我的位置 态势感知  >  安全态势

原创 | ICS资产识别方法综述

来源:关键基础设施安全应急响应中心 时间:2021-03-04 阅读次数:

作者 | 天地和兴工业网络安全研究院

【摘要】本文就ICS资产识别的主流方式及其优劣进行了分析,将四种资产识别的方法进行了深入的解析,从各种方面讲述了四种方法的优点和缺点。其次对当前的热门工具进行了介绍,其中多为开源免费的工具。最后通过对当前存在的问题进行了简单的论述并提出建议和解决方法。

​引言

SANS  ICS主动防御和事件响应认证讲师 Mark Bristow说:资产识别对于安全计划中所有其他元素是绝对必要的。没有它,你真的有一个房子建在沙上。如果没有对ICS网络上资产的深入了解,就不可能制定和实施战略来管理风险并确保可靠的运营。在SANS  2019年 OT/ICS 网络安全状况调查中,资产识别是受访者关注的第一大问题。尽管具有这一优先级,并且在许多组织中都得到了大量资源的支持,但资产库仍然不可靠且不完整,这在紧急事件和常规事件中都使问题更加复杂。进行资产识别的动机因组织而异。在某些情况下,诸如 NERC-CIP-002 之类的法规要求会推动识别工作,而在确保适当的折旧时间表或寻找隐藏的运营成本的同时,也会推动工作,不管动机如何。资产识别有多种形式,可以像由操作团队维护的电子表格一样存储下来的库存清单,也可以像连续自动发现扫描和网络变更管理解决方案一样复杂。

一、目前的主流方法

目前,SANS的新白皮书《ICS资产识别:不仅仅是安全》(2020.6)中,将资产识别技术分成了四种:物理检查,被动发现,主动发现和配置分析。下面对四种方法进行分析。

1.1物理检查

物理检查需要跟踪整个过程设施中的每根光纤,以太网,串行电缆和电线,以验证所连接的系统。如果执行得当,物理检查通常会导致收集最全面的数据并发现您无法使用其他方式识别的资产。首先,请从网络上最上游的连接点开始(例如,您的公司网络防火墙),并跟踪分离出各种串联设备的每条电线。物理检查对于初始资产清单开发特别有效。但是,它既没有可扩展的好处,也没有在被动或主动发现中发现的自动更新的简便性,也没有配置分析中可用的其他上下文。物理检查非常费力,所以成为最昂贵的方法。但是如果实施得当,它可能是构建资产清单计划的好方法。

1.2被动发现

被动发现包括利用被动网络,无线和串行监视技术来识别系统中正在通信的资产。此技术要求在您的通信系统中安装无源监视技术。但是一旦安装了该技术,它便是资产发现影响最小的技术之一。它不仅可以用于资产的连续监视,还可以用于网络通信的基准和监视。被动发现工具对于传统网络技术和协议(例如以太网或TCP/IP)更健壮,对工业协议(例如Profibus或Modbus)则不那么健壮。被动发现可能是快速识别Purdue Model Level2及更高级别资产的重要工具。但是,您可能很难识别现场设备和I/O,而不会从通信内容中推断出它们的存在,这可能存在错过识别关键设备的风险(如图所示)。

一些控制设备,例如,处于按异常报告模式的广告在正常运行期间不会产生太多流量(如果有的话),因此可能会被被动技术所遗漏。被动发现也可能受到网络背后的设备的限制地址转换(NAT)或多宿主站中继网络之间的流量但掩盖最终资产。监视工厂中的无线频谱也很重要,因为您可能拥有无法说明的 WirelessHART,Zigbee,Wi-Fi 或蓝牙设备,而这些设备无法通过其他分析技术看到。此外,对于ICS环境中常见的较旧的网络设备,该设备可能没有足够的计算能力或内存可用于SPAN镜像端口配置,这可能会导致网络延迟或数据包丢失。被动发现可能不是构建全面的初始资产清单的理想技术,但是通过正确使用开源或商业工具,被动发现可以帮助维护现有清单。

1.3配置分析

配置分析是一种从流程控制系统,网络设备,流程图和其他配置源中获取现有配置数据以创建已知资产的图片的技术。配置分析可以完全是被动的,类似于利用静态配置的被动发现,也可以通过利用自动化来更加主动且不间断的评估配置。不像物理检查,配置仅需几个小时的编辑和标准化工作,分析技术就可以迅速扩展到整个工厂多个配置源(如图所示)。

大多数配置分析工具和方法市场上的重点放在更传统的IT设备上,例如网络交换机和防火墙配置。在OT环境中,这些设备通常以令人难以置信的宽松方式进行配置。在OT环境中,通常会有丰富的数据集用于控制系统本身的配置分析。某些特定于ICS域过程逻辑文件,控制器或I/O配置或工程工作站中其他过程配置数据的配置分析工具。提取历史数据可以提供可靠的信息集,并将其与其他配置源相关联也可以帮助建立压缩资产清单。使用OT系统配置信息是从1级和0级设备获取发现信息以确保全面清单的最经济的方法。配置数据分析面临的挑战是从具有多个供应商或模型的非均质控制环境中提取和处理配置并将其标准化为可消耗格式。完成这些规范化转换可能是一个复杂的过程,需要开发和维护规范化过程,或者资产所有者可以获取可以执行最新转换的商业专业解决方案。在复杂的系统中创建适当的转换可能很耗时,但是一旦开发或获取了一组适当的转换,便可以重新使用它。因为配置数据基于操作员期望的配置并及时反映快照,所以它不会显示环境中的未授权系统,例如不是工厂正式配置一部分但已安装的“流氓”工作站由现场技术人员。ICS市场上的一些工具正被用于进行连续或“主动”的配置管理分析。对配置数据的这种持续评估(在某些情况下包括通过直接从控制器上传数据来检索该数据)允许几乎实时地更新资产清单,这在被动和主动发现方法中都是可能的。

配置分析是将全面的OT信息获取到资产清单中的最佳方法之一,并且可以提供其他资产识别技术无法获得的出色的基准和相关过程信息。这可能是对隔离和断开连接的环境(例如安全系统)切实可行的唯一实用技术。

1.4主动扫描

主动扫描是一种使用主动网络通信来识别环境中的设备的技术。这些探针可以是通信技术通用的(例如ICMP ping),也可以是协议专用的(例如Modbus单元标识符扫描)。主动发现能够识别网络上处于休眠状态的设备。但是,它可能会丢失配置为仅在特定情况下响应的设备,例如特定的主ID。主动发现可能会导致与某些使用不兼容协议实现的较旧设备进行负面交互,从而导致它们锁定网络接口或耗尽CPU资源。因此,组织应先在代表性设备上测试其主动发现过程,然后再将其部署到生产环境中。主动发现还会在环境中引入额外的延迟,这可能会对低带宽,高延迟的通信网络产生负面的过程影响。许多主动扫描工具都改编自IT安全性或资产管理工具,并且不太可能使用非TCP/IP或串行协议来全面识别设备。

在过去的几年中,多家供应商开发了专门针对OT的资产发现工具,这些工具可减轻在OT环境中使用IT工具的许多风险。主动扫描是指通过主动向目标网络资产发送构造的数据包,并从返回数据包的相关信息(包括各层协议内容、 包重传时间等)中提取目标指纹,与指纹进库中的指纹进行比对,来实现对开放端口、操作系统、服务及应用类型的探测。根据使用的指纹信息类型,主动探测类方法主要分为基于响应协议栈指纹的主动探测方法和基于单包响应时延统计两类。这些特定于OT的工具本身使用ICS协议来询问环境,这使安全团队可以将更多ICS特定的上下文纳入扫描。即使使用这些新工具,在生产环境中使用主动扫描之前,也必须在代表设备上测试主动扫描。

1.5四种方法的简单比较

通过上文对四种方法的介绍,可以知道,物理检查可以得到的数据最全面,不过物理检查比较费力,且所需成本也最高;被动发现对构建全面的初始资产清单比较吃力,但是通过正确使用开源或商业工具,被动发现对于维护现有清单的功能较为全面;配置分析是将全面的OT信息获取到资产清单中的最佳方法之一,并且可以提供其他资产识别技术无法获得的出色的基准和相关过程信息,不过较为被动,不像物理检查一样高效;主动扫描可以识别网络上处于休眠状态的设备,但是会引入额外的延迟,所以在使用前需要进行测试。

 
所需成本
数据获取完整性
使用难度
使用风险
物理检查
被动发现
配置分析
主动扫描

二、几种典型的ICS资产识别工具

最近的市场发展增加了市场上资产识别产品的复杂性和多样性。专业工具可提供更高级的功能,增强的工作流程,专家支持,ICS集成和易用性,但还有一些免费的ICS资产识别工具可用于创建ICS资产识别程序。组织可以并且已经成功地利用了许多免费和开源工具来实施大规模且强大的资产识别程序。与免费的相关工具相比,免费工具节省的资本成本通常需要更多的工时才能实施,因此我们建议您进行成本/收益分析。下面提供对几款流行工具进行介绍。

2.1GRASSMARLIN

GRASSMARLIN是一种开源被动发现工具,可以将ICS映射到可视或可导出的拓扑图中。GRASSMARLIN可以分析实时网络窃听,跨越流量或现有数据包捕获,并尝试执行设备指纹识别,网络通信流指纹识别和其他被动分析技术。

2.2CyberLens

CyberLens是免费的被动发现ICS网络可见性工具。Cyber Lens通过实时或脱机捕获对少量ICS协议执行深度数据包检查,并可以识别基于IP的通信的I/O和协议命令以构建和映射资产清单。Cyber Lens识别ICS资产通过基于深度数据包检查的被动发现和推断控制数据流来实现。

2.3Snipe-IT

Snipe-IT是用于跟踪IT资产的开源资产管理平台。Snipe-IT并非旨在跟踪ICS资产,而是它是可定制的,可以替代基本电子表格以提供更强大的资产管理工具。使用资产管理工具可提供更高级的功能,例如嵌套资产和资产族,从而可以更轻松地搜索控制环境中的复杂资产交互。

2.4Integrity

Integrity最初于2012年由爱达荷国家实验室(INL)开发,当时名为“Sophia”,后来定名Integrity。该工具曾杀入RSA大会创新沙箱决赛,被《网络防御杂志》评为最佳网络安全解决方案,受到广泛认可。

2.5Passive Vulnerability Scanner (PVS)

被动漏洞扫描程序(PVS)是获得专利的网络发现和漏洞分析软件解决方案,可提供实时网络配置和监视功能,以非侵入性方式连续评估组织的安全状况。PVS在数据包层监视网络流量,以确定拓扑,服务和漏洞。当活动的扫描仪及时拍摄网络快照时,PVS的行为就像网络上的安全运动检测器一样。

2.6绿盟 NSFOCUS IDS-ICS

绿盟工控安全入侵检测系统(NSFOCUS IDS-ICS)实时检测网络通信,并精确识别缓冲区溢出、扫描攻击、DoS/DDoS、SQL注入、蠕虫病毒、木马、间谍软件等传统攻击行为,也可以根据内置规则库中的工控规则库,实现专门针对工控的攻击行为检测,采用自学习基线模型方式,可自定义已深度解析的工控协议安全策略,深度业务关联检测异常操作,生成多样化的告警方式,及时向管理员发送预警信息,并能够与工业防火墙等网关防护产品形成纵深防护体系。

三、新的思路或方法

3.1使用多种分析技术

资产ID程序犯下的一个关键错误是专注于其程序的一种资产识别技术:物理,被动,配置或主动。建议组织从这些技术中的一种或两种开始以开始其程序,而成熟的程序则结合了多种技术来识别资产并保持其库存最新。例如,TCP/IP网络信息(例如IP地址)经常更改,因此,虽然可能已使用物理检查来建立基本资产清单,但使用被动监视器更新IP信息可以减少手动更新的频率。考虑在其他网络信息(例如MAC地址和/或使用中的协议)上进行匹配以对齐不同的数据源。许多资产ID程序还在计划的停机期间进行主动扫描,以进一步验证其库存。通过验证配置分析数据以确定流程配置是否更改,定期验证更改控制流程是否有效也很有用。

3.2有效利用工厂数据

这是针对运营技术而非信息技术的资产标识!特别是因为OT设备有时会以意想不到的方式表现出旨在监视IT系统的资产识别技术,因此请不要忽略工厂数据。作为组态分析技术的扩展,检查来自过程控制系统本身的工厂数据可能非常有价值。尽管工厂和配置数据采用多种格式,但存在一些商业解决方案,可以对这些数据进行处理和规范化以发现以前未知的资产。在更复杂的情况下,归一化的数据直接来自预期的工厂配置,并且可以标识难以发现的资产。

3.3使用不同的工厂运行模式

如果将被动监视用作资产识别的工具,则在不同的工厂运行模式下监视网络非常重要。在停电,运行受限或安全事件期间,正常运行的工厂网络可能会有所不同。通常,控制设备不在网络中处于活动状态,除了在不同工厂操作模式下可能发生的逐个报告事件期间。通常,安全系统不会在安全事件之外生成任何网络通信。您可以期望新的通信路径和流程在不同的工厂状态中存在,这对于在资产清单基准中占重要的位置很重要。

3.4挖掘IT数据的价值

ICS社区中有一种趋势是对IT挑战,协议和概念不屑一顾,而仅侧重于OT方面。由于许多OT网络都在IT平台(例如Windows,Active Directory或网络文件系统)上运行,因此考虑OT网络下的IT结构可能会有所帮助。OT网络上的大部分流量(可能是现场设备除外)都在IT协议(例如TCP/IP)上。不要忽略这些丰富的数据。IT网络还具有多种类型的自动发现协议和广播消息,包括NetBIOS,LLDP和Bonjour,它们对于资产识别很有帮助,即使使用被动分析技术只是在错误的网络上识别IT设备也是如此。

四、小结

资产识别是确保过程安全可靠运行的关键和基本步骤。资产识别,物理,主动,配置和被动技术有几种关键方法。所有这些领域都有其擅长的领域,但是成功的资产识别程序利用了不止一种分析技术。资产识别不一定是一项艰巨的任务。如果您保持专注,利用手头的资源并遵循一些关键提示,则可以成功快速地构建程序。

资产识别不仅是一种网络安全工具。您可以使用资产识别技术来提供支持,以减少其他领域的恢复时间并降低组织风险。尝试获取用于新资产识别程序的资源时,最好将此类程序的好处明确说明为可靠的操作和安全性,而不是安全性。这样的好处将使您的案例对业务负责人更为重要。

参考文献:
1.https://www.sans.org/webcasts/ics-asset-identification-its-security-report-113805
2.https://zhuanlan.zhihu.com/p/342628130
3.https://www.secrss.com/articles/9366
4.https://www.nsfocus.com.cn/html/2019/199_1009/67.html

 

 

转载请注明来源:关键基础设施安全应急响应中心

8条评论