概述
工业控制系统,简称“工控系统”、ICS等,是OT网络中重要的组成部分,在Purdue模型中分属于Level-1,其包含PLC、DCS、RTU等负责控制Level-0现场层设备(机械臂、马达等)。
然而,现实情况是多数企业的OT管理人员,并不十分清楚所管辖的OT网络内具体有哪些资产、这些资产来自哪些厂家、具有什么漏洞、有哪些风险/威胁,可以说对于OT网络处于“黑盒”状态,十分不利于安全管理及安全运营。
可见性涵盖内容
安全角度认为“不可见即不安全”,打开“OT黑盒”是安全工作的第一步骤,具体包括:
- 资产可见性
资产属性,包含但不限于:IP、MAC、厂商、型号、版本、固件、所属Purdue模型层级、重要程度等。
- 漏洞可见性
OT设备系统漏洞、版本漏洞、协议漏洞、漏洞修复建议等。
- 威胁可见性
病毒、异常行为、攻击链、告警等。
- 风险可见性
不安全的OT网络架构、非授权情况下OT设备访问外网、终端成为非法者跳板机、低版本协议的使用、默认密码不修改等。
- 行为可见性
OT网络会话、操作流程、配置文件增改删查、人为误操作等。
可见性在OT网络中面临的挑战
众所周知,当前工业基础实施多为国外厂商把持,例如:德国西门子、美国通用电气、瑞典ABB、日本三菱等,而相关的工业通讯协议都是厂商私有化,这是实现OT网络可视化不可逾越的技术壁垒,而市面上多数可视化工控安全平台只能解析/识别部分标准化工控通讯协议,如:DNP3、MODBUS、ETHERNET/IP,所以对工控通讯协议识别的多少成为评估相关产品最重要的指标之一。
总结
随着“工业制造2025”、“工业4.0”、“两化融合”等概念的普及和推广,IT融入OT之后,也必将打破OT原有的数据孤岛效应,大量安全问题也将涌入OT,而可见性便是安全人员保护OT网络的第一步,在此基础之上方能开展后续安全工作。
