基于主动检测技术的工控设备资产检测解决方案
随着越来越多的工业控制设备接入互联网,工业控制网络安全管理面临着越来越多的考验。据CNVD统计,到2010年,工业控制系统行业的漏洞已经达到2500多个。再加上近年来在全球互联网上爆发的工业控制安全事件,可以看出,工业控制网络安全问题的主要原因是工业控制协议的脆弱性,它很容易受到攻击。
针对这些工控网络安全问题,有必要对工业控制资产进行全面的安全管理,而安全管理首先需要进行资产检测,综合识别工业控制设备资产;其次,对工业控制设备资产进行脆弱性检测;最后,对检测到的漏洞进行修复和离线纠正,可以看出如何实现对工业控制设备资产的综合检测是我们要解决的首要问题。
目前,有三种主要的资产检测方法:主动检测、被动检测和基于搜索引擎的非侵入性检测。
主动检测是指通过指纹数据库中的大量指纹规则,主动向目标网络传输已构造的数据包,并从返回的数据包中快速识别资产属性信息(设备类型、制造商、品牌、模型、服务、协议等)。
被动检测是指采集目标网络的流量,分析业务中数据包的特殊字段或指纹特征,从而实现对网络资产信息的检测。
基于搜索引擎的检测是指依靠网络爬虫结果或搜索引擎获得的特殊服务器扫描结果间接实现资产检测。
主动检测方法适用于各种网络,检测速度快,可以检测不产生网络流量的资产。被动检测方法入侵性小,支持历史数据的积累,但适用范围仅限于内部网络,对不产生网络流量的资产不适用,基于搜索引擎的非侵入性检测隐蔽性强,速度快,但检测能力受到搜索引擎数据采集能力的限制,准确率相对较低。
在工业控制系统中有许多协议和标准。盛邦安全网络空间检测系统可以检测大量的工业控制协议。基于主动检测技术可以实现工业控制设备资产的节点检测、指纹检测和漏洞检测。可以检测到1400多种工业控制资产指纹,如VTScada、WestermoMRD-455、SchneiderModiconM 340、SiemensScalanceM 800、加勒比BACNET-HVAC-控制器等。
升邦安全网络空间资产检测系统是基于工业控制协议深入交互的主动检测资产识别技术,实现了对工业控制设备资产节点、指纹和漏洞的综合检测,可以帮助监管单位和工业控制系统用户对互联网空间中遗留的工业控制系统进行全方位的调查,快速定位存在的安全问题,协助纠正和通知,不仅为工业控制资产威胁态势感知提供了系统的认知基础,而且为后续的工业控制资产安全威胁分析和应急反应提供了有效的支持。