基于企业对信息(Information Technology,IT)系统和工控(Operation Technology,OT)系统网络安全态势感知平台的实际需求,研究提出IT和OT网络安全态势感知平台联合开发技术架构,并根据工程实现难易度提出部分功能融合和全面功能融合两种技术路线,同时在企业成功进行了实践应用,形成了覆盖IT系统和OT系统的“感知—预警—评估—处置”全流程的网络安全管理体系,有效提升了企业的网络安全管控能力。
网络安全态势感知平台作为网络安全的实时守护者,是实现“全天候全方位感知网络安全态势”的主要手段。随着国内网络安全形势日渐严峻,企业纷纷建设网络安全态势感知平台,但目前尚无统一的网络安全态势感知平台国家标准。国内安全厂商有专门针对信息技术(Information Technology,IT)系统开发的态势感知平台,也有专门针对工控技术(Operation Technology,OT)系统开发的态势感知平台。
对于具有OT系统的企业来说,通常分别建设IT系统和OT系统两套网络安全态势感知平台,容易造成企业重复投资建设,也不便于网络安全统一协同管控。为解决此问题,本文提出一种IT与OT网络安全态势感知平台联合开发技术,并在企业进行应用实践。
一、问题及需求
一、问题及需求
在建设层面,网络安全态势感知平台作为专业的网络安全管控系统,要求操作和使用人员具备较高的专业知识和实践经验能力。如果分别建设IT和OT态势感知平台,企业需要配备两个专业支撑团队,并分别进行运行维护,同时需要分别建设两套独立的数据分析和显示平台,增加企业的建设资金投入,在监测和运维方面均增加了工作量,不利于企业的统一管理和使用。
在安全层面,IT系统和OT系统都会结合威胁情报进行数据分析,并对海量数据进行挖掘,以实现对安全事件和威胁事件的深度识别。网络威胁情报就网络资产可能存在或出现的风险、威胁,给出相关联的环境、机制、指标、内涵及可付诸行动的建议,可为企业响应相关威胁或风险提供决策帮助。IT和OT网络威胁情报分别揭示了IT网络和OT网络可能面临的威胁或危险。对于企业而言,IT和OT是企业的左右手,相辅相成。目前,IT系统和OT系统分别拥有自己的网络威胁情报库但无法共享,不能实现安全威胁的协同感知和统一处置。
在监管层面,国家监管部门需要统一监控IT系统或OT系统的网络风险,最终通过一套平台采集数据。
综上,对于企业而言,希望拥有IT与OT一体化网络安全态势感知平台,并能实现以下功能:
( 1 ) 能够使用一种探针采集所有数据;
( 2 ) 能够统一对企业各种异常行为以及日志与告警等数据进行审计,并形成完整记录,以实现安全事件取证;
( 3 ) 能够统一识别企业IT/OT网络中潜藏的攻击者;
( 4 ) 能够统一研判企业IT/OT网络中受害主机资产;
( 5 ) 能够统一呈现企业IT系统和OT系统的综合态势、资产态势、漏洞态势以及威胁态势等内容;
( 6 ) 能够对所有数据分析结果以图形、图表和报告等多种形式在统一的界面上进行直观展示;
( 7 ) 能够把IT/OT威胁情报库与漏洞库进行统一管理,并支持统一更新;
( 8 ) 能够兼顾国家部委网络安全监管需求,预留相关对接接口,统一上报数据并统一接收威胁情报。
二、联合开发技术路线
二、联合开发技术路线
2.1 通用技术架构
综合分析文献[3-10]可以看出,不论IT系统态势感知平台还是OT系统态势感知平台,常用技术架构均由数据采集层、数据处理与分析层以及展示层组成,如图1所示。
图1 IT/OT态势感知平台技术架构
( 1 ) 数据采集层。通过流量探针采集网络中的原始流量、监测数据、资产数据、终端行为、审计数据和元数据等各种信息,构成态势感知平台的大数据源。IT系统和OT系统的区别在于采集源和侧重点不同。其中,IT系统主要采集通用网络设备、安全设备以及终端等数据,OT系统主要采集现场工业控制设备、自动化设备、控制监控系统以及终端等数据。
( 2 ) 数据处理与分析层。数据处理与分析层将汇聚到的数据进行存储、清洗以及分析处理。对于数据分析的技术和方法,IT态势感知和OT态势感知类同,都会采用关联分析、机器学习等技术,根据各自不同的特征向量和使用场景进行训练,构建专用规则模型,再结合各自威胁情报库对数据进行分析和研判。
( 3 ) 展示层。展示层主要以可视化方式呈现分析结果,并提供多种措施管理企业的资产、日志、告警以及漏洞等信息,协同处置高风险行为。IT系统和OT系统展示层均有对系统资产、漏洞、威胁以及态势等情况的展示,功能类同。
2.2 联合开发技术路线
通过对IT和OT态势感知平台技术架构的分析和研究可以看出,二者在技术架构和功能上均有类同,只是各自实现方式不同。因此,本文提出把IT系统和OT系统态势感知平台进行技术融合,联合开发统一的态势感知平台(以下简称“融合态势感知平台”)。根据态势感知平台技术架构,联合开发意味着在技术架构的3个层次上进行融合。
对于数据采集层,需要开发一款采集探针,能够同时采集IT和OT的数据。由于IT与OT部署的物理位置与数据采集内容的侧重点不同,即使技术融合后也需分开部署。再由于IT和OT系统内使用协议和采集数据类型不同,数据结构差异较大,需要统一数据结构和标准后融合,难度较大。
对于数据分析层,IT与OT采用的技术类同,只是数据模型、规则和协议不同,可进行数据融合分析。对于情报库,可根据情报类型和属性进行分类,融合成统一的情报库。
对于展示层,主要以可视化界面为主,可融合为统一的展示效果,较易融合。
可以看出,3个层次融合的难度为采集层>数据分析层>展示层。本文基于联合技术开发难度和投入成本等因素,提出阶段式融合方式。
第一阶段,实现最利于企业操作实践的部分功能融合。将IT和OT两套态势感知平台展示功能和部分数据分析功能融合在一起,实现统一的分析和可视化展示效果,使企业能够在融合的展示界面上看到整体风险和威胁情况,并能进行统一的协同处置。
第二阶段,在部分功能融合的基础上,对数据处理与分析层和采集层进行深度融合,最后形成一套统一的平台,实现IT和OT态势感知平台的全面功能融合。
2.2.1 部分功能融合
( 1 ) 技术路线。部分功能融合为保留两个平台各自独立的数据采集层和数据分析层,在展示层面融合部分核心功能,在保持主题风格、操作逻辑等可视化内容统一的前提下整合技术架构,把IT与OT各自的特色功能统一展示。在数据与功能层面,融合IT和OT数据分析功能及分析结果,并对分析结果结合IT和OT大环境再次进行关联分析和深度挖掘,能够对攻击杀伤链的7个步骤进行更深层次探测,精准识别风险。在系统运行层面仍为两个独立运行的平台,不融合情报库和采集探针。技术融合部分如图2中粗线框图所示。
图2 部分功能融合技术路线
( 2 ) 实现方式。继承IT和OT系统已有的态势感知产品的技术和功能,进行IT和OT态势感知呈现和展示功能的统一化设计,分两步实现。
第1步:以其中一个态势感知平台的前端业务处理为基础,在继承和沿用IT和OT态势感知平台的主要功能和模型算法的基础上,通过实现统一的数据交互接口和统一的用户认证授权接口,实现两个态势感知分析数据和前端业务的融合。此步的关键点在于把IT和OT各自的安全分析结果数据通过关联分析模型,从攻击链、攻击源以及时间关联性等角度进行二次分析,为最终的综合态势提供数据支撑。同时,为了使IT和OT两个平台结合为一个有机的整体,需要把前端页面整合在同一个前端框架中,而后端的数据分布在两个分析平台上。所以,需要进行统一数据交互接口、统一用户认证授权接口等融合性开发,以实现数据分析功能分布式部署、前端管理呈现高度集成的效果。
第2步:把IT和OT的分析结果统一汇总并进行关联分析后,在统一设计的界面上呈现IT和OT融合的态势分析效果。
( 3 ) 实现功能。第一,能够统一识别企业IT和OT网络中潜藏的攻击者;第二,能够统一研判企业IT和OT网络中受害主机资产;第三,能够统一对企业各种异常行为、日志与告警数据进行审计,形成完整记录,实现安全事件取证;第四,能够统一呈现企业IT系统和OT系统综合态势、资产态势、漏洞态势以及威胁态势等内容;第五,能够对所有数据分析结果以直观的图形、图表和报告等多种形式呈现在统一的界面上。
2.2.2 全面功能融合
( 1 ) 技术路线。在部分功能融合的基础上,实现IT和OT两个态势感知平台系统层、数据处理层、采集层以及威胁情报库的全面融合。以任一方态势感知平台系统层为基准,重新开发另一方态势感知平台系统层并进一步全面对接,最终形成统一的平台。优先把平台系统层和数据分析层进行融合,再把采集探针和情报库进行融合。融合部分如图3中粗线框图所示。
图3 全面功能融合技术路线
( 2 ) 实现方式。采用共用平台和共用技术架构统一IT和OT态势感知的技术平台、数据采集器、数据采集和存储架构、数据分析引擎、情报库和业务逻辑。分3步实现全面融合。
第1步:开发一款采集探针,既能采集IT数据又能采集OT数据,完成数据采集分析功能和数据格式的统一。此步的关键点在于研究分析IT和OT数据在资产、事件、漏洞以及告警等方面的共性与特性,设计一套兼容IT和OT数据的数据标准,定义统一的数据格式,并依此标准开发IT和OT数据采集探针,对采集的数据进行统一清洗、入库。
第2步:以IT或OT一方平台为基础,在其上完成另一方特性功能模块开发与数据融合。例如,以OT态势感知平台为基础作为融合平台,在其上增加如IT网处置机制、监管机构对接接口以及IT网智能检测等功能,并进行适应性研发。
第3步:完成两套情报库的融合。分析IT和OT两套情报库的情报类别、条目以及数据结构等内容,设计一套兼容IT和OT情报的数据结构,对两套情报库的数据根据统一的数据结构进行格式转换,并进行统一的存储和发布,形成一套情报库。
( 3 ) 实现功能。在部分功能融合开发实现功能的基础上,增加下列功能:能够使用一种探针采集所有数据;能够将IT和OT威胁情报库与漏洞库进行统一管理,并支持统一更新;能够兼顾国家部委网络安全监管需求,预留相关对接接口,统一上报数据并统一接收威胁情报。
三、应用实践
三、应用实践
本文设计的IT与OT网络安全态势感知平台联合开发技术已在中国航空油料集团有限公司成功进行建设实践。前期先进行部分功能融合,最终采用全面融合方式实现该企业管理信息系统与工业控制系统网络安全态势感知平台的全面功能融合,形成了统一高效的网络安全通报预警和协同响应工作机制。
采用部分功能融合形式,在该企业使用一套统一的网络安全态势感知界面对管理信息系统和工业控制系统的网络安全威胁情况进行统一的分析和处置,呈现效果如图4所示。
图4 中国航油融合态势感知平台应用效果
应用融合态势感知平台后,整合中国航油现网存量网络安全资源,使“安全防御孤岛”产生协同效应,建立了管理信息系统和工业控制系统综合的大数据处理、威胁研判、应急响应、信息共享以及协同工作机制。
四、技术创新性
四、技术创新性
( 1 ) 采用多元数据采集技术,统一IT系统与OT系统数据标准,为关联分析提供泛化的数据源;
( 2 ) 构建IT系统和OT系统关联分析的数据模型和综合研判检测规则,兼顾IT系统和OT系统的攻击特征,能够更深层次地探测攻击杀伤链的7个步骤,更精准地识别企业网络中存在的安全风险和威胁;
( 3 ) 实现IT系统与OT系统情报库的统一分类和融合;
( 4 ) 实现IT系统和OT系统一体化网络安全风险管控。
五、结语
五、结语
本文提出的IT与OT网络安全态势感知平台联合开发技术,借助统一的态势感知平台实现企业办公网安全和工业控制系统网络安全的关联分析和综合态势感知呈现,建立形成覆盖企业信息系统和工控系统的“感知—预警—评估—处置”闭环管控机制,有力提升了企业的网络安全整体防御能力。
原文来源:信息安全与通信保密杂志社
原文始发于微信公众号(网络安全应急技术国家工程实验室):IT与OT网络安全态势感知平台联合开发技术与实践