策略
OT 安全 包含用于定义网络中发生的可疑、未授权、异常或值得注意的特定事件类型的策略。当发生满足特定策略的所有策略定义条件的事件时,系统将生成事件。系统会记录事件,并且会根据为该策略配置的策略操作发出通知。
-
基于策略的检测:会在满足由一系列事件描述符定义的策略的精确条件时触发事件。
-
异常检测:当 OT 安全 在网络中发现异常或可疑活动时触发事件。
OT 安全 具有一组预定义的策略(开箱即用)。此外,您可以编辑预定义策略或定义新自定义策略。
注意:默认情况下,大多数策略处于开启状态。如要打开/关闭策略,请参阅“启用或禁用策略”。
策略配置
每个策略都包含一系列定义网络中特定行为类型的条件。这包括活动、涉及的资产和事件的时间安排等考虑因素。只有符合策略中设置的所有参数的事件才会触发该策略的事件。每个策略都有一个指定的策略操作配置,用于定义事件的严重程度、通知方法和日志记录。
组
OT 安全 中策略定义的一个基本组件是使用组。配置策略时,每个策略参数均属于组,这与独立实体相反。这可以简化策略配置过程。例如,如果在一天中的特定时间(例如工作时间)在控制器上执行固件更新的活动被视为可疑活动,则不必为网络中的每个控制器创建单独的策略,创建适用于资产组控制器的单一策略即可。
策略配置使用以下类型的组:
-
资产组:系统随附基于资产类型的预定义资产组。可以根据位置、部门、重要程度等其他因素添加自定义组。
-
网段:系统根据资产类型和 IP 范围创建自动生成的网段。您可以创建自定义网段,定义任何具有类似通信模式的资产组。
-
电子邮件组:对接收特定事件的电子邮件通知的多个电子邮件帐户进行分组。例如,按角色、部门等进行分组。
-
端口组 :以类似方式使用的组端口。例如,在 Rockwell 控制器上开放的端口。
-
协议组:按照协议类型(例如 Modbus)、制造商(例如 Rockwell 允许的协议)等对通信协议进行分组。
-
计划组:将多个时间范围划分为一个具有某个共同特征的计划组。例如,工作时间、周末等。
-
标签组:对各种控制器中包含类似操作数据的标签进行分组。例如,控制熔炉温度的标签。
-
规则组:与组相关的规则,可通过其 Suricata 签名 ID (SID) 进行标识。这些组可以用作定义入侵检测策略的策略条件。
只能使用系统中已经配置的组来定义策略。系统提供一组预定义的组。您可以编辑这些组并添加专属组,详情请参阅“组”
每个策略都分配有特定的严重程度级别,而该级别指示触发事件的情况所造成的风险程度。下表介绍了各种严重程度:
| 严重程度 | 描述 |
|---|---|
| 无 | 该事件无需关注。 |
| 低 | 没有立即予以关注。应在方便时检查。 |
| 中 | 适度关注,已发生潜在危害活动。应在方便时予以处理。 |
| 高 | 高度关注,已发生潜在危害活动。应立即处理。 |
事件通知
当发生满足某项策略的条件的事件时,系统中将生成事件。“事件”部分显示“所有事件”。“策略”页面在触发事件的策略下列出事件,“清单”页面在受影响的资产下列出事件。此外,您可将策略配置为使用 Syslog 协议向外部 SIEM 和/或向指定电子邮件收件人发送事件通知。
-
Syslog 通知:Syslog 消息使用包含标准密钥和自定义密钥(经过配置,可与 OT 安全 一起使用)的 CEF 协议。有关如何解释 Syslog 通知的说明,请参阅“OT 安全 Syslog 集成指南”。
-
电子邮件通知:电子邮件消息包含有关生成通知的事件的详细信息,以及缓解威胁的步骤。
OT 安全 按照以下类别整理策略:
-
配置事件:这些策略与网络中发生的活动有关。共有两个子类别:
-
控制器验证:这些策略与网络中的控制器发生的变更有关。这可能涉及控制器状态变更,以及固件、资产属性或代码块变更。可以限制策略用于特定计划(例如,工作日期间升级固件)和/或特定控制器。
-
控制器活动:这些策略与影响控制器状态和配置的特定工程命令有关。可以定义始终生成事件的特定活动,或指定用于生成事件的一组标准。例如,在某些时间和/或在某些控制器上执行某些活动。支持将资产、活动和计划列入屏蔽列表和允许列表。
-
-
网络事件:这些策略与网络中的资产以及资产之间的通信流有关。这包括添加到网络或从网络删除的资产。它还包括网络的异常流量模式,或已被标记为引起关注的流量模式。例如,如果工程站用于与控制器通信的协议不属于预配置协议组(例如,由特定供应商制造的控制器使用的协议),则会触发事件。这些策略可限制用于特定计划和/或特定资产。为方便起见,供应商会整理特定于供应商的协议,同时您可以在策略定义中使用任何协议。
-
SCADA 事件策略:这些策略会检测设定点值的变更(可能会危害工业过程)。这些变更可能是网络攻击或人为错误所致。
-
网络威胁策略:这些策略使用基于签名的 OT 和 IT 威胁检测,来识别表示入侵威胁的网络流量。此类检测基于已在 Suricata 威胁引擎中编目的规则。
策略类型
每个类别和子类别内都包含一系列不同的策略类型。OT 安全 包括每种类型的预定义策略。您还可以针对每种类型创建专属自定义策略。下表说明了按类别分组的各种策略类型。
配置事件:控制器活动事件类型
控制器活动与网络中发生的活动相关。即在网络中的资产之间实施的“命令”。有许多不同类型的控制器活动事件。发生活动的控制器的类型以及特定活动定义了控制器活动类型。例如,Rockwell PLC 停止、SIMATIC 代码下载、Modicon 在线会话等。
适用于控制器活动事件的“策略定义”参数(即策略条件)为“源资产”、“目标资产”和“计划”。
配置事件:控制器验证活动事件类型
下表介绍了各种类型的控制器验证事件。
注意:可以通过选择“资产组”或“网段”来指定与受影响的资产、源或目标相关的策略条件。
| 事件类型 | 策略条件 | 描述 |
|---|---|---|
| 密钥开关变更 | 受影响的资产、计划 | 通过调整物理密钥位置对控制器状态进行了更改。目前仅支持 Rockwell 控制器。 |
| 状态变更 | 受影响的资产、计划 | 控制器从一种操作状态变为另一种。例如运行、停止、测试等。 |
| 固件版本变更 | 受影响的资产、计划 | 对控制器上运行的固件进行了更改。 |
| 模块未出现 | 受影响的资产、计划 | 检测已从背板中去除的之前识别的模块。 |
| 发现新模块 | 受影响的资产、计划 | 检测添加到现有背板的新模块。 |
| 快照不匹配 | 受影响的资产、计划 | 控制器的最新快照(捕获控制器上部署的程序的当前状态)与该控制器之前的快照不同。 |
网络事件类型
下表介绍了各种类型的网络事件。
| 事件类型 | 策略条件 | 描述 |
|---|---|---|
| 资产未出现 | 未出现,受影响的资产、计划 | 检测之前在指定时间范围内从网络中删除的“受影响资产”组中识别的资产。 |
| USB 配置变更 | 受影响的资产、计划 | 检测 USB 设备何时连接到基于 Windows 的工作站或从其中删除。该策略适用于指定时间范围内受影响资产组中的资产变更。 |
| IP 冲突 | 计划 | 使用相同的 IP 地址检测网络中的多项资产。这可能表示存在网络攻击,也可能是指由网络管理不当所致。该策略适用于在指定时间范围内 OT 安全 发现的 IP 冲突。 |
| 网络基线偏差 | 源、目标、协议、计划 | 检测网络基线采样期间未相互通信的资产之间的新连接。只有在系统中设置了网络基线之后,此选项才可用。如要设置初始网络基线或更新网络基线,请参阅“设置网络基线”。该策略适用于在指定时间范围内,使用“协议”组中的协议从“源”资产组中的资产到“目标”资产组中的资产的通信。 |
| 发现新资产 | 受影响的资产、计划 | 检测指定时间范围内网络中显示的“源”资产组中指定类型的新资产。 |
| 已打开的端口 | 受影响的资产、端口 | 检测网络中的新已打开的端口。未使用的已打开的端口会招致安全风险。该策略适用于受影响资产组中的资产,以及端口组中的端口。 |
| 网络流量激增 | 时间窗口、敏感度等级、计划 | 检测网络流量中的异常峰值。该策略适用于与指定时间窗口相关且基于指定敏感度等级的峰值。该策略也仅限于指定时间范围。 |
| 对话中的峰值 | 时间窗口、敏感度等级、计划 | 检测网络中对话数量的异常峰值。该策略适用于与指定时间窗口相关且基于指定敏感度等级的峰值。该策略也仅限于指定时间范围。 |
| RDP 连接(经过身份验证) | 源、目标、计划 | 已使用身份验证凭据在网络中建立 RDP(远程桌面连接)。该策略适用于在指定时间范围内,连接到“目标”资产组中的“源”资产组中的资产。 |
| RDP 连接(未经身份验证) | 源、目标、计划 | 未使用身份验证凭据在网络中建立 RDP(远程桌面连接)。该策略适用于在指定时间范围内,连接到“目标”资产组中的“源”资产组中的资产。 |
| 未经授权的对话 | 源、目标、协议、计划 | 检测网络中各个资产之间发送的通信。该策略适用于在指定时间范围内,“源”资产组中的资产使用“协议”组中的协议发送到“目标”资产组中的资产的通信。 |
| 不安全的 FTP 登录成功 | 源、目标、计划 | OT 安全 将 FTP 视为不安全协议。此策略检测使用 FTP 的成功登录。 |
| 不安全的 FTP 登录失败 | 源、目标、计划 | OT 安全 将 FTP 视为不安全协议。此策略检测使用 FTP 失败的登录尝试。 |
| 不安全的 Telnet 登录成功 | 源、目标、计划 | OT 安全 将 Telnet 视为不安全协议。此策略检测使用 Telnet 的成功登录。 |
| 不安全的 Telnet 登录失败 | 源、目标、计划 | OT 安全 将 Telnet 视为不安全协议。此策略检测使用 Telnet 失败的登录尝试。 |
| 不安全的 Telnet 登录尝试 | 源、目标、计划 | OT 安全 将 Telnet 视为不安全协议。此策略检测使用 Telnet 的登录尝试(未检测到其结果状态)。 |
网络威胁事件类型
下表介绍了各种类型的网络威胁事件。
注意:可以通过选择“资产组”或“网段”来指定与受影响的资产、源或目标相关的策略条件。
| 事件类型 | 策略条件 | 描述 |
|---|---|---|
| 入侵检测 | 源、受影响的资产、规则组、计划 |
入侵检测策略使用基于签名的 OT 和 IT 威胁检测,来识别表示入侵威胁的网络流量。此类检测基于已在 Suricata 威胁引擎中编目的规则。这些规则被划分为类别(例如 ICS 攻击、拒绝服务、恶意软件等)和子类别(例如 ICS 攻击 - Stuxnet、ICS 攻击 - BlackEnergy 等)。系统提供一系列相关规则的预定义组。您还可以为各种规则配置专属的自定义分组。
注意:您无法编辑入侵检测系统 (IDS) 事件的“源”和“目标”资产组。 |
| ARP 扫描 | 受影响的资产、计划 | 检测网络中运行的 ARP 扫描(网络侦查活动)。该策略适用于在指定时间范围内受影响资产组中的广播扫描。 |
| 端口扫描 | 源资产、目标资产、计划 | 检测网络中运行的 SYN 扫描(网络侦查活动),以检测开放(易受攻击)端口。该策略适用于在指定时间范围内,从“源”资产组中的资产到“目标”资产组中的资产的通信。 |
SCADA 事件类型
下表介绍了各种类型的 SCADA 事件类型。
注意:可以通过选择“资产组”或“网段”来指定与受影响的资产、源或目标相关的策略条件。
| 事件类型 | 策略条件 | 描述 |
|---|---|---|
| Modbus 非法数据地址 | 源资产、目标资产、计划 | 检测 Modbus 协议中的“非法数据地址”错误代码。该策略适用于在指定时间范围内,从“源”资产组中的资产到“目标”资产组中的资产的通信。 |
| Modbus 非法数据值 | 源资产、目标资产、计划 | 检测 Modbus 协议中的“非法数据值”错误代码。该策略适用于在指定时间范围内,从“源”资产组中的资产到“目标”资产组中的资产的通信。 |
| Modbus 非法函数 | 源资产、目标资产、计划 | 检测 Modbus 协议中的“非法函数”错误代码。该策略适用于在指定时间范围内,从“源”资产组中的资产到“目标”资产组中的资产的通信。 |
| 未经授权的写入 | 源资产、标签组、标签值、计划 | 检测未经授权写入指定“源”资产组中的控制器(目前支持 Rockwell 和 S7 控制器)上的指定标签的情况。您可以配置策略以检测任何新的写入、指定值变更或指定范围之外的值。该策略仅在指定时间范围内适用。 |
| ABB - 未经授权的写入 | 源资产、目标资产、计划 | 检测通过 MMS 发送到 ABB 800xA 控制器且超出允许范围的写入命令。 |
| IEC 60870-5-104 命令(开始/停止数据传输、质询命令、计数器质询命令、时钟同步命令、重置进程命令、带时间标签的测试命令) | 源资产、目标资产、计划 | 检测发送到被认为有风险的 IEC-104 父设备或子设备的特定命令。 |
| DNP3 命令 | 源资产、目标资产、计划 | 检测使用 DNP3 协议发送的所有主要命令。例如,“选择”、“操作”、“热/冷重新启动”等。还可检测源自内部指示符的错误,例如不受支持的函数代码和参数错误。 |