可信的工業(yè)控制報(bào)文檢測與推演技術(shù)研究

編者按： 工業(yè)互聯(lián)網(wǎng)的發(fā)展推動了工業(yè)自動化與信息化的深度融合，但傳統(tǒng)網(wǎng)絡(luò)世界的IT 威脅也帶入了OT環(huán)境，從而進(jìn)一步影響到現(xiàn)實(shí)世界。傳統(tǒng)工業(yè)采用網(wǎng)絡(luò)訪問控制技術(shù)難以解決這些安全隱患，迫切需要一種在IT 和OT 環(huán)境之間建立一條可信信道的技術(shù)，以阻斷虛擬網(wǎng)絡(luò)空間對現(xiàn)實(shí)世界的影響。

工業(yè)控制系統(tǒng)關(guān)乎國計(jì)民生，廣泛應(yīng)用于電力、軌道交通、石油化工、航空航天以及核工業(yè)等工業(yè)領(lǐng)域，其中超過八成的國計(jì)民生關(guān)鍵基礎(chǔ)設(shè)施依靠工業(yè)控制系統(tǒng)來實(shí)現(xiàn)控制。工業(yè)控制系統(tǒng)已經(jīng)成為國家關(guān)鍵基礎(chǔ)設(shè)施的重要組成部分，其安全關(guān)系到國家的戰(zhàn)略安全。

隨著互聯(lián)網(wǎng)+、工業(yè)互聯(lián)網(wǎng)等戰(zhàn)略與技術(shù)應(yīng)用的不斷演進(jìn)，工業(yè)控制系統(tǒng)面臨著與信息系統(tǒng)互聯(lián)互通的趨勢，工業(yè)控制系統(tǒng)正從封閉走向開放和互聯(lián)，工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全邊界明顯擴(kuò)大。

當(dāng)前，工業(yè)信息安全形勢復(fù)雜嚴(yán)峻，總體形勢不容樂觀。通過探測發(fā)現(xiàn)全球范圍內(nèi)暴露在互聯(lián)網(wǎng)上的工業(yè)控制設(shè)備越來越多，工業(yè)控制系統(tǒng)安全漏洞居高不下，傳統(tǒng)威脅加速向工業(yè)控制系統(tǒng)滲透，伊朗“震網(wǎng)”事件、烏克蘭停電事件以及委內(nèi)瑞拉停電事件等安全事件頻頻發(fā)生。

根據(jù)ISA99 普渡參考模型可將工業(yè)企業(yè)系統(tǒng)分為企業(yè)資源層、生產(chǎn)管理層、過程監(jiān)控層、現(xiàn)場控制層和現(xiàn)場設(shè)備層。

企業(yè)資源層、生產(chǎn)管理層和過程監(jiān)控層為傳統(tǒng)的IT 架構(gòu)，一般是非實(shí)時(shí)數(shù)據(jù)?，F(xiàn)場控制層和現(xiàn)場設(shè)備層為OT 架構(gòu)，一般是實(shí)時(shí)系統(tǒng)。工業(yè)控制系統(tǒng)由過程監(jiān)控層、現(xiàn)場控制層和現(xiàn)場設(shè)備層組成，過程監(jiān)控層和現(xiàn)場控制層之間成為跨越IT 與OT的橋梁，出現(xiàn)了安全威脅相互滲透的趨勢，如何在過程監(jiān)控層和現(xiàn)場控制層之間建立一條可信信道來阻止安全威脅是需要解決的問題。

傳統(tǒng)工業(yè)控制網(wǎng)絡(luò)防護(hù)技術(shù)方案

在圖1 所示的傳統(tǒng)工業(yè)控制網(wǎng)絡(luò)防護(hù)方案中，通過在過程監(jiān)控層與現(xiàn)場控制層間增設(shè)工業(yè)防火墻，配置安全規(guī)則，對過程監(jiān)控層與現(xiàn)場控制層之間的訪問數(shù)據(jù)進(jìn)行協(xié)議過濾和控制；在工業(yè)交換機(jī)鏡像口旁路部署工業(yè)入侵檢測裝置，發(fā)現(xiàn)IT 和OT之間的入侵行為。

圖1 傳統(tǒng)工業(yè)控制網(wǎng)絡(luò)防護(hù)方案

在傳統(tǒng)的工業(yè)控制網(wǎng)絡(luò)防護(hù)技術(shù)方案中，工業(yè)防火墻串聯(lián)在過程監(jiān)控層與工業(yè)交換機(jī)之間，工業(yè)交換機(jī)與現(xiàn)場控制層相連，工業(yè)入侵檢測裝置與工業(yè)交換機(jī)相連，鏡像流經(jīng)工業(yè)交換機(jī)的業(yè)務(wù)流量，并將該業(yè)務(wù)流量發(fā)送至安全管理中心。

傳統(tǒng)工業(yè)控制網(wǎng)絡(luò)防護(hù)技術(shù)分析

在工業(yè)防火墻中配置安全規(guī)則，可以對過程監(jiān)控層與現(xiàn)場控制層之間傳輸?shù)墓I(yè)報(bào)文進(jìn)行傳輸協(xié)議過濾和控制，以發(fā)現(xiàn)過程監(jiān)控層與現(xiàn)場控制層間之間存在入侵行為的控制報(bào)文。

然而，工業(yè)防火墻的安全規(guī)則為靜態(tài)規(guī)則，僅對源IP地址、源端口、目的IP 地址、目的端口、傳輸層協(xié)議和應(yīng)用層協(xié)議等進(jìn)行過濾，無法對控制報(bào)文的控制參數(shù)變化進(jìn)行檢測，也不能檢測出用惡意代碼偽裝的異常控制報(bào)文。

此時(shí)由工業(yè)入侵檢測設(shè)備（或稱“檢測設(shè)備”）基于存儲的工業(yè)控制報(bào)文（或稱“控制報(bào)文”）的特征信息庫做報(bào)文的特征檢測，來檢測是否存在異?？刂茍?bào)文。由于該特征庫是基于工業(yè)控制報(bào)文的外部特征來制定的，如報(bào)文功能和報(bào)文協(xié)議等，但對于控制報(bào)文中所包含的報(bào)文字段的代碼被惡意代碼替換后，工業(yè)入侵檢測設(shè)備將無法有效阻擋惡意代碼的攻擊，導(dǎo)致工業(yè)控制系統(tǒng)存在較高的漏報(bào)率和誤報(bào)率，降低了工業(yè)控制系統(tǒng)對控制報(bào)文的檢測準(zhǔn)確率。

在實(shí)際應(yīng)用過程中工業(yè)防火墻安全規(guī)則的學(xué)習(xí)需要白環(huán)境。配置白名單規(guī)則的過程是一個極其復(fù)雜并考驗(yàn)實(shí)施人員能力的工作。即使配置成功，由于其規(guī)則是基于特征的，惡意代碼對指令內(nèi)容進(jìn)行修改，則無法進(jìn)行防護(hù)及檢測。

從設(shè)備的應(yīng)用部署上可以看出，僅對過程監(jiān)控層與現(xiàn)場控制層進(jìn)行訪問控制，控制器間惡意代碼的傳播無法進(jìn)行防護(hù)。

從技術(shù)設(shè)計(jì)上無法有效阻擋惡意代碼和攻擊對工業(yè)協(xié)議中傳輸?shù)膬?nèi)容進(jìn)行篡改及檢測。工業(yè)入侵檢測裝置由于是基于攻擊特征庫匹配和異常行為分析技術(shù)，就必然存在漏報(bào)率和誤報(bào)率居高不下的問題。

工業(yè)控制報(bào)文檢測與推演技術(shù)

為解決現(xiàn)有技術(shù)方案存在的缺陷和不足，綠盟科技基于多年研究經(jīng)驗(yàn)得出，可以通過在過程監(jiān)控層和現(xiàn)場控制層之間建立一條可信信道，來阻止IT 和OT 之間雙向滲透以及現(xiàn)場控制層設(shè)備間惡意代碼擴(kuò)散，識別和發(fā)現(xiàn)異常行為，包括誤操作、已知威脅和未知威脅等。從網(wǎng)絡(luò)流量分析的角度看，工業(yè)控制系統(tǒng)與傳統(tǒng)的信息系統(tǒng)有著一定的差異。

傳統(tǒng)的信息系統(tǒng)功能多、流量多，采用多種應(yīng)用協(xié)議而且不可預(yù)測；工業(yè)控制系統(tǒng)功能少、流量少，采用專屬應(yīng)用協(xié)議而且所有流量均可預(yù)測。

基于準(zhǔn)確的推斷工業(yè)控制指令內(nèi)容的防護(hù)方法，可以阻斷惡意代碼對工業(yè)控制協(xié)議內(nèi)容的修改，從技術(shù)設(shè)計(jì)上實(shí)現(xiàn)第三層與第四層之間基于字節(jié)級的過濾，并能夠及時(shí)發(fā)現(xiàn)惡意代碼和攻擊。在此，筆者提出一種可信的工業(yè)控制報(bào)文檢測與推演技術(shù)。

如圖2 所示，工業(yè)控制報(bào)文檢測與推演技術(shù)中，將報(bào)文推演裝置置于工業(yè)控制系統(tǒng)的過程監(jiān)控層和現(xiàn)場控制層之間，基于實(shí)時(shí)報(bào)文轉(zhuǎn)發(fā)、實(shí)時(shí)規(guī)則生成、實(shí)時(shí)決策判斷，對過程監(jiān)控層和現(xiàn)場控制層間通信報(bào)文作出動態(tài)決策。

工業(yè)控制推演系統(tǒng)包含指令輸入裝置、報(bào)文推演裝置以及訪問控制裝置三大部分。報(bào)文推演裝置根據(jù)指令輸入裝置輸入的合法指令進(jìn)行報(bào)文推演，形成可信訪問控制規(guī)則，并寫入至訪問控制裝置。生產(chǎn)人員在過程監(jiān)控層發(fā)出操作指令后，訪問控制裝置會采集到相關(guān)通信報(bào)文，并匹配上可信訪問控制規(guī)則，對相關(guān)通信報(bào)文作出放行決策。同時(shí)，訪問控制裝置對接收到的異常通信報(bào)文作出阻止決策，并將采集到的異常數(shù)據(jù)上傳至報(bào)文推演裝置做進(jìn)一步分析。

工業(yè)控制報(bào)文檢測與推演應(yīng)用部署

圖2 工業(yè)控制報(bào)文檢測與推演技術(shù)框架

如圖3 所示，將工業(yè)控制報(bào)文檢測與推演裝置部署在本地過程監(jiān)控層與現(xiàn)場控制層之間，每個控制設(shè)備前均部署。在本地過程監(jiān)控層和遠(yuǎn)程過程監(jiān)控層旁路部署工業(yè)控制報(bào)文推演裝置及指令模擬裝置。將工業(yè)控制報(bào)文處理裝置與工業(yè)控制報(bào)文推演裝置進(jìn)行單獨(dú)組網(wǎng)連接，并將網(wǎng)絡(luò)安全設(shè)備獲取的信息上傳至安全管理中心。

安全管理中心也可分為多個層次，分別部署于包括國家級、省級、行業(yè)級和企業(yè)級等工業(yè)信息安全應(yīng)急響應(yīng)中心，支持目前業(yè)界比較主流的工業(yè)信息安全平臺，如綠盟工業(yè)網(wǎng)絡(luò)安全監(jiān)測預(yù)警平臺INSP 等。

工業(yè)控制報(bào)文檢測與推演技術(shù)優(yōu)勢

1.建立過程監(jiān)控層與現(xiàn)場控制層之間的可信信道

在傳統(tǒng)技術(shù)體系中，網(wǎng)絡(luò)安全設(shè)備普遍采用靜態(tài)策略，攻擊者模擬正常的行為可以繞過訪問控制規(guī)則，過程監(jiān)控層與現(xiàn)場控制層之間的通信信道存在不可信的問題。

圖3 工業(yè)控制報(bào)文檢測與推演應(yīng)用部署

在本技術(shù)推演過程中可根據(jù)工業(yè)控制系統(tǒng)的點(diǎn)表，在仿真環(huán)境中模擬輸入/輸出指令，在工業(yè)控制報(bào)文推演模塊中錄入對應(yīng)的報(bào)文，推演生成動態(tài)訪問控制規(guī)則。動態(tài)規(guī)則的應(yīng)用阻斷了黑客對靜態(tài)訪問控制規(guī)則的學(xué)習(xí)，利用訪問控制規(guī)則的靜態(tài)特征進(jìn)行突破的可能。動態(tài)訪問控制規(guī)則根據(jù)操作指令的模擬輸入，實(shí)時(shí)動態(tài)的進(jìn)行更新，達(dá)到“一次一規(guī)則”的防護(hù)。

本技術(shù)通過對過程監(jiān)控層與現(xiàn)場控制層之間的通信數(shù)據(jù)進(jìn)行推演，有效的解決了過程監(jiān)控層與現(xiàn)場控制層之間相互滲透的問題，實(shí)現(xiàn)了在過程監(jiān)控層與現(xiàn)場控制層之間建立可信信道。

2.精準(zhǔn)識別過程監(jiān)控層與現(xiàn)場控制層雙向的安全威脅

在傳統(tǒng)技術(shù)體系中，網(wǎng)絡(luò)入侵檢測技術(shù)存在誤報(bào)和漏報(bào)的問題，安全威脅得不到精準(zhǔn)識別，增加了安全決策和處置的成本。

本技術(shù)在應(yīng)用過程中利用了過程監(jiān)控層與現(xiàn)場控制層通訊協(xié)議描述，用來遠(yuǎn)程識別設(shè)備的硬件、通訊協(xié)議和應(yīng)用軟件（及其相關(guān)的版本號、配置參數(shù)）等信息，可對未授權(quán)設(shè)備的接入進(jìn)行精準(zhǔn)識別?；诠I(yè)控制操作的推演，已知威脅匹配模塊通過對異常報(bào)文庫及異常規(guī)則庫的輪詢可精準(zhǔn)識別已知威脅，操作匹配模塊通過對異常報(bào)文庫及異常規(guī)則庫的輪詢可精準(zhǔn)識別錯誤操作，輪詢剩余的則為未知威脅。

在具體應(yīng)用過程中，訪問控制裝置把過程監(jiān)控層與現(xiàn)場控制層之間的流量牽引到了工業(yè)控制推演裝置，運(yùn)用“非白即黑”的思路，經(jīng)過與推演知識庫、操作指令集、指令特征庫與威脅特征庫的比對，達(dá)到精準(zhǔn)識別安全威脅的效果。

3.精準(zhǔn)發(fā)現(xiàn)過程監(jiān)控層與現(xiàn)場控制層雙向的未知威脅

將系統(tǒng)的異常流量及異常規(guī)則，通過與已知威脅匹配模塊的威脅特征庫及錯誤操作匹配模塊的指令特征庫匹配完成后，剩余的流量即為未知威脅。相比于傳統(tǒng)的安全防御體系難以發(fā)現(xiàn)未知威脅的情況，本技術(shù)對異常流量及異常規(guī)則進(jìn)行了充分的識別及過濾，可精準(zhǔn)的發(fā)現(xiàn)系統(tǒng)中的未知威脅。

針對發(fā)現(xiàn)的未知威脅，與推演知識庫、操作指令集進(jìn)行比對，結(jié)合工業(yè)控制系統(tǒng)面臨的威脅源、威脅向量及脆弱性對獲取的情況進(jìn)行威脅建模。分析的結(jié)果分為兩種情況，一種情況為受知識的局限性未知威脅為未掌握的知識，沒有錄入知識庫；另一種為工業(yè)控制系統(tǒng)中“0-day”漏洞。沒有掌握的知識可以及時(shí)的錄入知識庫轉(zhuǎn)變?yōu)橐阎{，“0-day”漏洞以供安全人員繼續(xù)研究。

結(jié)語

本文針對傳統(tǒng)工業(yè)控制網(wǎng)絡(luò)防護(hù)技術(shù)進(jìn)行了分析，提出了一種可信的工業(yè)控制報(bào)文檢測與推演技術(shù)，為在IT 和OT 環(huán)境之間建立可信信道提供了一種可行的思路，并對可信的工業(yè)控制報(bào)文檢測與推演裝置應(yīng)用部署模式等進(jìn)行了說明，分析了本技術(shù)的優(yōu)點(diǎn)。本技術(shù)在實(shí)際實(shí)現(xiàn)和應(yīng)用過程中還會碰到各種各樣的問題，筆者將進(jìn)一步研究，為本技術(shù)的市場化應(yīng)用奠定基礎(chǔ)。