2024/10/09 19:01:21
2024年5月,日本媒体《产经新闻》报导了全球首例公开证实的针对光伏发电基础设施的网络攻击。一家大型太阳能工控电子制造商(CONTEC)大约800台用于监控发电量及检测异常情况的远程监控设备(SolarView Compact)被劫持,并被用于进一步盗窃企业银行账户。此外,2024年8月30日,委内瑞拉电力部门通报,因遭遇“电力破坏”,该国发生全国性断电,全国80%以上地区暂停电力服务。委内瑞拉总统尼古拉斯·马杜罗表示,自30日凌晨以来该国一直在经历大规模停电,这是由于国家电力系统遭受的“犯罪袭击”。
随着科技的飞速发展,信息化已成为全球能源行业转型升级的重要趋势。能源企业纷纷通过信息化手段提高生产效率、降低成本、优化资源配置,以适应日益激烈的市场竞争。基于能源行业安全区域较多、资产较为分散的的网络特点与业务系统特征,以资产存活探测、指纹识别、脆弱性发现、关联分析为总体技术路线,通过主被动探测、流量监测、结合的方式,对能源行业内部众多区域资产进行全面测绘,识别并对接存活资产、资产类型、端口、协议、应用、操作系统、中间件及其版本等多维资产信息,完成资产信息的多源对接及集中化管理,构建全量且标准的网络空间全量资产库。有效解决当前面临的资产数量不清、资产类型不知、漏洞风险影响面等典型资产管理困境,适用于网络空间“摸清家底”、未知资产发现与管控、漏洞隐患治理、紧急漏洞筛查等典型应用场景。
资产安全运营是需以资产为基础,并关联到业务的安全运营,从风险识别发现,事件通报预警,事件处置的全流程能力。目前能源行业网络安全运营的风险发现主要是通过态势感知平台进行各个业务系统的安全运营管理,缺乏资产的精细化管理,缺乏业务的关联和资产本身的风险管控。目前态势感知平台覆盖范围只到统建数据中心,未覆盖到全量资产范围。随着态势感知平台逐渐扩大范围,资产管理问题将更加凸显。
·资产变更频繁,传统的资产统计方式,以静态数据源作为对接,缺乏综合管理资产统计的手段。
·资产位置分散,能源行业内部存在大量厂区,且位置较为分散,各个厂区之间承载着大量生产业务系统及信息化管理系统,由于资产所处的地理位置较为分散,难以对庞大的资产体量进行汇总。
·能源行业生产环境存在种类不同的生产系统,除传统互联网协议的管理设备外,仍有大量工控制造类型设备,日常管理难度大。
·资产指纹多样,需要庞大资产指纹建模能力进行资产分层测绘聚合能力。
·业务逻辑复杂,需要清晰的业务逻辑分析规则展现业务关联关系。
·网络边界模糊,私有云和物理机房资产形态发生变化导致资产边界模糊,难以统筹管理。
能源行业数据种类多样,数据主要由网络资产属性、设备记录、流量发现等内容组成,其具有异构性、不完备性、不准确性、高维度等特点,使得数据种类、数据格式、数据结构间存在巨大差异,同时,由于原始数据存在的缺失值与噪声问题,导致多源异构数据难以直接融合、分析,进而影响数据挖掘的精度和效果,如何解决当前场景下多源网络安全数据面临的问题是实现多源异构资产画像数据处理的关键。
网络资产指纹是表示资产间差异化的方式,也是构建资产画像的核心基础,由于能源生产系统资产数据存在多源异构和时效性强等特点,且资产存在随环境、时间等因素变化而变化的问题。在资产的调拨过程中,资产变化海量且复杂,因此难以快速实现对资产唯一性的精准识别。此外,由于资产类别种类繁多,且对应的资产属性和特点各不相同,如何为能源生产系统庞大的资产数据体量所构建资产指纹库,从而构建准确、全面的资产画像也是资产管理的主要需求之一。
在核心生产区域网络空间资产数据复杂,涉及多个维度和方面,由于数据来源的不同和数据本身的特点,存在数据质量差、数据重复等问题。基于系统的特点,资产画像标签挖掘的数据主要来源于资产属性、业务特征、资产脆弱性、外部威胁四个信息维度,这些不同粒度和不同维度的信息对资产的表示都至关重要。通常不同的构建方法仅是针对某一方面的数据进行了表示,并且面临随着资产不同维度相关数据的发现,现有的向量化表示方式或利用单一维度的标签化方式均不足以对多维度数据特征进行高效的表示和增删,因此如何根据不同的业务场景和数据特点,选择合适的算法是建立资产画像模型的关键。
FObrain资产安全运营管理的核心是完成多源数据的接入、清洗、输出,以及在此基础上进行业务层的管理和运维。实现资产底数清晰明了,内外网资产映射以及生产环境中的各类资产管理,资产标定责任人,资产漏洞以及其他风险发现等,最终完成网络攻击面的绘制,实现对于网络情况的实时动态监测。
在FObrain进行资产安全管理的基础,是完成内外部各类型数据源的接入和配置,将内部所有关联设备进行对接,包括但不限于内外网扫描探针、流量、堡垒机、CMDB等设备;在对接资产数据的分类上,按照主动扫描、被动扫描、CMDB、终端管理、手工记录等方面,进行整体数据对接。在管理流程上,根据标准数据融合流程,基于数据接入、数据解析、数据融合的方式,采取“高内聚、低耦合”分布融合方式进行数据整体融合。融合后,对资产、漏洞、人员三个维度信息进行相关信息的关联分析。根据不同的节点类型,可以选择通过已经打通的接口进行数据的拉取还是通过下发任务的形式,利用各种探针实时返回扫描结果。
此外,在对接生产环境时,结合私有云探针和实际生产环境探针,可将不同类型的环境区域资产数据进行汇总融合,并有效标记资产来源,形成不同类型区域的资产边界。
完成采集工作后,生成源数据表,系统将所有采集回来的数据生成一张原始数据源,字段以及内容完全与各个平台保持一致,并配置字段映射关系,依据当前资产管理平台系统字段,配置与各个数据源的映射关系表,实现数据的归一化处理;
配置数据融合策略,针对多种数据源获取到的同一条数据,支持自定义融合策略;生成结果数据表,依托上述融合策略,完成数据的融合展示,最终形成三张基础数据表,资产数据表、漏洞数据表、人员信息数据表;
在上述核心数据的基础上,进行业务层建设,包括资产的映射关系、资产责任人关联、两高一弱等风险事件识别,攻击路径分析与绘制,资产建模分析等。基于上述接入的数据源,根据其可以提供的数据类型进行标签化分类,统一经过标准字段模型库,完成字段的映射以及归一化处理,最终输出完整的资产、漏洞、人员清单,为后续的数据信息的融合提供基础。
在完成上一步的各类型数据对接及融合策略配置后,将对数据进行整体整理,内容包含对不同类型的资产属性进行合并去重。按照IP维度,基于IP的视角进行资产融合管理,解决IP资产覆盖度不全面的问题;按照实体维度,基于实体视角,通过业务管理维度进行业务数据整合,综合性提高资产管理价值。
在实际资产对接中,存在相同IP但资产属性不一致的问题。Fobrain针对此问题提出了更深层的解决办法,对资产数据来源进行“权重值”分配,按照用户实际业务使用场景,对更可信的数据来源进行权重标定,完成资产属性唯一的处置过程,实现资产数据的完整标定。在内部的供应链管理中,可提现在对供应链资产的标定上,对供应链资产所构成的各类组件进行刻画,深度管理资产信息。
通过绘制能源企业网络空间的导航地图,协助能源行业单位的安全管理工作方向更加清晰,决策更加有据可依,统筹更加快速高效。一方面可以构建网络空间资产基础数据仓库,使得用户对辖区内互联网资产、生产环境资产做到“摸清家底、认清风险、预警通报、监督处置”。另一方面,当发生安全漏洞或安全事件时,可快速通过“资产导航地图”去导航定位相关资产,完成对“带病”资产的检索、分布定位等一系列快速普查动作,从而为安全漏洞/事件威胁的影响评估和通报处置等决策提供参考依据。
网络空间资产测绘通过对能源网络信息化建设过程中涉及到的各类供应链资产的精准识别,绘制清晰的供应链关系网——“开发单位-使用单位-软硬产品”,有利于用户加强对供应链上下游的监督管理力度。当发生供应链安全漏洞或安全事件时,可为供应链上游开发机构快速发布漏洞补丁,下游使用单位快速修复加固、安全通报预警、处置监管等工作提供决策数据依据。
在完成全量的资产数据对接后,形成独立且唯一的资产数据库。结合华顺信安行业领先的“资产指纹”技术,对资产属性特征进行唯一值标定,从而形成唯一的核心资产数据库。考虑到能源行业资产数据量大、资产较为分散的特点,华顺信安推出资产管理+资产发现一体化的解决方案。采用轻量探针主动扫描的方式,在不影响用户网络环境下,对各类型区域资产进行有效探测,并汇总至Fobrain管理平台,完成资产统一化管理。形成标准且唯一的资产数据底座,为后续态势感知等安全平台提供资产赋能。
