基于主动探测技术的工控设备资产探测解决方案

随着越来越多的工控设备接入到互联网当中，工控网络安全管理面临更多考验。根据 CNVD的统计，2010年之后的工控系统行业漏洞数量达到2500多条，综合近几年全球互联网爆发的工控安全事件可以看出，造成工控网络安全问题的主要原因是工控协议的脆弱性，很容易受到攻击。

针对这些工控网络安全问题，需要对工控资产进行全面的安全治理。而安全治理首先要进行资产探测，全面识别工控设备资产；其次，要对工控设备资产进行脆弱性检查；最后，针对探测到的漏洞进行修补和下线整改。可见，如何做到对工控设备资产的全面探测是我们首要要解决的问题。

目前，资产探测的方法主要分为三种：主动探测、被动探测和基于搜索引擎的非入侵式探测。

主动探测，是指通过主动向目标网络发送构造的数据包，并从返回的数据包中通过指纹数据库中的海量指纹规则，快速识别出资产的属性信息（设备类型、厂商、品牌、型号、服务、协议等）。

被动探测，是指采集目标网络的流量，对流量中数据包中的特殊字段或者指纹特征进行分析，从而实现对网络资产信息的探测。

基于搜索引擎的探测，是指依托搜索引擎获取的网络爬虫结果或专用服务器扫描结果，提供一种搜索查询的方式间接的实现资产探测。

主动探测方法适用于各种规模的网络，探测速度快且能够探测不产生网络流量的资产。被动探测方法入侵性小，支持历史数据的积累，但应用范围仅限于内网，对不产生网络流量的资产无效。基于搜索引擎的非入侵式探测，隐蔽性强、速度快但是探测能力受限于搜索引擎的数据获取能力，准确率相对较低。

工控系统中通信存在着众多的协议和标准，盛邦安全网络空间探测系统可以完成对大量工控协议进行探测，基于主动探测技术实现对工控设备资产的节点探测、指纹探测和脆弱性探测，可探测的工控资产指纹数量多达1,400多种，如VTScada、Westermo MRD-455、Schneider Modicon M340、Siemens Scalance M800、Carrier BACNET-HVAC-CONTROLLERS等，如下图所示。

图1 工控资产指纹

网络空间资产探测系统的资产信息展示如下图所示：

图2 资产信息1

图3 资产信息2

盛邦安全网络空间资产探测系统，基于工控协议深度交互的主动探测资产识别技术，实现对工控设备资产的节点、指纹、脆弱性进行全面探测，可协助监管单位和工业控制系统用户全维度普查遗落在互联网空间的工控系统，快速定位存在的安全问题，进行协助整改和通报，不仅为工控资产威胁态势感知提供了系统认知基础，更为后续的工控资产安全威胁分析和应急响应提供有效支撑。