行业背景
电力行业作为我国国民经济的基础性支柱产业,为人民日常工作和基础生活提供服务,其发展和建设关系国计民生,是整个国家基础安全保障体系的重要一环。随着电力行业与信息化技术的深度融合,作为关键信息基础设施的电力行业在满足全球能源互联网快速发展需求的同时,所面临的网络安全风险也越来越大。
1、合规需求迫在眉睫
电力网络环境能否安全正常运行关系到整个电网的安全,而传统安全防护产品往往不足以应对电网安全威胁感知,造成数据安全形式严峻。
《网络安全法》、《电力行业网络与信息安全管理办法》、《电力行业信息安全等级保护管理办法》等陆续颁布,说明保障电力行业数据安全已经落实到法律法规,积极响应合规需求迫在眉睫。
2、传统威胁感知易错报漏报
传统威胁感知产品大都基于真实流量分析,通过规则匹配和关联分析技术判定是否为攻击流量。电网中有种类繁多的工控协议,要分析判定攻击流量就需对工控协议进行解析。而目前电网工控协议针对不同区域、不同类型、不同供应商存在较大区别,想要将成百上千种工控协议全部解析是非常浩大的工程,极易造成威胁发现延迟,破坏网络稳定运行。
3、隔离网络威胁统一管理难
电网网络各区域间有严格的隔离策略,采用物理隔离、逻辑隔离的方式进行网络区域划分,实行差异化防护。网络隔离给区域间办公协作、信息交互等带来了一定程度的障碍,也使网络威胁感知、集中管控增加了难度。
客户需求
某央企电网集团已部署了边界防护、准入认证、态势感知等安全产品,并对包含客户核心业务系统、服务系统的内网安全管理管控予以充分重视。为积极提升内网安全威胁感知能力,客户提出如下要求:
1、及时精准威胁感知:客户想要进一步加强对内部网络威胁感知的能力,一方面能够确保第一时间及时发现攻击,另一方面由于工控协议识别、解析困难,客户需要能够更加精准感知威胁,避免有大量漏报、误报的现象发生。
2、区域隔离集中管控:由于电网网络环境内各区域按要求清晰隔离,客户需要对不同网域同时进行感知、告警、集中管控。
3、争取防御处置时间:为保护内网核心真实资产,客户希望方案能起到诱导攻击、牵制其时间精力的作用,通过拖延攻击时间,为后续防御处置争取时间。
4、部署适配网络规则:客户网络各区域相互隔离,通过网闸、文件传输等方式实现单向传输控制。考虑到网络环境能否安全正常运行关系到整个电网的安全,客户要求部署方案要完全适配现有网络规则。
方案实现
方案通过依据核心资产数量进行创宇蜜罐的覆盖,更加集中吸引攻击火力从而牵制攻击者时间精力,以达到真正实现以虚护实、保护真实资产的目的。为了满足客户的需求,在适配现有网络规则情况下使内网安全威胁感知及时精准,整体方案如下:
1、内网威胁感知及时精准
该电网客户网络区域覆盖IT信息区、办公区、生产区、安全管理区等多个区域,各区域之间以物理隔离、逻辑隔离的方式相互隔离,依托网闸、文件传输等方式实现单向传输控制,通过各个区域开关来完成网络传输方向的切换,并配置严格的多重防火墙规则。
创宇蜜罐与基于真实业务流量分析与工控协议分析的传统威胁感知产品不同,以旁路部署的方式,在该客户各网络区域中以真实资产与蜜罐系统接近1:10的比例,广布“甜蜜陷阱”自成感知蜜网,蜜罐能够灵敏感知内网横向移动并自动分析攻击行为,做到对内网威胁感知实时告警、毫秒级自动处置响应,并且大幅减少漏报、误报的现象发生。
2、分布式部署架构
创宇蜜罐采用分布式部署架构,在该电网客户划分清晰的各区域部署相应的“蜜场+客户端”做攻击流量诱捕、分析,同时考虑对电网环境特殊网络规则的适配,将分析结果单向传输到在安全管理区域部署的蜜罐控制中心进行汇总、高维度分析。
由拓扑图可见,该客户网络区域划分主要为IT信息管理区、工业生产区、安全管理区。
1、IT信息管理区:仿真常见型蜜罐自成IT蜜场
该区域中部署一个IT蜜场,其中仿真多种常见IT类型蜜罐(如:Windows主机蜜罐、Linux主机蜜罐、MySQL蜜罐等),并配置若干用于转发攻击流量至IT蜜场的蜜罐客户端。
2、工业生产区:仿真特殊工业协议蜜罐自成工控蜜场
该区域为电网环境生产网络,包含特有的工业设备、工业协议。为适配工业生产区的特殊,在此网络中可部署一个由多种仿真工业协议蜜罐(如:IEC104蜜罐、IEC61850蜜罐、电力FEP蜜罐等)构成的工控蜜场,并同样部署若干用于转发攻击流量至工控蜜场的蜜罐客户端在工业生产区中。
3、安全管理区:安全蜜场+蜜罐控制中心
作为安全设备所在区域,创宇蜜罐通过仿真客户网络已有的安全产品或常见的安全产品蜜罐(如:jumpserver蜜罐、zabbix蜜罐等)构成安全蜜场。
其中,在一个特殊的安全管理区内部署蜜罐控制中心,将IT信息管理区、工业生产区、安全管理区所有蜜场捕获的攻击流程进行初步分析后,单向传送给蜜罐控制中心,在蜜罐控制中心进行报警,并做更高维度的威胁分析,集中展示分析结果、便于集中管控。
方案效果
1、灵敏感知内网横向渗透扫描、毫秒级告警响应
创宇蜜罐分布式部署完成后的第二天,位于工业生产区工控蜜场中的IEC104蜜罐感知到上千次工控区域横向渗透扫描,并在蜜罐控制中心发出告警。
经过分析确认,该扫描行为属于安全运维部门的日常扫描行为。
管理员后续将安全运维部门的相关IP加入蜜罐白名单并开启了“忽略”,保证下次日常扫描再扫到蜜罐时,蜜罐不会再返回任何信息。
2、隔离区域威胁感知集中管控
为该电网客户部署的IT蜜场、工控蜜场、安全产品蜜场所捕获分析的数据将分别集中到蜜罐控制中心Web平台,管理员可以同时监控IT信息管理区、工业生产区、安全管理区的所有威胁数据,如下所示。
蜜罐集中管理列表
客户端集中管理列表
风险大盘汇总展示
此次案例中该电网客户主要将创宇蜜罐用于内网威胁感知,并采用分布式部署方式实现对隔离网络的同时感知、告警、集中管控,不仅加强了对内部网络威胁感知,还可以解决传统威胁感知产品遇到工控协议解析存在的漏报、误报问题。
2756
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
