ICS安全工具系列3.3:网络流量检测工具

ICS安全已经很受重视,但是有哪些商业可用的安全工具大家还不太清楚,我们根据美国爱达荷国家实验室的一篇调研报告列举一些列国际市场上可以找到的安全工具并进行简单的介绍。

似曾相识:工业控制系统环境安全工具综述zhuanlan.zhihu.com图标

这是一篇系列文章,本篇主要介绍“网络流量检测工具”。


Bro - Bro是一个开源入侵检测系统(IDS),可在基于Linux的操作系统的标准硬件上运行。它是一个专门从事流量分析的网络入侵检测系统(NIDS)。Bro保留全面的日志并提供一系列分析和检测功能,包括基于签名的异常检测。Bro的签名引擎不是基于Snort实现的,但是能够像Snort一样进行细节匹配。目前有人试图将Snort签名转换为Bro签名。Bro支持对应用层协议的独立端口分析,包括DNP3和Modbus,还支持文件内容分析。可以通过多种方式获取Bro的支持,包括邮件列表,Broalo还提供商业支持。

www.broala.com



Conpot - Conpot是一个ICS蜜罐,其目的是收集攻击者针对ICS的发动攻击的动机和方法方面的情报。这个基于Docker容器的ICS专用蜜罐,支持Modbus,S7,http,SNMP,BACnet和LPMI协议。Conpot内置了对HPFeeds的支持,HPFeeds是Honeynet项目使用的通用数据共享协议。Conpot的原始数据采用JSON格式,Python客户端使用HPFeeds库。 想要访问conpot数据的用户必须创建一个HPFriends帐户,通过HPFeeds发送数据,用户同意可以与第三方共享。

github.com/mushorg/conp



CyberX XSense - XSense持续监控网络中的OT威胁和漏洞,例如未经授权的远程连接、未打补丁或未知的设备,并提供警报和可操作的威胁情报。XSense支持REST API,并声称支持所有的ICS供应商、工业协议或SIEM。

cyberx-labs.com/en/xsen


Darktrace ICS - Darktrace分析原始网络数据并利用机器学习算法形成对组织行为模式的持续的理解,发现行为的微妙变化。对这些行为变化进行关联和过滤,以检测出现的威胁和异常情况。Darktrace要在客户网络中的SPAN或TAP端口处外接物理设备,实时被动的地监控原始网络数据,不会中断正常业务运行,并提供对所有网络活动的即时可见性,发现攻击或新出现的异常现象并及时通知用户。

darktrace.com/products/



Fortinet-Nozomi Networks - 这个联合解决方案将Nozomi Networks的SCADAguardian与Fortinet的FortiGate相结合。SCADAguardian置于OT网络上,被动地监控网络流量,创建整个网络、各节点以及网络中每个设备的状态和行为的内部表示。使用预定义和不断更新的签名,FortiGate可以识别和管理大多数常见的ICS/SCADA协议来并将其定义为“管道(conduits)”。通过配置安全策略,可以将多个服务(例如入侵防御系统IPS、防病毒和应用程序控制)分别映射到每个协议上。除了协议安全防护外,通过一组互补的签名为主要ICS制造商的应用程序和设备提供额外的漏洞保护。可以为区域之间的流量提供了更精细的应用程序级控制,使FortiGate能够检测与支持的供应商解决方案相关的已知漏洞。该解决方案能够了解所有协议的行为以及一些私有协议的行为。

fortinet.com/content/da


GridPot - GridPot是一个符号化的信息蓄力系统CPS蜜罐套件。它对信息物理系统进行符号模拟,仿真了SCADA、HMI和ICS协议。GridPot使用ETSY的天际线项目(skyline project)进行异常检测并显示实时攻击。

https://gridpot.org

github.com/sk4ld/gridpo

github.com/sk4ld/vagran



MB Connect Line mbSECBOX - mbSECBOX PLC安全解决方案可检测类似于STUXNET的恶意软件以及S7控制器上的其他可能威胁。发现威胁后,mbSECBOX PLC恶意软件检测器会在发生设备损坏之前向操作员发出警报。可以读取PLC的订货号和序列号并将其存储在存储器中。根据这些数据,PLC恶意软件检测器持续监视S7-300和S7-400控制器的静态存储区域。程序块以用户指定的间隔读取,并随时与参考备份进行比较。当对程序数据执行更改时,将通过从输出接口触发的电子邮件、文本消息、警告灯或警报器来通知系统操作员。恶意软件和病毒如果对控制器程序的未经授权的更改,也会发出警报。通过MPI-/Profibus或以太网建立与控制器的连接。出于安全原因,无法通过连接互联网的公司网络访问该设备。

mbconnectline.com/

worldindustrialreporter.com

MSi Sentinel and MSi 1 - MSi Sentinel和MSi 1一起在IP层、数字和模拟信号层进行连续的多层系统监控,为工厂、设施和控制系统提供安全保障。MSi套件提供垂直分析,以确保关键控制系统组件未受到损害。系统可以对多层信号进行实时分析和自动化的事件检测,还可以与值得信赖的系统运营商或网络安全专业人员建立安全的专用通信系统,还可以收集来自数字和模拟传感器、执行器和控制器的参数,用于审计和取证。允许自动或者在操作员引导下将控制设备恢复到已知的良好状态。

missionsecure.com/solut


N-Dimension的n-Platform 340S或440D解决方案 - n-Platform软件具有两种模式 - 监控模式和网关模式(surveillance and gateway)。监控模式功能包括SCADA入侵检测、漏洞扫描、端口扫描、可用性监控和性能监控。网关模式具有路由、防火墙、防病毒、代理过滤器、网络设备控制、VPN和LDAP功能。

cdn.selinc.com/assets/L

hometownconnections.com


OSSEC - OSSEC功能包括主机入侵检测系统HIDS、日志监控、签名分析(基于Snort2引擎)、异常检测、文件完整性检查功能和中央日志服务。它包含中央管理服务器和在监控系统上运行的代理组成。OSSEC在基于Linux的操作系统的标准硬件上运行。

www.ossec.net


Security Onion - 这是一个网络安全监控(NSM)开源工具套件,它是前面提到的所有开源解决方案的汇编。它包括NIDS、HIDS、完整的数据包捕获和分析工具。Security Onion包括Suricata或Snort、Bro、OSSEC、Sguil(管理控制台)、SQUERT(数据库的Web应用程序接口)、Snorbyg(Web应用程序接口)、ELSA(企业日志搜索和存档工具)以及许多其他工具。可以在code.google.com/p/secur上找到其中包含的工具的完整列表。它通常部署为客户端-服务器模型,但它也可以独立运行。

www.securityonionsolutions.com


Senami IDS - Senami是为西门子S7 系列控制系统环境的定制入侵检测系统IDS。Senami将传统的NIDS以及“主动”入侵检测相结合,可以直接从PLC向监控器请求监控值,它引入了“选择性、非侵入式主动监控”的概念,以避免传统ICS设备过载。 SENAMI有两个核心组件。首先,被动IDS按功能代码检查接收到的数据包数量,它们到达的时间以及源IP、目的IP和已传输的数据包。这些被动检查与系统的设定进行启发式比较,并以设定的间隔进行。其次,选择性的非侵入主动监测IDS,读取特定值并每五秒比较这些值之间的差异。超出可接受限度的差异表明试图篡改监控。这两个组件都生成警报,在IDS终端中生成实时报告并保存到日志文件中,以便使用SIEM进行进一步分析。

github.com/WilliamJardi


Snort - Snort是一个开源的网络IDS / IPS。它以签名和签名引擎而闻名,它还执行协议分析、内容搜索/分析、异常检测。签名可以免费或通过付费订阅获得,区别在于签名是否是最新的。可通过多种方法获取软件支持,包括邮件列表、博客、网络广播、电子邮件和付费订阅。Snort被思科收购并用于其产品中;但是,它仍继续支持开源模式。将Snort用于商业目的需要与思科达成许可协议。

snort.org/


Suricata - Suricata是一种开源的下一代入侵检测和预防引擎。它旨在与Snort签名一起使用,但Emerging Threats提供了Suricata优化规则。Suricata功能包括多线程(提高速度)、协议检测、gzip解压缩、流量分析、IP信誉、日志分析、IP地理信息定位GeoIP和异常检测。它在基于Linux的操作系统的标准硬件上运行。通常,使用Suricata或Snort中的一种,而不是两者同时使用。

www.securityonionsolutions.com


Symantec ICS异常检测系统 - ICS异常检测系统(Anomaly Detection for Industrial Control Systems)可提供对ICS设备及其通信的可见性,并对所有ICS协议执行深度数据包检测DPI。其先进的机器学习算法可分析小的行为变化以捕获细微的攻击,并根据事件的关键性进行优先级排序,还提供用于事件处置的取证数据。该解决方案可以使用现有硬件进行内部部署,且无需访问互联网。

symantec.com/content/da


Tofino Xenon Security Appliance (Tofino SA) - Tofino SA提供了一种简单且高效的方式来创建安全区域,根据ISA/IEC-62443的标准的建议,为PLC、DCS、RTU、IED和HMI提供量身定制的保护。它是Plug-n-Protect™产品,可以快速安装在现场网络中,无需预先配置,无需更改网络,也无需停机。它提供先发制人的威胁检测、威胁终止和威胁报告。Tofino兼容几乎所有DCS、PLC、SCADA、网络和软件产品,并根据NERC,ANSI/ISA和IEC标准保护安全区域的网络。它还可以保护与公司网络以及无线网络的连接,从而改善SCADA和过程控制网络的性能和可靠性。

tofinosecurity.com/

scadahacker.com/library ontrol%20Systems.pdf


T-Pot - T-Pot可以将Docker化蜜罐如conpot、cowrie、dionaea、elasticpot、emobility、glastopf和带有suricata的honeytrap结合在一起使用,通过NSM引擎和ELK堆栈,可视化所有事件,这些事件由T-Pot的数据提交工具ewsposter进行关联。T-Pot项目为用户提供构建自己的蜜罐系统所必需的工具和文档,并为其社区数据视图做出贡献。该工具还支持Honeynet项目HPfeeds蜜罐数据共享。

dtag-dev-sec.github.io/


TruffleHog - 源于卡尔斯鲁厄理工学院的一个内部项目,TruffleHog需要一个修改版的Snort,开发了一个PROFINET的协议解析器,用于收集“Truffles”,“Truffles”代表一个PROFINET网络包的语义分析。它跟踪所有传入的Truffles,使用语义信息构建网络拓扑(或者说是网络地图),并将其显示,实现准实时拓扑查看。

github.com/TruffleHog/T

编辑于 2019-03-28

文章被以下专栏收录

    关于工业控制系统ICS安全、工业互联网安全、网络空间安全的一些资料翻译、心得整理、论文分享等内容,为工控安全研究者提供一个交流平台。