一种方式,最终是为了决策与行动,是安全能力的落地应用。
“态势感知”早在20世纪80年代被美国空军提出,覆盖感知、理解和预测三个层次。90年代,概念开始被广泛接受,并随着网络的兴起而升级为“网络空间态势感知(Cyberspace Situation Awareness,CSA)”,是指在大规模网络环境中能够引起网络态势发生变化的安全要素进行获取、理解、显示,以及趋势预测分析从而支撑决策的系列活动。
2016年4月19日,习近平总书记在于网络安全业界人士座谈会上明确指出:“加快构建关键信息基础设施安全保障体系,全天候全方位感知网络安全态势,增强网络安全防御能力和威慑能力。”另一方面,随着我国“中国制造2025”国家战略的稳步推进,将会催生一个与互联网更加紧密融合的先进工业生产体系。由此,“工业控制系统网络安全态势感知技术”成为了一个时期以来,国家监管单位以及相关行业信息中心需要着重发展并推广应用的一项重要技术。“工业控制系统网络安全态势感知技术”是指通过各种技术手段,对工业生产相关网络的关键资产数据、威胁数据和脆弱性数据进行充分采集,并根据不同行业特点建立风险模型,依据模型对数据进行融合分析,最终对该工业生产环境所面临的风险状况提出量化评价的技术手段。
本报告对上述问题一一进行了分析和解答。文中描述了关键信息基础设施安全态势感知的技术要素,介绍了关键信息基础设施安全态势感知的技术实现原理,探讨了如何通过关键信息基础设施安全态势感知系统协助完成工业企业工业网络风险的监测预警、危害评估、应急响应、安全加固以及事后复查等工作,使得在不同场景不同层面上,协助包括基础作业层、专业技术层和管理决策层用户等人员更好地完成安全工作,并此基础上结合整体防御体系在探讨了关键信息基础设施安全态势感知技术的未来发展趋势。
本报告由『网信防务』研究团队,通过调查国内在关键信息基础设施安全态势感知相关技术产品上作的较为突出的公司,并结合当前最新的相关资料撰写。
关键发现:关键信息基础设施安全态势感知技术是政策导向性很强的技术门类,它有力的支撑了《网络安全法》第五章“监测预警”中对于关键信息基础设施的一些监测要求,也成为《工业控制系统安全防护指南》、《工控系统安全事件应急响应管理工作指南》落地执行的一种重要技术手段。
关键信息基础设施安全态势感知技术是一项综合性的“新技术”,需要将传统IT领域的主被动监测技术手段与工业企业特有的应用场景、协议结构、网络介质、风险指标等进行深度、广泛的融合,并基于此开发出适合于工业企业特点的关键信息基础设施安全态势感知技术类产品。
关键信息基础设施安全态势感知技术可以为不同类型的用户提供价值。不仅仅为工业企业用户感知自身企业工业风险提供技术支撑,还可以为政府监管单位掌握某个区域的关键信息基础设施的网络安全状况提供数据支撑,甚至还可以作为“网络空间识别区”,为网军作战提供重要军事情报信息。
关键信息基础设施安全态势感知技术可以为不同层面的用户提供价值。不仅仅为运维团队、安全应急团队等提供技术参考,还有一个非常重要的价值是协助用户决策层如何分配好合适的安全预算,评估企业第三方供应商的安全级别,来降低企业所面临的风险。
关键信息基础设施安全态势感知技术应该融入从威胁检测到应急响应的整个生命周期,全面减少安全风险暴露的时间,而这个时间窗口是由工业企业防护者最为关心的、也是衡量工业企业安全能力的两条重要指标共同构成的,即平均威胁检测时间和平均威胁响应时间。
行业标准及规范是建设关键信息基础设施安全态势感知体系最好的参考,然而在这方面,还是刚刚起步阶段,包括工控网络威胁分类标准、工控风险数据采集标准、工控风险监测模型等标准都还没有发布。
目录1技术定义
2技术实现
3应用场景
4应用价值
5标准及规范
6应用局限性和挑战
7未来趋势分析
8附录:关键信息基础设施安全态势感知技术资源
1 技术定义1.1. 关键信息基础设施安全态势感知技术定义
习主席在“419讲话”中专门强调:“要树立正确的网络安全观,加快构建关键信息基础设施安全保障体系,全天候全方位感知网络安全态势,增强网络安全防御能力和威慑能力”,这为近一个时期以来的工业控制系统网络安全工作指明了方向。更是随着《网络安全法》、《工业控制系统信息安全防护指南》、《工控系统信息安全事件应急管理工作指南》等一系列法律、法规颁布施行,“关键信息基础设施安全态势感知”一词开始频繁的出现在各大重要行业信息中心、以及省市监管单位的重大项目规划中。然而,由于行业信息中心、国家监管单位,以及乙方技术提供单位,对于业务的理解角度、获取信息的能力,以及获取信息后的用途各有不同,所以造成了“关键信息基础设施安全态势感知”尚无统一定义。
笔者基于多年相关领域的工作经验,对于关键信息基础设施安全态势感知定义如下:
“关键信息基础设施安全态势感知技术,是一种针对基于信息网络的生产系统运行状态信息的获取、存储、分析、反馈的能力,该类信息主要包括,针对生产系统的资产监控、脆弱性、威胁等方面的信息”。
我们知道,一方面,工业控制系统与传统IT系统不论是在软硬件架构,还是安全性要求上都具有比较大的差异;另一方面,随着大数据技术的兴起,态势感知技术也正逐渐成为信息安全技术中的一个新的门类。我们可想而知,将态势感知这样一个新兴的技术门类,应用于工业控制系统这样一个差异化较大的全新业务领域,必然会产生一些独特的特点和规律,接下来我们来通过一些关键特征来更深一步了解关键信息基础设施安全态势感知技术。
1.2. 关键信息基础设施安全态势感知技术关键特征
承载着关键信息基础设施的工业企业网络,一般会划分为信息管理网络和生产控制网络两部分,该两部分网络具有:彼此严格隔离,协议类型完全不同(IT协议、工业以太网协议)等两个特点。这就造成了关键信息基础设施安全态势感知技术的如下关键特征:
◎ 生产控制网络与信息管理网络独立信息采集
由于工业企业信息管理网络与生产控制网络严格隔离,所以信息采集工作必须要从该两个网络分别着手。依据笔者相关经验,对于生产控制网络来说,应着重考虑内部资产(如PLC、DCS、RTU等)品牌类型、软硬件版本等,以及内部工业恶意行为等信息的采集工作;对于信息管理网络来说,应该着重考虑外部恶意行为,以及内部资产非法外联等信息的采集工作。
◎ 工业协议数据采集关键信息基础设施安全态势感知技术应该主要用于监测工业生产网络安全状况趋势,并支撑相应应急响应机制建设。这就要求该技术主要基于工业协议(如Siemens S7、Modbus、Bacnet、Ethernet/IP等)来开展各种维度的监测、分析等工作。
◎ 主被动采集手段相结合由于工业生产控制网络安全等级要求很高,一旦操作不当可能会操作物理伤害,所以不同于IT网络系统,在信息的采集过程中要首要考虑采集会否影响系统本身安全性,所以建议使用主被动结合采集手段,并且优先使用被动采集手段。
◎ 工业安全知识库为核心知识库作为关键信息基础设施安全态势感知技术的核心模块,应该主要包含工业设备(如各品牌PLC、RTU、IED等)指纹库、工业恶意行为指纹库(比如,支持Siemens S7、Modbus、Bacnet、Ethernet/IP等协议)、工业恶意组织指纹库、工业网络漏洞库等专业知识库。
◎ 信息采集重点与行业特点相关性很大不同行业的工业企业生产控制网络结构差异化较大,在进行基础采集探针部署阶段,要进行针对性的调整。比如,电网、燃气等应用SCADA较多的行业,可重点考虑工业设备非法外联监测和外部威胁监测;石油炼化、先进制造等应用DCS较多的行业,则可重点考虑外部威胁监测和内部威胁监测。
2 技术实现关键信息基础设施安全态势感知服务通常根据工业企业不同业务特征和需求,提供针对其生产控制网络的威胁、脆弱性信息,并根据知识库的各种工业指纹库,进行综合分析处理,形成针对甲方工业控制网络的整体安全状况以及发展趋势,支撑甲方单位工业控制网络安全保障机制建设。本节将根据关键信息基础设施安全态势感知技术的体系架构、工业设备主动探测技术、工控系统威胁监测技术等三个方面进行说明。
2.1 态势感知体系架构关键信息基础设施安全态势感知技术往往需要依靠多种数据采集引擎共同协作,包括(但不限于):
全网大规模主动探测引擎(外部)
分布式威胁监测引擎(外部)
资产信息采集引擎(内部)
威胁监测引擎(内部)
具体包含的技术模块如下:
1) 工控威胁分布式监测技术,通过将探针分布式部署于工业企业内部,基于主流工业协议的深度模拟仿真,以及庞大、全面的工业协议恶意行为库、敏感组织特征库等知识库,实现针对工业控制网络的恶意攻击行为的诱捕、存储、分析。该技术需要考虑自身伪装和安全问题,需要通过一些手段,解决避免被敌手发现的问题,笔者建议可以考虑使用伪随机函数的方法将探针模拟的数据结构进行随机化构造。该技术核心价值在于事先发现恶意行为和恶意行为趋势,也可能捕获新型恶意行为(APT)代码,支撑工控系统安全保障体系建设。
2) 工控旁路审计技术,通过将设备部署于工业生产控制网络现场环境,实现工控协议的旁路监测、指令级解析、恶意行为审计。该技术需要庞大的工业协议库和恶意行为指纹库的支撑,以及对于已知恶意行为的危害分级能力。
3) 工业网络态势综合分析展示技术,根据不同工业行业的网络安全特点,建设“工业网络风险指标体系模型”,从内部工业控制网络和外部信息管理网络两个角度进行“工业威胁建模”和“工业网络脆弱性建模”,并通过充分融合上述三种技术能力所生成的数据源,依靠关联分析、机器学习、智能分析等算法引擎,实现对目标工业网络安全状况的量化分析和趋势预测。
较为常规的部署方式如下图所示:
工业网络安全态势感知系统整体架构如下图所示,由五个层面的功能构成,各层面的功能如下:
数据接入层:实现数据的接入功能,通过开放的互联网资源接入到开放联网的工控系统;基于企业工控系统流量入口的数据采集系统,通过镜像接口获取局域网通信流量数据。
数据采集与清洗层:实现工控设备及企业工控网络入口流量数据的采集与清洗功能,通过主动探测对工控设备进行设备探测、识别。
数据存储与索引层:实现探测数据、监测数据及知识库资源的数据汇聚、存储及索引功能,提供开放接口供数据建模层进行数据获取。
数据建模与分析层:实现数据的关联分析,深入分析工业互联网标识信息、工控资产信息、攻击事件和攻击源头信息,进行威胁态势展示和数据关联挖掘。
数据理解与可视化层:对标识态势、攻击源、攻击事件和工控资产的态势进行可视化展示,并通过可视化界面进行数据关联查询。
2.2 工业设备大规模主动探测技术1. 工业设备深度信息扫描技术
通过工控协议的深度解析,结合智能识别技术,大数据分析算法,能快速准确挖掘出目标区域联网工控设备厂商、版本、地理位置等关键信息,结合CNVD、CNNVD等工控漏洞库,进行漏洞关联以及系统脆弱性分析,有效提升监管机构对工业控制系统信息安全的技术监管能力。
3. 工控指纹字典构建技术通过体系化的工控协议分析,提取协议的关键字段(比如寄存器地址、功能码等)等信息。结合机器学习、模式识别等技术,实现半自动化的工控指纹字典构建能力。支持Siemens S7、Modbus、Bacnet、Ethernet/IP、IEC 61850、IEC 104、Fins、DNP3、Melsec-Q等25种主流工业协议,支持Siemens、ABB、GE、Rockwell、Schneider等主流工控设备提供商的相关产品识别。
4. 高并发快速扫描技术采用分布式调度引擎,组件扫描集群;结合负载均衡技术,实现高并发、高吞吐的快速扫描,支持灵活扫描集群扩展。
5. 海量存储及挖掘技术采用分布式处理机制,实现对海量应答报文快速挖掘出关键目标信息;采用分布式存储技术,对海量数据进行分片存储,支持TB级别数据存储,支持对关键字毫秒级别的检索及查询。
2.3 工控威胁分布式监测技术1. 私有协议高仿真模拟技术
对于TCP/IP应用协议仿真领域来讲,最大的难点在于协议仿真的广度和深度,团队依靠多年以来对于办公应用协议(如HTTP、SMTP等)、网关协议(SSH、SNMP等)以及工业私有化协议(如Siemens S7、Modbus等)几类的大量通信研究经验,通过逆向分析通信数据、深度研究RFC文档等手段,实现对工业协议的高精度仿真;
2. 仿真引擎自我保护技术作为网络蜜罐,随时面临可能被敌手探测、发现的危险性,为了保证蜜罐自身安全性,团队特别设计了一套基于非对称算法进行密钥管理,基于对称算法进行数据加密、身份鉴别的安全保障体系,从而可以有效避免敌手对本系统的数据窃听,也可以防止敌手捕获我方蜜罐后的仿冒接入行为。另一方面,本系统也构造了伪随机发生器,从而保证每一个蜜罐中的任意协议引擎都是完全不同,从而也可以有效避免批量识别我方系统的风险;
3. 知识库构建及机器学习技术本系统一旦构建完毕,则在互联网形成了一个弹性、自组织的数据采集系统,随着探针数量的增加,可以采集到海量恶意(或仅仅为探测)的数据报文。为了对这些数据进行有效识别,我们需要建立专门的知识库,它应该包括:恶意行为指纹库、恶意组织指纹库、危害等级评价等级库、外部威胁情报库等,这些知识库可以帮助我们从海量的数据当中根据行为、组织、地域、国家等维度进行精确分析。目前,我们要根据我们的业务按特性建立机器学习引擎,从而可以使得我们的系统具备自我反馈、学习能力,帮助我们的系统自动从海量的数据当中抽取有价值的特征填充到知识库中,并指导未来的深度分析。
4. 深度报文检测技术为解决基于端口的报文识别分析所产生的问题,提出了基于载荷(Payload)的协议识别算法,即从网络数据包中提取用于识别的信息。深度报文检测(Deep Packet Inspection,DPI)技术就是在分析包头的基础上,增加了对应用层载荷的分析,是一种基于应用层的流量检测和控制技术,当数据流流经监控设备时,DPI引擎通过匹配关键代码段、数据包长度等信息对应用层协议进行识别分析。
5. 动态检测技术与DPI技术进行应用层的载荷匹配不同,动态流检测(Dynamic Flow Inspection,DFI)采用的是一种基于流量行为的协议识别技术,DFI技术首先通过分析数据流的数据包长度、连接速率、传输字节数、包与包之间的时间间隔等信息来建立数据模型,将流量模型与网络传输的数据流进行比对,从而实现应用层数据的分类识别。
6. 工业通信恶意行为检测技术构建工控恶意行为知识库,对捕获的流量进行实时代码审计。流量检测主要基于协议解析与流量识别,以及特征匹配技术。在协议解析和流量识别的基础上,通过恶意行为的特征码、通信指纹、异常数据等实现恶意代码流量的检测与识别。依托的恶意行为知识库需要特征数量庞大、尽可能全面覆盖已知恶意代码,同时具备不断自我完善更新、自我反馈的能力。
3 应用场景关键信息基础设施安全态势感知是一项综合的信息采集、利用技术,目标是推动相关单位工业控制系统网络安全保障建设。为了有效发挥关键信息基础设施安全态势感知系统的能力,还必须了解相应的应用场景。在这里,我们更深入地探讨不同场景下不同角色分别如何使用关键信息基础设施安全态势感知系统。
3.1 为安全运维人员发现隐患提供技术支撑
近年来,随着网信办、工信部、公安部等部委在各省推动的工业网络安全检查工作的深入开展,针对工业控制系统网络安全的运维工作也逐步完善起来。日常安全运维是工业控制系统网络安全保障的重要环节,参与该层面的人员包括信息网络的日常运维人员、安全运维人员,以及生产控制网络的运维检修人员等。
一般来讲,工业企业的网络安全运维人员会分别隶属于两类部门:信息管理部门和自动化部门,其中信息管理部门的安全运维人员主要负责公司内部信息系统的网络安全相关问题,自动化部门的安全运维人员则主要负责独立的生产控制网络的网络安全事件。然而,一直以来由于缺乏有效手段,信息系统安全运维人员和生产控制网络安全运维人员都不能有效发现针对工业控制系统的潜在恶意行为。
通过部署关键信息基础设施安全态势感知系统,可以在工业企业的信息管理网络和生产控制网络中部署一些针对于工业控制系统的安全监测引擎,