基于數(shù)控機(jī)床場景的工控網(wǎng)絡(luò)安全靶場建設(shè)
奇安信科技集團(tuán)股份有限公司(以下簡稱奇安信,股票代碼688561)成立于2014年,專注于網(wǎng)絡(luò)空間安全市場,向政府、企業(yè)用戶提供新一代企業(yè)級網(wǎng)絡(luò)安全產(chǎn)品和服務(wù),在人員規(guī)模、收入規(guī)模和產(chǎn)品覆蓋度上均位居行業(yè)第一。2022年3月13日,奇安信圓滿完成了北京冬奧會和冬殘奧會網(wǎng)絡(luò)安全保障工作,兌現(xiàn)了北京冬奧網(wǎng)絡(luò)安全“零事故”的承諾,為我國關(guān)鍵信息基礎(chǔ)設(shè)施和重大活動的網(wǎng)絡(luò)安全保障提供示范樣本和有益經(jīng)驗。
隨著數(shù)控系統(tǒng)在工控領(lǐng)域的廣泛應(yīng)用,逐漸成為國家關(guān)鍵基礎(chǔ)設(shè)施和各類工業(yè)生產(chǎn)的核心組件。奇安信通過本項目的實施,構(gòu)建工控安全攻防和工控安全滲透靶場環(huán)境,研究漏洞利用、惡意代碼利用等技術(shù),提高數(shù)控機(jī)床信息安全檢測能力,助力數(shù)控機(jī)床的安全運(yùn)行。
項目
概況
1. 項目背景
隨著信息和通信技術(shù)的高速發(fā)展,作為國家關(guān)鍵基礎(chǔ)設(shè)施和各類工業(yè)生產(chǎn)核心組件的數(shù)控系統(tǒng)面臨越來越嚴(yán)重的安全威脅。當(dāng)前國內(nèi)外主流的安全防御思想已經(jīng)逐漸由安全設(shè)備驅(qū)動、邊界被動防御、已知威脅檢測轉(zhuǎn)變?yōu)楹A繑?shù)據(jù)驅(qū)動、多層縱深防護(hù)、未知威脅發(fā)現(xiàn)。大數(shù)據(jù)驅(qū)動下的異常發(fā)現(xiàn)、主動預(yù)警的安全監(jiān)測響應(yīng)體系正成為當(dāng)前在隔離、加密等傳統(tǒng)防護(hù)措施上的重要補(bǔ)充手段。APT攻擊、0day漏洞等新型安全威脅會有針對性地繞開以預(yù)防為主的傳統(tǒng)安全防御體系,在很長的時間內(nèi)不易被發(fā)現(xiàn),而內(nèi)部人員出于各種目的的違規(guī)行為也是一個重要的安全事件根源。在新的形勢下,被動防御體系面臨越來越多的針對性問題,不同程度上限制了當(dāng)前“互聯(lián)網(wǎng)+”和中國智能制造戰(zhàn)略、工業(yè)互聯(lián)網(wǎng)等的技術(shù)發(fā)展和業(yè)務(wù)開展的靈活性。
由于數(shù)控系統(tǒng)在平臺、系統(tǒng)和協(xié)議等方面的特殊性,現(xiàn)有的信息系統(tǒng)安全防護(hù)方法和工具很大程度上不能滿足要求,亟需針對數(shù)控系統(tǒng)開展網(wǎng)絡(luò)安全攻防能力建設(shè),提高數(shù)控系統(tǒng)網(wǎng)絡(luò)安全防護(hù)水平,滿足工控側(cè)對安全性、可靠性和穩(wěn)定性的高要求。
2. 項目簡介
基于數(shù)控機(jī)床場景的工控網(wǎng)絡(luò)安全靶場具有攻防演練、滲透測試、漏洞挖掘、風(fēng)險評估和檢測預(yù)警等能力,實現(xiàn)基于數(shù)控系統(tǒng)場景的工控安全攻防靶場、工控安全滲透靶場的建設(shè),主要包括:
(1)建設(shè)工控安全攻防靶場,采用工業(yè)漏洞掃描系統(tǒng)、工業(yè)漏洞挖掘系統(tǒng)等對數(shù)控系統(tǒng)進(jìn)行全面的安全檢測,探測發(fā)現(xiàn)數(shù)控系統(tǒng)中存在的安全漏洞,對漏洞進(jìn)行危險性評估;此外,與安全建設(shè)相結(jié)合,部署工業(yè)防火墻、工業(yè)安全監(jiān)測系統(tǒng)、工業(yè)主機(jī)安全防護(hù)系統(tǒng)等產(chǎn)品,驗證防護(hù)方案有效性。
(2)建設(shè)工控安全滲透靶場,通過模擬惡意人員、黑客組織、敵對勢力等不同強(qiáng)度的滲透活動,測試數(shù)控系統(tǒng)在滲透環(huán)境下的防護(hù)水平和安全短板;同時能夠?qū)B透途徑、漏洞利用、痕跡清除等滲透過程進(jìn)行驗證,從而提升數(shù)控系統(tǒng)的安全運(yùn)行能力。
3. 項目目標(biāo)
通過該靶場的落實實施,將虛擬化IT/OT網(wǎng)絡(luò)與工業(yè)流程仿真模型相結(jié)合,建立工控系統(tǒng)網(wǎng)絡(luò)安全攻防基礎(chǔ)靶場環(huán)境,提供基于數(shù)控系統(tǒng)場景的安全可靠的演練、滲透和對抗等功能和服務(wù),實現(xiàn)數(shù)控系統(tǒng)脆弱性檢測,及時發(fā)現(xiàn)數(shù)控系統(tǒng)網(wǎng)絡(luò)威脅,實現(xiàn)工業(yè)企業(yè)網(wǎng)絡(luò)安全攻防能力的整體提升。
二、項目實施概況
1. 項目總體架構(gòu)和主要內(nèi)容
基于數(shù)控系統(tǒng)場景的工控網(wǎng)絡(luò)安全靶場以虛擬化、大規(guī)模網(wǎng)絡(luò)仿真、滲透測試、漏洞掃描、數(shù)據(jù)采集分析、工業(yè)仿真等技術(shù)對數(shù)控系統(tǒng)中的網(wǎng)絡(luò)架構(gòu)、系統(tǒng)設(shè)備、業(yè)務(wù)流程、工藝狀態(tài)、運(yùn)行環(huán)境進(jìn)行模擬仿真和復(fù)現(xiàn),提供攻防演練、漏洞挖掘、風(fēng)險評估、滲透測試、技術(shù)驗證等服務(wù)的一體化靶場平臺。
圖1:工控網(wǎng)絡(luò)安全靶場平臺
技術(shù)支撐層具備接入各類軟硬件資源、網(wǎng)絡(luò)仿真、可視化組網(wǎng)引擎等能力,為平臺提供基礎(chǔ)技術(shù)支撐;平臺管理層通過對鏡像、組件的接入,構(gòu)建核心資源,提供對平臺本身的運(yùn)營管理支撐,包括用戶管理、角色與權(quán)限管理等,同時提供應(yīng)用層通用的資源庫,如各類安全工具、知識庫、數(shù)據(jù)采集工具等;平臺應(yīng)用層是根據(jù)工業(yè)企業(yè)典型使用場景和業(yè)務(wù)流程,支撐攻防演練、滲透測試、漏洞挖掘、風(fēng)險評估和檢測預(yù)警。
2. 具體應(yīng)用場景和應(yīng)用模式
(1)工控安全攻防靶場建設(shè)
依托工控網(wǎng)絡(luò)安全靶場平臺,構(gòu)建工控安全攻防靶場環(huán)境。攻防演練是一項檢驗信息安全防護(hù)能力以及應(yīng)急響應(yīng)速度的信息安全服務(wù)。在靶場提供的可控演練環(huán)境內(nèi),集成網(wǎng)絡(luò)安全攻防領(lǐng)域內(nèi)漏洞掃描探針,使用專業(yè)的攻防手段,在完全可控的環(huán)境中構(gòu)造網(wǎng)絡(luò)攻防的真實場景并對其進(jìn)行解析和分析呈現(xiàn)。工控安全攻防靶場支持兩種演練類型:網(wǎng)絡(luò)攻擊和網(wǎng)絡(luò)防御。
網(wǎng)絡(luò)攻擊場景架構(gòu)如下:
圖:工控安全攻防靶場——漏洞掃描架構(gòu)
工控安全攻防靶場——漏洞掃描組件針對工控仿真環(huán)境中的控制器、伺服器和計算機(jī)集成制造網(wǎng)絡(luò)中存在的常見漏洞、典型漏洞、0day漏洞等進(jìn)行掃描和檢查,并利用大數(shù)據(jù)的分析技術(shù)對當(dāng)前已發(fā)現(xiàn)的漏洞進(jìn)行關(guān)聯(lián)性分析,生產(chǎn)關(guān)聯(lián)分析報告。
網(wǎng)絡(luò)防御:工控安全靶場平臺防御是通過接入該場景實施網(wǎng)絡(luò)防御體系, 包括但不限于邊界防護(hù)類(工業(yè)網(wǎng)閘、工業(yè)防火墻)、檢測與審計類(工業(yè)安全監(jiān)測系統(tǒng))、主機(jī)防護(hù)類(工業(yè)主機(jī)安全防護(hù)系統(tǒng))、安全管理類(工業(yè)安全管理與運(yùn)營分析平臺)等產(chǎn)品,通過該體系,實時發(fā)現(xiàn)攻擊行為并對仿真工控系統(tǒng)進(jìn)行防護(hù),驗證安全產(chǎn)品和防護(hù)方案的有效性。
(2)工控安全滲透靶場建設(shè)
依托工控網(wǎng)絡(luò)安全靶場平臺,構(gòu)建工控安全滲透靶場環(huán)境。該系統(tǒng)滲透測試功能模塊主要實現(xiàn)利用主動滲透方式對當(dāng)前的機(jī)床、工控系統(tǒng)、工業(yè)互聯(lián)網(wǎng)網(wǎng)絡(luò)及設(shè)備進(jìn)行信息安全掃描,嘗試以各種方式查看是否對當(dāng)前系統(tǒng)造成威脅。滲透測試模塊架構(gòu)如下:
圖:工控安全滲透靶場——滲透測試模塊架構(gòu)
滲透功能模塊采用了載荷變形、編碼和HTTP分片傳輸?shù)燃夹g(shù),自動化繞過防護(hù)設(shè)備,防止被防護(hù)設(shè)備攔截而檢測不出漏洞;支持通過高質(zhì)量插件提供的漏洞利用接口,可以直接讓使用人員通過接口利用漏洞,從而進(jìn)行更深一步的測試;可以在對漏洞詳情不太了解的情況下,對檢測出的漏洞進(jìn)行真正的漏洞利用,發(fā)揮漏洞真正的威力;考慮到漏洞發(fā)現(xiàn)、漏洞利用和后滲透的自動化銜接,滲透功能模塊使用自動化滲透流程管控技術(shù),實現(xiàn)了漏洞發(fā)現(xiàn)、利用到權(quán)限獲取與維持的整個過程。
惡意代碼滲透是一個無監(jiān)管的、自動的從模型建立到模型檢測的全方位功能模塊。全模塊分為工控系統(tǒng)惡意代碼武器庫、工控系統(tǒng)惡意代碼滲透投放、工控系統(tǒng)惡意代碼滲透狀態(tài)評估三大功能,分為三大核心技術(shù):惡意代碼聚類技術(shù)、惡意代碼檢測規(guī)則自學(xué)習(xí)技術(shù)、惡意代碼檢測判定技術(shù)。
網(wǎng)絡(luò)滲透可對控制器、伺服器和計算機(jī)集成制造網(wǎng)絡(luò)等進(jìn)行滲透,支持刺探、掃描、泛洪滲透、鑒別滲透、迂回滲透、偽裝、讀取、復(fù)制、竊取、篡改、刪除等滲透動作。
3. 其他亮點
(1)解決工控系統(tǒng)缺乏網(wǎng)絡(luò)安全攻防基礎(chǔ)平臺的問題
在工控系統(tǒng)網(wǎng)絡(luò)安全研究中,攻擊手段和防護(hù)方法的研究都是不可或缺的。在工業(yè)領(lǐng)域,工控系統(tǒng)一旦遭受攻擊將帶來較為嚴(yán)重的經(jīng)濟(jì)損失、人員傷亡,基于此特點,建設(shè)工控系統(tǒng)網(wǎng)絡(luò)安全攻防能力平臺,在工控系統(tǒng)未遭受真實攻擊的情況下,對工控系統(tǒng)進(jìn)行攻擊模擬,直觀反映攻擊后果引起重視,同時也能綜合評價被測工控系統(tǒng)抵御網(wǎng)絡(luò)攻擊的能力,從而提出安全改進(jìn)方案,提升工控系統(tǒng)安全防護(hù)能力。
(2)解決工控系統(tǒng)脆弱性檢測能力不足的問題
國外在漏洞掃描技術(shù)方面的研究相對起步較早,并且也取得了一定的成果。基于漏洞掃描與挖掘的成果構(gòu)建完備的漏洞庫,是安全研究領(lǐng)域的一項重要課題。目前國內(nèi)在這方面的能力相對較弱,基于該靶場可以利用工控漏洞掃描工具和工控漏挖工具對工控系統(tǒng)進(jìn)行脆弱性探測,助力工業(yè)漏洞基礎(chǔ)研究。
(3)解決工控系統(tǒng)網(wǎng)絡(luò)威脅難發(fā)現(xiàn)的問題
傳統(tǒng)的網(wǎng)絡(luò)安全事件分析思路是遍歷各個安全設(shè)備的告警日志,嘗試找出其中的關(guān)聯(lián)關(guān)系。但在工控實戰(zhàn)過程中,針對工控生產(chǎn)裝備的攻擊,尤其是攻擊者采用某些手段進(jìn)行證據(jù)銷毀工作后,依靠傳統(tǒng)的分析方式、傳統(tǒng)安全設(shè)備通常都無法對APT攻擊的各個階段進(jìn)行有效的檢測。基于數(shù)控系統(tǒng)場景的工控網(wǎng)絡(luò)安全靶場建設(shè),助力安全人員實現(xiàn)格式化檢測,從海量的數(shù)據(jù)中找到有價值的信息。
三、下一步實施計劃
1. 推廣應(yīng)用
基于數(shù)控機(jī)床場景的工控網(wǎng)絡(luò)安全靶場培養(yǎng)客戶操作員以及工控系統(tǒng)人員的安全意識和安全能力。靶場在檢驗企業(yè)數(shù)控系統(tǒng)整體安全能力的同時,可對數(shù)控系統(tǒng)進(jìn)行定制化靶場環(huán)境復(fù)現(xiàn),利用工業(yè)控制系統(tǒng)存在的漏洞進(jìn)行專業(yè)演練,用可控的方式對其進(jìn)行安全攻擊,加強(qiáng)客戶操作員和工控系統(tǒng)人員對漏洞本質(zhì)的理解,客戶根據(jù)靶場的漏洞特征分析報告有針對性的消除漏洞。本靶場將滿足我國相關(guān)行業(yè)的需求,具備巨大的市場前景,同時也將大大提升我國關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全防護(hù)能力。
四、項目創(chuàng)新點和實施效果
1. 項目先進(jìn)性及創(chuàng)新點
(1)漏洞發(fā)現(xiàn)和關(guān)聯(lián)分析技術(shù)
基于大數(shù)據(jù)處理的漏洞發(fā)現(xiàn)和關(guān)聯(lián)分析技術(shù)成為對工控系統(tǒng)安全漏洞、威脅、脆弱性、異常行為分析的有力武器。利用大數(shù)據(jù)分析對全網(wǎng)資產(chǎn)面臨的安全漏洞影響面快速定位,應(yīng)用資產(chǎn)價值、業(yè)務(wù)價值和業(yè)務(wù)連續(xù)性影響等數(shù)據(jù),綜合漏洞風(fēng)險等級、漏洞類型、漏洞危害性等數(shù)據(jù)進(jìn)行數(shù)據(jù)關(guān)聯(lián)分析,給出漏洞處置優(yōu)先級及處置建議。
(2)高度自動化的滲透測試技術(shù)
基于數(shù)控系統(tǒng)場景的工控網(wǎng)絡(luò)安全靶場采用高度自動化的滲透測試技術(shù),包括自動探測技術(shù)(端口掃描、指紋識別、子域名識別、漏洞探測等)、自動障礙繞過技術(shù)(機(jī)器學(xué)習(xí)驗證碼識別技術(shù)、Bypass WAF技術(shù))、自動利用技術(shù)(針對無法完全自動化利用的漏洞,“一鍵式”手動調(diào)用漏洞插件)和自動權(quán)限獲取技術(shù)(利用漏洞、口令爆破等方法自動獲取用戶權(quán)限)。
(3)設(shè)備建模和數(shù)據(jù)對接技術(shù)
將大數(shù)據(jù)和網(wǎng)絡(luò)安全分析技術(shù)相結(jié)合,實現(xiàn)對數(shù)據(jù)的采集分析,功能維度進(jìn)行匯總、查看、統(tǒng)計及處置。設(shè)備仿真和數(shù)據(jù)采集技術(shù)成為對工控系統(tǒng)安全威脅和系統(tǒng)狀態(tài)異常分析的有力武器。利用采集的數(shù)據(jù)進(jìn)行分析能夠?qū)υO(shè)備安全態(tài)勢、運(yùn)行狀態(tài)和工控資產(chǎn)進(jìn)行可視化展示,并通過可視化界面進(jìn)行數(shù)據(jù)關(guān)聯(lián)查詢,及時對工控環(huán)境中未來風(fēng)險進(jìn)行預(yù)測、預(yù)防。
2. 實施效果
基于數(shù)控系統(tǒng)場景的工控網(wǎng)絡(luò)安全靶場可以全方位模擬工控場景,將虛擬工控節(jié)點和實體工控節(jié)點相結(jié)合部署在同一業(yè)務(wù)場景之中,通過虛實結(jié)合的技術(shù)手段模擬真實工控業(yè)務(wù)場景。由于提供虛擬與實體結(jié)合的部署方式,可以提供靈活的、真實的生產(chǎn)場景,支持從管理、監(jiān)控、操作、執(zhí)行、現(xiàn)場的多層級模擬能力,最大限度的復(fù)原全部生產(chǎn)流程及供需。基于該靶場可以實現(xiàn)覆蓋全行業(yè)場景,全產(chǎn)業(yè)要素,全領(lǐng)域空間的安全攻防演練和滲透測試,保障工業(yè)控制系統(tǒng)安全穩(wěn)定運(yùn)行,大大提升我國重要關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全防護(hù)能力。
聲明
本報告所載的材料和信息,包括但不限于文本、圖片、數(shù)據(jù)、觀點、建議,不構(gòu)成法律建議,也不應(yīng)替代律師意見。本報告所有材料或內(nèi)容的知識產(chǎn)權(quán)歸工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟所有(注明是引自其他方的內(nèi)容除外),并受法律保護(hù)。如需轉(zhuǎn)載,需聯(lián)系本聯(lián)盟并獲得授權(quán)許可。未經(jīng)授權(quán)許可,任何人不得將報告的全部或部分內(nèi)容以發(fā)布、轉(zhuǎn)載、匯編、轉(zhuǎn)讓、出售等方式使用,不得將報告的全部或部分內(nèi)容通過網(wǎng)絡(luò)方式傳播,不得在任何公開場合使用報告內(nèi)相關(guān)描述及相關(guān)數(shù)據(jù)圖表。違反上述聲明者,本聯(lián)盟將追究其相關(guān)法律責(zé)任。
AII微信公眾號
AII頭條號