MOSAICS(More Situational Awareness for Industrial Control System,工业控制系统扩展态势感知框架)的JCTD(Joint Capabilities Technology Demonstration,联合能力技术演示)是美国国防部(DoD,Department of Defense)的一项努力尝试,旨在开发和演示一种操作能力,以增强与任务关键型资产相关的工业控制系统的态势感知和防御能力,使其免受非动能攻击。
其中,JCTD项目计划通过在两到四年内执行和演示原型,来满足联合作战司令部的作战需求。该计划提供开发和作战原型,以经济实惠的方式实施技术,使作战人员能够探索新概念,并促进向正式采办计划的过渡。
本文重点对MOSAICS项目的技术背景、项目内容和应用情况进行介绍。
一、背景和现状
先介绍本文相关的几个关键技术和关键词。
ICS,Industrial Control Systems,工业控制系统,用于描述硬件和软件与网络连接的集成,以支持关键技术设施;
IOT,Internet of Things,物联网,是一种计算设备、机械、数字机器相互关系的系统,具备通用统一识别码(UID),并具有通过网络传输数据的能力,无需人与人、或是人与设备的交互;
OT,Operational Technology,运营技术,其实质为电子、信息、软件与控制技术的综合应用。OT技术是直接对工业物理过程、资产和事件进行监控和/或对其实施改变的硬件和软件。直观来看,OT实际就是工业控制系统(PLC、DCS、SCADA等)及其应用软件的总称【1】。
自20世纪70年代以来,工业控制系统网络为所有关键基础设施部门提供了安全、高效的监控和使用。以美国国防部为代表的美国政府部门在世界各地的基础设施严重依赖ICS。ICS网络允许远程控制作战系统,以支持不同任务空间的作战人员。20世纪90年代,为了提升ICS应用效率,之前物理隔离的ICS网络被改造成与互联网进行连接。如今针对ICS的网络威胁已经发展成为对国家安全最重大威胁之一。这种威胁再加上固有的网络安全缺失和ICS设备长使用寿命特点,为网络攻击创造了理想条件,进而可造成物理和有形的影响【2】。
当前工业控制系统面临的问题比传统IT领域的问题更大更多,一方面,OT过于复杂和多样化,无法使用标准IT方法和工具进行保护;另一方面,IT网络现在已经过载OT,增加了更多的复杂性、风险和成本,而且该问题难以解决。以美国国防部的数据为例,OT设备数量达到了26亿个,搭载着超过9000个不同平台的操作系统,使用寿命达到30年,而且只有60%-80%设备拥有IP地址,难以开展有效管理。
这进一步导致各类针对ICS攻击的频率和强度都在增加,其中中断、延迟或破坏关键基础设施是攻击者的主要动机,如水、油气管道或电力供应等。
但在ICS领域几乎涵盖了各个行业,其市场空间巨大,更是直接影响到民生,因此对于安全的诉求也极其迫切,这也是发起MOSAICS项目初始动机。
二、MOSAICS基本情况介绍
MOSAICS(More Situational Awareness for Industrial Control System,工业控制系统扩展态势感知框架)是基于COTS(商业现成)和GOTS(政府现成)技术的集成,用于增强与任务关键资产相关的工业控制系统的态势感知和防御,该项目计划3年时间投入2000万美金用于操作能力的开发和演示【3】。
MOSAICS项目的内容侧重在:展示在与任务相关的时间范围内确定控制系统漏洞的基线,并半自主地识别、响应和从对关键基础设施的非对称攻击中恢复的能力。
对于系统防护人员而言,其价值在于:
-
加强对关键基础设施风险和支持的运营能力的理解
-
更快地检测控制系统威胁 — 从几个月到几分钟
-
提高态势感知能力,推动实时决策辅助,以实现网络防御者响应
-
在与任务相关的时间内破坏对手的杀伤链
-
通过加强指标共享和缓解措施来限制对手重复使用攻击
-
服务中应用的开放系统架构
MOSAICS项目得到诸如网络空间安全、美国军方和工业领域的多方政府部门、研究机构和企业的参与和支持。
MOSAICS项目基于现有的项目进行发展演进和扩展,以实现对ICS安全能力的更为体系化的集成和自动化。
MOSAICS项目与IACD项目在OT领域的延伸和扩展存在一定的交叉,IACD的相关资料请参考“IACD集成的自适应网络防御框架”。
相比较而言,在IT领域开展能力集成和自动化的工作,已经开展超过50年,而在OT领域,这部分的工作开展还不超过三年,整体属于起步阶段。
MOSAICS核心的核心运营步骤如下:
-
建立基线
-
监控设备、网络或状态变化
-
威胁注入恶意活动
-
MOSAICS感知中断,提供告警
-
MOSAICS提供可用的COA
-
用户根据建议采取行动
MOSAICS项目基于系统工程方法进行构建,涵盖功能/运营能力开发、技术能力分配、技术开发和集成等内容。
三、MOSAICS的功能需求分析
对于MOSAICS的具体操作要求如下【4】:
-
保护任务关键资产免受破坏性网络攻击;
-
增强入侵检测
-
自动执行高级网络工业控制系统TTP
-
提供强大的分析和决策支持
-
提供可行的态势感知和企业信息共享
为实现上述要求,按照Identity识别、Protect保护、Detect检测、Analyze分析、Visualize可视化、Decide决策、Mitigate缓解、Recover恢复、Share分享等阶段进行功能要求的拆解。
其中,在“识别”阶段,主要是清点支持设施任务的关键系统设备和组件,并根据脆弱性评估的重要性和结果进行分类,并确定内部外部数据流和连接。该阶段的关键任务有:
-
盘点物理设备
-
清点软件组件
-
映射通信流
-
映射数据流
-
根据重要性和脆弱性对系统组件进行分类
-
确定优先事项
在“保护”阶段,主要是实施控制以限制授权用户、流程和设备对物理和逻辑资产的访问,并保护传输中数据和静态数据。该阶段的关键任务有:
-
管理身份和凭据
-
保护静态和过渡中的数据
-
管理设施ICS资产
-
防止ICS数据泄露
-
保护通信和控制网络
-
对软件、硬件、固件信息完整性执行完整性检查
-
维护ICS保护系统
-
维护ICS保护/监控系统的审核日志
-
防范网络威胁
在“监控/检测”阶段,主要是监控系统组件是否存在对抗性存在的迹象,如恶意活动和异常,包括恶意代码和未经授权的人员、连接、设备和软件的证据,并监控系统组件是都对基线配置进行未经授权的更改。该阶段的主要任务有:
-
监控关键基础架构状态
-
从基线配置中检测更改
-
监控系统组件
-
检测恶意软件
-
检测异常行为
-
检测违反规则/策略的行为
-
生成事件
在“分析”阶段,主要是检查异常或恶意活动,以确定系统是否存在威胁,并评估检测到的威胁的严重性和类型。该阶段的主要任务有:
-
配置文件网络和系统
-
与正常行为进行比较
-
执行系统分析
-
执行恶意软件分析
-
进行网络分析
-
对事件进行分类
-
执行事件关联
-
记录事件
在“可视化”阶段,主要是向系统操作员提供系统运行状态以及恶意和异常活动的可视化,并创建恶意和异常活动的日志和报告。该阶段的主要任务有:
-
收集系统状态
-
展示设施能力的顶层视图
-
展示受影响的网元
-
展示受影响的设备
-
展示事件的标识
-
展示功能影响
-
展示信息影响
-
接受操作员确认
在“决策”阶段,主要是评估事件并确定手动和自动行动方案,以最大限度地降低风险,同时考虑各种COA的任务影响。该阶段的主要任务有:
-
生成可用的COA
-
确定自动化COA
-
向用户展示COA
-
考虑设施优先级
-
考虑威胁严重性
-
考虑CI可用性
-
考虑任务优先事项
在“缓解”阶段,主要是执行必要的行动过程,以消除或最大限度地减少恶意活动、异常和威胁产生的任何有害影响。该阶段的主要任务有:
-
选择缓解技术
-
保护要应用缓解措施的设备/节点
-
保护/多样化/分段/停止/重新启动/切换到手动控制
-
观察系统对缓解措施的反应
在“恢复”阶段,主要是执行将系统恢复到完成可执行任务的状态所需的活动。该阶段的主要任务有:
-
确定恢复所需的结束状态
-
考虑恢复时间范围
-
考虑回收COA列表
-
选择恢复COA
-
保存数据以进行取证分析
-
重新启动/重新初始化/重置访问/更换/重新连接
-
系统组件的测试操作
-
观察恢复进度
在“共享”阶段,主要是收集经验教训、事件数据和证据,以便与其他组织协调,加强有效应对网络威胁的能力。该阶段的主要任务有:
-
选择要共享的数据
-
从外部来源接收数据
-
接收共享请求
-
收集数据
-
存储数据
-
设置访问权限
-
启动/拒绝对数据的访问
-
发送数据
四、MOSAICS对决策的支持情况
考虑到在ICS系统的相关工作中存在着三种角色:网络运营人员、控制系统工程师和事件响应团队。
这三类角色在擅长的技术领域方面存在差异,对于网络运营人员,对数据有深入的了解,但可能会被警报淹没;对于控制系统工程师,了解工控系统但不了解网络数据;对于事件响应团队,他们是资深网络专家,但不是工控系统专家。在发生工控系统安全事件时,任何一种角色都难以独自应对。
MOSAICS 的目标是监控设施,并在系统内出现需要注意的网络异常或问题时,向操作员和其他利益相关者发出警报。因此开发了MOSAICS系统,以实现对上述三种角色支持。
在MOSAICS项目中,开发了MOSAICS系统,以支撑ICS系统中的三种角色的工作,包括网络运营人员、控制系统工程师和事件响应团队。
具体的,对于网络运营人员,其需要大量数据采集点来监控系统,并且需要调查告警以确定其有效性。MOSAICS 设计了一个告警数据结构来整合各种数据源并关联输出,以便向操作员提供“高可信度”告警。这是一种可扩展的分析架构,用于随时间接收、关联和汇总可能与单个攻击相关的警报信息,并将生成的告警发送到编排器进行自动化调查。
并最终在MOSAICS系统的可视化功能中显示,该系统使用ACI TTP标签创建事件,为操作员提供预先批准的缓解选项,并提供人为决策,实现自动执行缓解操作策略。
对于控制系统工程师,该角色关注:设施关键部件网络监控、区分网络影响和物理故障,MOSAICS系统将工控系统中的数据和信号进行接入,结合网络状态现有设施/物理可视化,将物理后果返回网络报告。
对于事件响应团队,他们需要在接到事件警报时协助调查和处置。虽然事件响应处置团队中有深厚的网络专家,但他们对控制系统和环境的了解有限,缺乏确定攻击者行动所需的基本数据,如基线数据(已知状态)、其它事件/警报数据、基线配置的增量等。MOSAICS系统可以提供在其他环境中经常丢失的关键线索。
五、MOSAICS攻击模拟示例
整个ICS系统架构如图所示
其中绿色部分为MOSAICS工具集部署的位置
模拟的攻击是Crach Override崩溃覆盖,目的是攻击电网,该攻击在2016年乌克兰电网网络攻击中使用。整个攻击是完全自动化的,可以更快地执行攻击,而且准备更少。其中崩溃覆盖包含四个有效负载模块,重点关注与电网设备和电网内开关断路器直接通信的模块。
攻击者的攻击过程如下:
1、攻击者对IT和SCADA设备进行攻击
2、攻击者恶意软件到操作工作站,并创建C2信标和信道
3、攻击者使用C2信道初始化崩溃负载,并在工作站执行
4、崩溃利用SCADA协议向特定继电器相关的断路器发送跳闸命令
5、从流量侧,可以看到使用SACDA协议针对继电器的崩溃攻击的证据
6、可以看到跳闸的断路器。
7、断路器跳闸对整个电网运行造成影响,造成整个电力系统停电
而使用了MOSAICS系统以后,整个攻击者的攻击过程和防护人员检测、分析和响应的整个过程将在MOSAICS系统上呈现,如下:
1、检测C2信道建立
2、检测C2信标
3、检测崩溃载荷文件
4、检测新的工作站和继电器之间的SCADA命令
5、检测新的命令到断路器
6、系统建议针对崩溃攻击采取的行动
六、MOSAICS的Spiral0 实现
在第二章中提到,MOSAICS项目与IACD项目在OT领域的延伸和扩展存在一定的交叉。MOSAICS与IACD进行协作配合,在速度和规模上,取得积极进展。
NSA赞助将IACD概念应用于ICS/SCADA,用以证明能够通过Spiral0实现自动执行ACI TTP的各项内容【5】。
在整个的实现过程中,使用DEMISTO进行安全编排,使用ELK进行安全信息事件管理系统构建,使用NOZOMI构建基于网络的入侵检测系统,使用Microsoft的Sysmon和Autorun进行终端安全检测和响应,使用Paloalto的NGFW下一代防火墙。
在整个ICS系统中进行数据采集和部署。
在“恶意进程检测和响应“的参考实现中,解决了攻击者在监控系统上启动,生成恶意命令,并将恶意命令发送到ICS组件中,以破坏配电过程的完整检测和响应。
根据功能需求中,不同阶段采取的响应处置动作建议,构建ACI TTP执行过程,各阶段工作如下:
对于到MOSAICS系统的执行流程如下:
根据上述执行流程,进行层次化的Playbook设计。
七、MOSAICS最后实施结果
在整个MOSAICS项目实施过程,取得了一系列的成果:
-
已发布 CONOPS、操作、功能和技术要求
-
创建了有史以来第一个控制系统半自动基线功能
-
将IACD 自动化应用到 USCYBERCOM ACI TTP 近乎实时地执行 ICS 运营商“在环”缓解措施
-
创建了适用于所有 ICS 部门的再利用 MOSAICS 框架
-
MOSAICS 团队在原计划日期的 1 个月内完成了成功的 MUA
-
在 MUA 期间,我们对现场 3000 多个节点进行了基准测试,并且能够同时跟踪活动和监控每个节点,同时针对工业控制系统网络中的模拟控制站
-
我们在 MUA 期间对目标进行了 22 次攻击,在监控整个网络的同时,MOSAICS 成功识别了 20 次攻击,成功率达到 90.5%,误报率低于 5%
根据上述系列成果,形成MOSAICS实施结论:
-
缓解了美国关键基础设施和军队项目面临的风险
-
在任务相关时间内检测和缓解网络攻击
-
为DoD、OGAs和私营部门关键基础设施演示了一个网络空间防御框架
-
努力获得资金,以“产品化”和增强JCTD能力并收购风险- MOSAICS 2.0下一阶段
八、ICS安全未来设想
对于ICS的发展,MOSAICS项目也给出了ICS未来设想【6】:
1、HMADS分层多代理动态系统层
在ICS上构建分层多代理系统,其中,上层使用集中式编排,集中编排层包括整体编排操作,并定义有关部署的网络防御机制的优先级;中层使用中间防御,中间防御层提供网络行为分析以及基于更高层规定的编排的相应响应;最低层使用分布式防御,分布式防御层提供对 IDS 的直接监控并负责补救措施,以及对完全停止或减轻恶意事件的敏捷响应。
2、商业现成的硬件布局
利用商业现成技术进行硬件布局,例如,使用安全信息和事件管理(SIEM)工具中的协调器,作为顶层组件;软件定义网络SDN可以放在中间层运行,具有单独的检测和控制;分布式入侵检测系统IDS可以放置在底层。
3、分析在网络物理数据中应用
对网络物理数据进行进一步的分析和挖掘,如:网络物理异常检测和分析、网络物理模型设计等。
4、网络服务反馈循环和移动目标防御
通过网络反馈环路形成反馈优化,实现对威胁检测和处置过程的优化;并且利用蜜罐等移动目标防御欺骗方法,实现对攻击者的防御。
5、物理状态感知
通过优化集成、监控和控制的分布式能源系统,构建分布式物理状态感知和分布式网络状态感知能力,以允许威胁适应和重新配置所提议的抗攻击韧性系统。
6、物理通用操作可视化
将物理和网络状态感知集成到可视化引擎中,该解决方案的可见内容是设备上的显示界面,可将信息呈现给人类以进行更高效和有效的应急响应。
九、总结
MOSAICS作为美国在OT领域开展安全自动化工作的尝试,通过构建网络空间防御框架,实现了在特定时间内检测和缓解针对ICS的攻击,有效缓解了当前美国关键基础设施和军队项目面临的安全风险问题。
该项目的顶层架构设计和抽象建模、IT/OT融合发展、多组织协作配合、吸纳优秀商业实践和持续迭代优化的整体思路,值得国内借鉴和学习。
参考资料
-
安全内参,工业信息物理系统的网络安全;
-
Advanced Cyber Industrial Control System Tactics, Techniques, and Procedures (ACI TTP) for Department of Defense (DoD) Industrial Control Systems (ICS)
-
MOSAICS Briefing
-
More Situational Awareness for Industrial Control Systems (MOSAICS)
-
Harley Parkes, IACD Lead,MOSAICS Spiral 0 Reference Implementation
-
MOSAICS and the Future of ICS Defense
最后,小小的吸粉一波,关注公众号并回复“MOSAICS”或“马赛克”,获取持续收集的MOSAICS相关内容的材料。
原文始发于微信公众号(小强说):MOSAICS 工业控制系统的扩展态势感知框架