论文原文:A Taxonomy for Contrasting Industrial Control Systems Asset Discovery Tools
原文作者:E Samanis,J Gardiner,A Rashid
摘要
资产扫描和发现是组织了解其拥有哪些资产以及需要保护哪些资产的首要步骤。目前有大量免费的或商业的资产扫描工具专门用于识别工业控制系统(ICS)中的资产。然而,几乎没有可用的信息说明这些工具之间扫描能力的差异。使用者不清楚这些工具的扫描深度如何,以及它们是否适合用于大规模ICS之中。作者在其提出的ICS扫描分类的基础上,首次对免费使用的资产扫描工具进行了系统的功能比较,并通过实验对结果进行了验证。
一、引言
资产扫描是发现和收集连接到相关网络的所有物理和逻辑资产的信息的过程,是风险评估的关键步骤,该过程通常使用资产扫描工具来实现。安全团队使用资产扫描工具可以发现现有网络设备的脆弱性。对于IT网络,已经有大量免费的或商用的扫描工具用于实现这一目的。
对于ICS而言,其负责运行关键国家基础设施,与IT网络不同,该网络中充斥着大量的控制器、传感器以及执行器,因此被称为Operational Technology(OT)系统。OT系统负责控制和监控现实世界的过程,一旦出现问题,可能会造成灾难性的后果。由于ICS环境中通常包含大量的遗留设备,这些设备往往性能较低,当使用IT系统的资产扫描工具进行扫描时,产生的大量数据包可能会导致这些设备过载,造成设备故障,从而可能造成严重的事故。此外,由于ICS环境中使用了许多专有协议,例如S7comm、DNP3、Profinet等,因此,ICS的资产扫描不能简单地通过将IT的资产扫描工具一直到OT系统来实现。ICS的资产扫描工具不仅必须支持专用设备和协议,还必须考虑对于安全性、可靠性和实时性等关键特性的要求。
尽管目前ICS资产扫描工具的数量不断增加,但是缺乏一个框架对OT环境中各种资产扫描技术的性能进行对比分析。这使得资产拥有者难以决定使用哪些扫描工具对自己的ICS环境进行扫描,以及所选工具的扫描深度是否能满足需求、扫描过程是否会对设备造成破坏。因此,作者提出了一种分类方法用于比较ICS资产扫描工具,并以该方法为基础比较了28种扫描工具。
二、ICS系统架构
下图是一个典型的ICS架构,它包括几种类型的网络:
- 企业IT网络:管理工厂的基本功能,其中包括非军事区(DMZ),其中的防火墙用于过滤企业和ICS网络之间的进出口流量。
- 生产网络:提供SCADA系统和工业设备之间的整体监控和通信。
- 控制网络:观察和直接控制生产过程。
三、OT网络的资产扫描工具
(一)工业专有协议的挑战
在OT环境中,工作站、服务器、交换机和路由器等传统IT系统通常仅占工业工厂总资产的20%[21]。使用传统的IT资产发现方法和工具,可以相对轻松地捕获这些系统的信息。其他80%的OT资产由于不使用标准协议,不容易扫描以识别或收集其详细配置信息。
(二)主动扫描的挑战
资产扫描技术可以是被动的,工具收集网络流量并分析数据包的内容,以识别和获取有关主机的信息,也可以是主动的,工具向设备发送请求并分析响应。被动扫描是有益的,因为它不会向网络中引入任何额外流量,但是准确性稍差。主动扫描可以提供更高级别的准确性,但可能会干扰目标的正常行为,引起设备故障。
四、ICS资产扫描特征分类
这一节,作者主要介绍了如何比较资产扫描工具,定义不同的指标,根据文档和实验来确定某一资产扫描工具的特性,通过比较相应的指标,可以了解不同扫描工具的侧重点以及各自的优劣。
下图展示了作者是使用了哪些指标来刻画扫描工具的特性。
五、资产扫描工具分析
在本节,作者基于物理的实验台进行实验,按照上一节的指标,确定了28个扫描工具的各项指标,描绘了各扫描工具的特点,结果见下图。
此外,作者还讨论了各扫描工具的扫描深度,以及在使用某些工具扫描时出现的物理设备故障的情况。
扫一扫
1742
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
