上周四,工业网络安全与威胁情报公司CyberX宣布推出ICS攻击向量预测技术,这是一种模拟技术,可以对当前工控环境中的漏洞及资产进行高级分析,并能够可视化的模拟攻击形式及路径,进而预演各种缓解措施的效果,组织可利用这种技术,更有效而熟练地利用有限资源和狭窄的维护时间窗口。
工控安全ICS攻击向量预测技术
CyberX公司将这种新型的 工业控制系统(ICS)安全 服务命名为“ICS攻击向量预测”。基于公司专有的分析技术,该服务可持续预测潜在的攻击位置,帮助组织预防攻击。
方案可针对运营技术(OT)网络中关键资产的所有潜在攻击链进行直观展示,并根据风险级别对攻击场景进行排序,安全团队可依此确定处理风险的先后次序。
网络安全人员可获得每个漏洞的详细缓解建议,包括为Windows设备打补丁、升级有漏洞的PLC固件、停用不必要或不受控的远程访问方法。
CyberX的内部ICS安全专家还针对组织给出了一些建议,尤其是制造、制药、化工及油气行业的大型和跨国组织,如何设计最高效、最实用的缓解策略。
安全团队可轻而易举地模拟每项缓解措施的效果。例如,他们可模拟打补丁或隔离设备,确定是否可以消除关键系统所面临的风险。
扫描OT网络不像扫描IT网络那样简单,因为进入系统会导致业务中断。CyberX称,为防止客户系统中断,产品使用无代理资产发现和漏洞评估技术模拟攻击向量,这种技术结合了对工业系统的深入了解和非侵入性流量分析。
(小编,要发现当前环境中的资产及相关问题,一般有两种形式,1种是在被监测对象上安装一个探针或者代理,可能是个小装置或者一段小程序,便于收集信息,但这在实时性及可靠性要求较高的工控环境中,可能会造成一些不利的影响,所以现在工控环境中还有一种方式是2基于协议和流量的方式,也就是所谓的非代理或者无代理形式)
攻击向量预测技术作为基础CyberX平台的组件,现有客户无需额外购买。CyberX平台按被监控设备(包括物理和虚拟设备)的数量定价。
CyberX满足Gartner自适应安全架构要求
CyberX表示,在产品中加入攻击预测技术后,可满足Gartner的“自适应安全架构”框架提出的四个要求:预测、防御、检测和响应。
预测 : CyberX 的预测能力是由其新的攻击向量预测技术提供的。 它采用了高级分析, 以不断预测针可能的攻击路径,这些攻击主要针对对组织关键的运营技术 (ot) 资产目标。这样, 安全团队可以快速模拟缓解措施,以调整其安全态势并减少其攻击面, 例如 "如果我隔离或修补此不安全的设备, 它是否会消除我的最关键资产的风险?这种创新的方法,使安全小组能够主动降低风险, 并优先考虑缓解动作, 更有效而熟练地利用有限资源和狭窄的维护时间窗口。 此外, 对可能的攻击路径进行可视化,有助于业务管理, 而利益相关人可以更为直观的理解顶级风险对其最有价值资产的业务影响。
防御: CyberX 的无代理资产发现和自动化的、非侵入性的漏洞评估,使组织能够强化易受攻击的系统, 识别无管理设备, 确定薄弱的分区规则, 并防止发生袭击。 此外, CyberX 集成了工业标准防火墙, 如Checkpoint,也集成了单向网关,如Waterfall, 以自动阻止恶意通信或隔离受恶意软件感染的主机。 CyberX 还提供了一个完整的 rest api, 用于与其他预防解决方案集成。
检测 : 网络提供连续的 ics 威胁监测和异常检测, 以便能够针对可疑或未经授权的行为进行及时预警, 例如在网络侦察期间进行端口扫描,异常的设备命令和错误,以及对 plc 梯形逻辑和固件进行未经授权的更改。 CyberX 的检测能力利用了 CyberX 对工业协议的深入理解, 并结合特定于 ics 的行为分析和专门为机器 (M2M) 通信设计的机器学习算法。
响应 : CyberX 平台提供了深入的取证、调查和威胁搜寻能力, 拥有先进的数据挖掘工具, 并实时访问高保真的 PCAP 文件,便于进行下钻分析。 ir 团队可以根据自定义搜索参数,轻松地搜索历史流量, 包括 ics特定的查询, 如每个工业协议特有的函数代码。 CyberX 支持所有 SIEMs, 并提供了一个 rest api, 便于与现有的 soc 工作流和消除数据仓库进行集成。
Gartner自适应安全架构
自适应安全架构(Adaptive Security Architecture,ASA)是Gartner于2014年提出的面向下一代的安全体系,云时代的安全服务应该以持续监控和分析为核心,覆盖防御、检测、响应和预测四个维度,可自适应于不同基础架构和业务变化,并能形成统一安全策略应对未来更加高级的攻击形式。
自适应防护架构的关键能力
1. “防御能力” 是指一系列策略集、产品和服务可以用于防御攻击。这个方面的关键目标是通过减少被攻击面来提升攻击门槛,并在受影响前拦截攻击动作。
2. “检测能力”用于发现那些逃过防御网络的攻击,该方面的关键目标是降低威胁造成的“停摆时间”以及其他潜在的损失。检测能力非常关键,因为企业应该假设自己已处在被攻击状态中。
3. “回溯能力”用于高效调查和补救被检测分析功能(或外部服务)查出的事务,以提供入侵认证和攻击来源分析,并产生新的预防手段来避免未来事故。
4. “预测能力”使系安全系统可从外部监控下的黑客行动中学习,以主动锁定对现有系统和信息具有威胁的新型攻击,并对漏洞划定优先级和定位。该情报将反馈到预防和检测功能,从而构成整个处理流程的闭环。
原文发布时间:2017年7月23日
本文由:securityWeek发布,版权归属于原作者
原文链接:http://toutiao.secjia.com/ics-attack-vectors-predicts#
本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站