基于數控機床場景的工控網絡安全靶場建設
奇安信科技集團股份有限公司(以下簡稱奇安信,股票代碼688561)成立于2014年,專注于網絡空間安全市場,向政府、企業用戶提供新一代企業級網絡安全產品和服務,在人員規模、收入規模和產品覆蓋度上均位居行業第一。2022年3月13日,奇安信圓滿完成了北京冬奧會和冬殘奧會網絡安全保障工作,兌現了北京冬奧網絡安全“零事故”的承諾,為我國關鍵信息基礎設施和重大活動的網絡安全保障提供示范樣本和有益經驗。
隨著數控系統在工控領域的廣泛應用,逐漸成為國家關鍵基礎設施和各類工業生產的核心組件。奇安信通過本項目的實施,構建工控安全攻防和工控安全滲透靶場環境,研究漏洞利用、惡意代碼利用等技術,提高數控機床信息安全檢測能力,助力數控機床的安全運行。
項目
概況
1. 項目背景
隨著信息和通信技術的高速發展,作為國家關鍵基礎設施和各類工業生產核心組件的數控系統面臨越來越嚴重的安全威脅。當前國內外主流的安全防御思想已經逐漸由安全設備驅動、邊界被動防御、已知威脅檢測轉變為海量數據驅動、多層縱深防護、未知威脅發現。大數據驅動下的異常發現、主動預警的安全監測響應體系正成為當前在隔離、加密等傳統防護措施上的重要補充手段。APT攻擊、0day漏洞等新型安全威脅會有針對性地繞開以預防為主的傳統安全防御體系,在很長的時間內不易被發現,而內部人員出于各種目的的違規行為也是一個重要的安全事件根源。在新的形勢下,被動防御體系面臨越來越多的針對性問題,不同程度上限制了當前“互聯網+”和中國智能制造戰略、工業互聯網等的技術發展和業務開展的靈活性。
由于數控系統在平臺、系統和協議等方面的特殊性,現有的信息系統安全防護方法和工具很大程度上不能滿足要求,亟需針對數控系統開展網絡安全攻防能力建設,提高數控系統網絡安全防護水平,滿足工控側對安全性、可靠性和穩定性的高要求。
2. 項目簡介
基于數控機床場景的工控網絡安全靶場具有攻防演練、滲透測試、漏洞挖掘、風險評估和檢測預警等能力,實現基于數控系統場景的工控安全攻防靶場、工控安全滲透靶場的建設,主要包括:
(1)建設工控安全攻防靶場,采用工業漏洞掃描系統、工業漏洞挖掘系統等對數控系統進行全面的安全檢測,探測發現數控系統中存在的安全漏洞,對漏洞進行危險性評估;此外,與安全建設相結合,部署工業防火墻、工業安全監測系統、工業主機安全防護系統等產品,驗證防護方案有效性。
(2)建設工控安全滲透靶場,通過模擬惡意人員、黑客組織、敵對勢力等不同強度的滲透活動,測試數控系統在滲透環境下的防護水平和安全短板;同時能夠對滲透途徑、漏洞利用、痕跡清除等滲透過程進行驗證,從而提升數控系統的安全運行能力。
3. 項目目標
通過該靶場的落實實施,將虛擬化IT/OT網絡與工業流程仿真模型相結合,建立工控系統網絡安全攻防基礎靶場環境,提供基于數控系統場景的安全可靠的演練、滲透和對抗等功能和服務,實現數控系統脆弱性檢測,及時發現數控系統網絡威脅,實現工業企業網絡安全攻防能力的整體提升。
二、項目實施概況
1. 項目總體架構和主要內容
基于數控系統場景的工控網絡安全靶場以虛擬化、大規模網絡仿真、滲透測試、漏洞掃描、數據采集分析、工業仿真等技術對數控系統中的網絡架構、系統設備、業務流程、工藝狀態、運行環境進行模擬仿真和復現,提供攻防演練、漏洞挖掘、風險評估、滲透測試、技術驗證等服務的一體化靶場平臺。
圖1:工控網絡安全靶場平臺
技術支撐層具備接入各類軟硬件資源、網絡仿真、可視化組網引擎等能力,為平臺提供基礎技術支撐;平臺管理層通過對鏡像、組件的接入,構建核心資源,提供對平臺本身的運營管理支撐,包括用戶管理、角色與權限管理等,同時提供應用層通用的資源庫,如各類安全工具、知識庫、數據采集工具等;平臺應用層是根據工業企業典型使用場景和業務流程,支撐攻防演練、滲透測試、漏洞挖掘、風險評估和檢測預警。
2. 具體應用場景和應用模式
(1)工控安全攻防靶場建設
依托工控網絡安全靶場平臺,構建工控安全攻防靶場環境。攻防演練是一項檢驗信息安全防護能力以及應急響應速度的信息安全服務。在靶場提供的可控演練環境內,集成網絡安全攻防領域內漏洞掃描探針,使用專業的攻防手段,在完全可控的環境中構造網絡攻防的真實場景并對其進行解析和分析呈現。工控安全攻防靶場支持兩種演練類型:網絡攻擊和網絡防御。
網絡攻擊場景架構如下:
圖:工控安全攻防靶場——漏洞掃描架構
工控安全攻防靶場——漏洞掃描組件針對工控仿真環境中的控制器、伺服器和計算機集成制造網絡中存在的常見漏洞、典型漏洞、0day漏洞等進行掃描和檢查,并利用大數據的分析技術對當前已發現的漏洞進行關聯性分析,生產關聯分析報告。
網絡防御:工控安全靶場平臺防御是通過接入該場景實施網絡防御體系, 包括但不限于邊界防護類(工業網閘、工業防火墻)、檢測與審計類(工業安全監測系統)、主機防護類(工業主機安全防護系統)、安全管理類(工業安全管理與運營分析平臺)等產品,通過該體系,實時發現攻擊行為并對仿真工控系統進行防護,驗證安全產品和防護方案的有效性。
(2)工控安全滲透靶場建設
依托工控網絡安全靶場平臺,構建工控安全滲透靶場環境。該系統滲透測試功能模塊主要實現利用主動滲透方式對當前的機床、工控系統、工業互聯網網絡及設備進行信息安全掃描,嘗試以各種方式查看是否對當前系統造成威脅。滲透測試模塊架構如下:
圖:工控安全滲透靶場——滲透測試模塊架構
滲透功能模塊采用了載荷變形、編碼和HTTP分片傳輸等技術,自動化繞過防護設備,防止被防護設備攔截而檢測不出漏洞;支持通過高質量插件提供的漏洞利用接口,可以直接讓使用人員通過接口利用漏洞,從而進行更深一步的測試;可以在對漏洞詳情不太了解的情況下,對檢測出的漏洞進行真正的漏洞利用,發揮漏洞真正的威力;考慮到漏洞發現、漏洞利用和后滲透的自動化銜接,滲透功能模塊使用自動化滲透流程管控技術,實現了漏洞發現、利用到權限獲取與維持的整個過程。
惡意代碼滲透是一個無監管的、自動的從模型建立到模型檢測的全方位功能模塊。全模塊分為工控系統惡意代碼武器庫、工控系統惡意代碼滲透投放、工控系統惡意代碼滲透狀態評估三大功能,分為三大核心技術:惡意代碼聚類技術、惡意代碼檢測規則自學習技術、惡意代碼檢測判定技術。
網絡滲透可對控制器、伺服器和計算機集成制造網絡等進行滲透,支持刺探、掃描、泛洪滲透、鑒別滲透、迂回滲透、偽裝、讀取、復制、竊取、篡改、刪除等滲透動作。
3. 其他亮點
(1)解決工控系統缺乏網絡安全攻防基礎平臺的問題
在工控系統網絡安全研究中,攻擊手段和防護方法的研究都是不可或缺的。在工業領域,工控系統一旦遭受攻擊將帶來較為嚴重的經濟損失、人員傷亡,基于此特點,建設工控系統網絡安全攻防能力平臺,在工控系統未遭受真實攻擊的情況下,對工控系統進行攻擊模擬,直觀反映攻擊后果引起重視,同時也能綜合評價被測工控系統抵御網絡攻擊的能力,從而提出安全改進方案,提升工控系統安全防護能力。
(2)解決工控系統脆弱性檢測能力不足的問題
國外在漏洞掃描技術方面的研究相對起步較早,并且也取得了一定的成果。基于漏洞掃描與挖掘的成果構建完備的漏洞庫,是安全研究領域的一項重要課題。目前國內在這方面的能力相對較弱,基于該靶場可以利用工控漏洞掃描工具和工控漏挖工具對工控系統進行脆弱性探測,助力工業漏洞基礎研究。
(3)解決工控系統網絡威脅難發現的問題
傳統的網絡安全事件分析思路是遍歷各個安全設備的告警日志,嘗試找出其中的關聯關系。但在工控實戰過程中,針對工控生產裝備的攻擊,尤其是攻擊者采用某些手段進行證據銷毀工作后,依靠傳統的分析方式、傳統安全設備通常都無法對APT攻擊的各個階段進行有效的檢測。基于數控系統場景的工控網絡安全靶場建設,助力安全人員實現格式化檢測,從海量的數據中找到有價值的信息。
三、下一步實施計劃
1. 推廣應用
基于數控機床場景的工控網絡安全靶場培養客戶操作員以及工控系統人員的安全意識和安全能力。靶場在檢驗企業數控系統整體安全能力的同時,可對數控系統進行定制化靶場環境復現,利用工業控制系統存在的漏洞進行專業演練,用可控的方式對其進行安全攻擊,加強客戶操作員和工控系統人員對漏洞本質的理解,客戶根據靶場的漏洞特征分析報告有針對性的消除漏洞。本靶場將滿足我國相關行業的需求,具備巨大的市場前景,同時也將大大提升我國關鍵基礎設施的網絡安全防護能力。
四、項目創新點和實施效果
1. 項目先進性及創新點
(1)漏洞發現和關聯分析技術
基于大數據處理的漏洞發現和關聯分析技術成為對工控系統安全漏洞、威脅、脆弱性、異常行為分析的有力武器。利用大數據分析對全網資產面臨的安全漏洞影響面快速定位,應用資產價值、業務價值和業務連續性影響等數據,綜合漏洞風險等級、漏洞類型、漏洞危害性等數據進行數據關聯分析,給出漏洞處置優先級及處置建議。
(2)高度自動化的滲透測試技術
基于數控系統場景的工控網絡安全靶場采用高度自動化的滲透測試技術,包括自動探測技術(端口掃描、指紋識別、子域名識別、漏洞探測等)、自動障礙繞過技術(機器學習驗證碼識別技術、Bypass WAF技術)、自動利用技術(針對無法完全自動化利用的漏洞,“一鍵式”手動調用漏洞插件)和自動權限獲取技術(利用漏洞、口令爆破等方法自動獲取用戶權限)。
(3)設備建模和數據對接技術
將大數據和網絡安全分析技術相結合,實現對數據的采集分析,功能維度進行匯總、查看、統計及處置。設備仿真和數據采集技術成為對工控系統安全威脅和系統狀態異常分析的有力武器。利用采集的數據進行分析能夠對設備安全態勢、運行狀態和工控資產進行可視化展示,并通過可視化界面進行數據關聯查詢,及時對工控環境中未來風險進行預測、預防。
2. 實施效果
基于數控系統場景的工控網絡安全靶場可以全方位模擬工控場景,將虛擬工控節點和實體工控節點相結合部署在同一業務場景之中,通過虛實結合的技術手段模擬真實工控業務場景。由于提供虛擬與實體結合的部署方式,可以提供靈活的、真實的生產場景,支持從管理、監控、操作、執行、現場的多層級模擬能力,最大限度的復原全部生產流程及供需。基于該靶場可以實現覆蓋全行業場景,全產業要素,全領域空間的安全攻防演練和滲透測試,保障工業控制系統安全穩定運行,大大提升我國重要關鍵基礎設施的網絡安全防護能力。
聲明
本報告所載的材料和信息,包括但不限于文本、圖片、數據、觀點、建議,不構成法律建議,也不應替代律師意見。本報告所有材料或內容的知識產權歸工業互聯網產業聯盟所有(注明是引自其他方的內容除外),并受法律保護。如需轉載,需聯系本聯盟并獲得授權許可。未經授權許可,任何人不得將報告的全部或部分內容以發布、轉載、匯編、轉讓、出售等方式使用,不得將報告的全部或部分內容通過網絡方式傳播,不得在任何公開場合使用報告內相關描述及相關數據圖表。違反上述聲明者,本聯盟將追究其相關法律責任。
AII微信公眾號
AII頭條號