安帝科技“全视角”OT业务可视化加快网络行为学落地应用

时间：2022-11-22 作者：安帝科技

随着“中国制造2025”、工业4.0以及数字化转型战略的加速推进，工业互联网企业面临IT与OT深度融合、海量资产泛在连接、网络边界消失云化、网络攻击复杂泛化等等重大挑战。企业在安全运营中，设备异构、数量庞大、业务复杂、管控困难等等现实问题，由来已久。OT资产可视化正是构筑体系化网络防御系统的关键基础，OT业务拓扑成为解决资产可视的有效途径。

背景介绍

北京安帝科技有限公司（以下简称“安帝科技”）工业互联网安全管理与态势分析平台，支持OT可视化拓扑图，系统根据采集资产信息自动生成OT物理拓扑，直观展示资产的物理部署情况。自动生成OT网络拓扑，直观呈现复杂的网络访问关系。自动生成OT业务拓扑，直观掌控全局资产流量访问关系。将异常资产信息及时定位，通过下发规则策略快速定位及时管控风险资产。

OT物理拓扑：展示工控企业内部不同资产设备不同节点之间的物理连接。展示了不同资产设备之间的物理分布，以形成一个连接的网络，仅关注资产的基本属性，并未展示不同资产间业务逻辑。

OT网络拓扑：展示不同资产设备之间的网络访问关系。基于物理拓扑传输数据，又独立于物理拓扑，与不同资产设备的物理排列顺序无关，展示不同资产设备网络节点之间的访问关系。

OT业务拓扑：展示不同资产设备访问者与服务者之间访问与被访问的关系，区别与物理拓扑与网络拓扑表示数据流向。基于该OT业务拓扑支持针对不同资产设备节点多、流量大、业务逻辑复杂的情况下下发管理的规则策略。
OT资产可见性是所有有效的OT网络安全计划的基础。获得对OT资产(如人机界面、历史数据库和控制器)的全面可见性，使企业能够真正了解其设施内部的情况。完整的资产清单提供了清晰的理解，这对于在工业控制环境中识别错误配置、漏洞和其他弱点至关重要。资产可见性不仅应该提供对资产存活的洞察，还应该提供对其版本、固件状态和配置状态的洞察。
为了解决这一基础性难题，安帝科技工业互联网安全管理与态势分析平台推出产品核心能力：OT业务拓扑可视化。通过OT业务拓扑可视化对不同的资产进行统一可观、可管、可控，动态下发规则策略，为工业网络环境中存在的潜在威胁分析提供支持。

OT业务拓扑的主要功能

OT资产详情可视化
支持查看企业内不同资产设备基本信息，包括资产名称、区域、资产类型、等级、操作系统、所属资产组等，同时也支持查看资产多IP情况。

OT业务访问关系可视化
支持查看不同资产设备间业务访问信息，包含相关资产IP、端口、协议、访问次数、是否属于非法访问。每个网络组内都包含一个外网标识，若组内有资产访问外网，则需要用户密切关注该资产，预防外部入侵行为；同时，可以识别出资源占用最多的资产节点。支持基于不同资产间业务流流向，分析攻击路径。

OT业务拓扑可视化
OT业务拓扑功能模块支持根据资产区域创建业务拓扑，系统将根据所选区域以网络组为对象将资产信息、网络访问关系、主机信息等多维度数据进行分析，生成业务拓扑。

OT业务拓扑可视化，针对工业互联网企业内不同区域、同一区域资产间的基础信息以及业务逻辑间的访问关系进行可视化展示。为企业安全运维管理等人员提供清晰的系统业务运行全貌、局部和相关细节，更加易于梳理资产间的业务逻辑，及时发现所有业务行为，实时对网络中业务关系进行快照，发现网络异常的行为。
同时支持将未知的设备添加为已知资产，将已知的异常访问添加为网络白名单，更加的方便快捷，为零信任微隔离策略下发、减少关键资产暴露面、防止内网横向渗透，安全事件溯源分析奠定了基础。

OT业务拓扑的关键技术

连接跟踪流量采集提升了UDP采集性能
OT业务拓扑采用连接跟踪的方式采集流量，为每一个经过网络堆栈的数据包生成一个新的连接记录项，所有属于此连接的数据包都被唯一地分配给这个连接，并标识连接的状态。采用连接跟踪的方式，更有利于抓取UDP连接，解析的流程更简单、快捷，采集的性能更高。
标准化采集提升了工业环境可视化视角
OT业务拓扑构建了一套数据采集标准，将各类元数据采集标准化，有效解决了工业环境中东西向和南北向的流量数据融合的问题，以及工业数据与常规通信融合的问题。“一张图”融合全局业务数据，提升了工业互联网安全业务可视化全局视角。
实现了高性能可扩展的自动化布局技术
OT业务拓扑将数论运算、图论算法（BFS到PageRank）高度集合，深度适配GoogleV8引擎，兼容90%浏览器。突破了重绘重拍渲染、拖拽交互、数据关联、关系连线、结构化存储等技术难点，解决了数据序列化和反序列化、数据驱动及深度交互操作等问题。针对工业环境海量的流量、日志、事件、告警信息进行整合，解决了ES分片（主分片Primary Shard和副本Replicas）合并查询性能问题。针对企业生产控制系统的行为基线、安全基线和合规标准，封装算法引擎，集成业务拓扑功能插件，增强了产品的可扩展性。

OT业务拓扑的核心价值

增强OT网络的可管理性
基于OT业务拓扑，提升了企业资产及其访问关系的安全可见性，通过了解OT环境资产的访问关系、数据流向来达到网络的可见性。通过对OT中各种工业协议数据包的发现和索引，分析网络路径不同资产间的网络流量信息，分析其访问关系是否合法合规，增强了OT网络的可视、可管、可控。
降低企业安全风险
基于OT业务拓扑，识别OT网络中的威胁，以降低风险并确保关键流程的持续运行。针对资产间访问关系以及设备告警，安帝科技通过自研网络安全漏洞库、安全事件库、威胁情报库以及安全态势感知平台等信息，整合外部安全漏洞挖掘与情报研究资源，支持及时处置风险大、级别高的告警，提升了漏洞执行效率与事件处置效率，加强了企业OT网络安全攻击防御，降低了企业安全风险。
提升安全运营效率
基于OT业务拓扑，帮助企业安全管理运维人员全面、直观了解网络中的资产基本信息、业务访问关系、异常访问行为，针对违规外联及时下发“一键断网”等策略，为网络环境中潜在威胁分析提供支持，提高了安全运维人员工作效率。同时，安帝科技即将推出SOAR（安全编排自动化与响应），通过剧本及时处置风险，减少了人工运营成本，极大了安全营运效率，实现全生命周期的工业互联网安全防护体系。
推动网络行为学落地
OT业务拓扑展示不同资产设备详情与业务访问关系。通过机器学习算法构建正常业务行为基线，监测企业内网资产的历史时序波动规律，发现资产设备异常行为，及时对异常行为产生告警，对告警资产溯源分析并处置。针对新入网的资产设备进行自适应策略学习配置，支持手动、自动两种方式实时创建、更改端口白名单、进程白名单、网络白名单等访问控制策略。基于资产行为、业务访问关系，结合策略自学习，识别资产异常行为。支持对资产统一管理、动态下发规则策略，帮助企业实现工业网络环境微隔离，减少违规外联、数据泄漏、勒索病毒等攻击事件。