系统元素

资产

资产是网络中的控制器、工程站、服务器等硬件组件。 OT 安全 的自动化资产发现、分类和管理功能可以通过持续跟踪对设备进行的所有更改,来提供准确的资产清单。这简化了维护操作连续性、可靠性和安全性的工作。它还在规划维护项目、确定升级优先级、补丁部署、事件响应和缓解工作中发挥关键作用。

风险评估

OT 安全 利用复杂的算法来评估网络上每项资产所面临的风险程度。我们为网络中的每项资产提供了一个风险评分(从 0 到 100)。风险评分基于以下因素:

  • 事件:网络中发生影响设备的事件(根据事件严重程度和发生时间远近进行衡量)。

    • 注意:根据时间远近衡量事件,如此一来,较新事件比较早事件对风险评分的影响更大。

  • 漏洞:影响网络资产的 CVE,以及在网络中发现的其他威胁(例如过时的操作系统、易受攻击协议的使用、易受攻击的已打开的端口等)。在 OT 安全 中,这些漏洞会被检测为针对资产的插件命中。

  • 资产重要程度:设备对系统正常运转重要程度的衡量方式。

    注意:对于连接到背板的 PLC,共享该背板的其他模块的风险分数会影响 PLC 的风险评分。

策略和事件

策略可定义网络中发生的可疑、未授权、异常或值得注意的特定类型的事件。当发生满足特定策略的所有策略定义条件的事件时,OT 安全 将生成事件。OT 安全 会记录事件,并且会根据为该策略配置的策略操作发出通知。

策略事件有两种类型:

  • 基于策略的检测:在满足由一系列事件描述符定义的策略的精确条件时触发事件。

  • 异常检测:在网络中发现异常或可疑活动时触发事件。

系统具有一组预定义的策略(开箱即用)。此外,系统还提供编辑预定义策略或定义新自定义策略的功能。

基于策略的检测

对于基于策略的检测,您可以为系统中触发事件通知的事件配置特定条件。仅当满足策略的确切条件时,基于策略的事件才会触发。这可确保零误报,因为系统会针对 ICS 网络中发生的实际事件发出警报,同时提供有关“对象”、“事件”、“时间”、“地点”和“方式”的有用的详细信息。 策略的制定依据可以是各种事件类型和描述符。

以下是一些可行策略配置的示例:

  • 异常或未经授权的 ICS 控制平面活动(工程):HMI 不应查询控制器的固件版本(可能表示有攻击者进行了侦查),任何人也不应在运行期间对控制器进行编程(可能表示存在未经授权的潜在恶意活动)。

  • 控制器代码变更:已识别到控制器逻辑发生变更(“快照不匹配”)。

  • 异常或未经授权的网络通信:两个网络资产之间使用了未经允许的通信协议,或两个之前从未发生通信的资产之间发生了通信。

  • 资产清单遭到异常或未经授权的更改:发现了新资产或资产停止在网络中通信。

  • 资产属性遭到异常或未经授权的更改:资产的固件或状态属性发生更改。

  • 设定点异常写入:特定参数遭到更改,导致事件生成。用户可以定义参数的允许范围,并针对范围偏差生成事件。

异常检测

依靠用于检测与“正常”活动的偏差的系统内置功能,异常检测策略可以发现网络中的可疑行为。可用的异常检测策略如下:

  • 网络流量基线偏差:用户根据流量图定义指定时间范围内的“正常”网络流量的基线,并生成基线偏差警报。基线可随时更新。

  • 网络流量激增:检测到网络流量或对话数量急剧增加。

  • 潜在的网络侦察/网络攻击活动:针对指示网络中的侦查或网络攻击活动(例如 IP 冲突、TCP 端口扫描和 ARP 扫描)生成事件。

策略类别

按照以下类别整理策略:

  • 配置事件策略:这些策略与网络中发生的活动有关。配置事件策略有两个子类别:

    • 控制器验证:这些策略与网络中的控制器发生的变更有关。这可能涉及控制器状态变更,以及固件、资产属性或代码块变更。可以限制策略用于特定计划(例如,工作日期间升级固件)和/或特定控制器。

    • 控制器活动:这些策略与影响控制器状态和配置的特定工程命令有关。可以定义始终生成事件的特定活动,或指定用于生成事件的一组标准。例如,在某些时间和/或在某些控制器上执行某些活动。支持将资产、活动和计划列入黑名单和白名单。

  • 网络事件策略:这些策略与网络中的资产以及资产之间的通信流有关。这包括添加到网络或从网络删除的资产。它还包括网络的异常流量模式,或已被标记为引起特别关注的流量模式。例如,如果工程站用于与控制器通信的协议不属于预配置协议组(例如,由特定供应商制造的控制器使用的协议),则会触发事件。这些策略可限制用于特定计划和/或特定资产。为方便起见,特定于供应商的协议由供应商整理,而策略定义中可以使用任何协议。

  • SCADA 事件策略:这些策略会检测设定点值的变更(可能会危害工业过程)。这些变更可能是网络攻击或人为错误所致。

  • 网络威胁策略:这些策略使用基于签名的 OT 和 IT 威胁检测,来识别表示入侵威胁的网络流量。此类检测基于已在 Suricata 威胁引擎中编目的规则。

OT 安全 中策略定义的一个基本组件是使用组。配置策略时,每个参数均由组指定,这与独立实体相反。这极大地简化了策略配置过程。

事件

当发生满足某项策略的条件的事件时,系统中将生成事件。所有事件都会显示在“事件”屏幕上,也可以通过相关的“清单和策略”屏幕进行访问。系统为每个事件标记了严重程度级别,表明该事件所造成风险的程度。通知可以自动发送到生成事件的策略的策略操作中所指定的电子邮件收件人和 SIEM。

事件可由授权用户标记为“已解决”,并且支持添加注释。