安帝科技“全视角”OT业务可视化加快网络行为学落地应用
北京安帝科技有限公司(以下简称“安帝科技”)工业互联网安全管理与态势分析平台,支持OT可视化拓扑图,系统根据采集资产信息自动生成OT物理拓扑,直观展示资产的物理部署情况。自动生成OT网络拓扑,直观呈现复杂的网络访问关系。自动生成OT业务拓扑,直观掌控全局资产流量访问关系。将异常资产信息及时定位,通过下发规则策略快速定位及时管控风险资产。
OT物理拓扑:展示工控企业内部不同资产设备不同节点之间的物理连接。展示了不同资产设备之间的物理分布,以形成一个连接的网络,仅关注资产的基本属性,并未展示不同资产间业务逻辑。
OT网络拓扑:展示不同资产设备之间的网络访问关系。基于物理拓扑传输数据,又独立于物理拓扑,与不同资产设备的物理排列顺序无关,展示不同资产设备网络节点之间的访问关系。
OT业务拓扑:展示不同资产设备访问者与服务者之间访问与被访问的关系,区别与物理拓扑与网络拓扑表示数据流向。基于该OT业务拓扑支持针对不同资产设备节点多、流量大、业务逻辑复杂的情况下下发管理的规则策略。OT资产可见性是所有有效的OT网络安全计划的基础。获得对OT资产(如人机界面、历史数据库和控制器)的全面可见性,使企业能够真正了解其设施内部的情况。完整的资产清单提供了清晰的理解,这对于在工业控制环境中识别错误配置、漏洞和其他弱点至关重要。资产可见性不仅应该提供对资产存活的洞察,还应该提供对其版本、固件状态和配置状态的洞察。
为了解决这一基础性难题,安帝科技工业互联网安全管理与态势分析平台推出产品核心能力:OT业务拓扑可视化。通过OT业务拓扑可视化对不同的资产进行统一可观、可管、可控,动态下发规则策略,为工业网络环境中存在的潜在威胁分析提供支持。OT业务拓扑的主要功能
>>>> OT业务访问关系可视化
支持查看不同资产设备间业务访问信息,包含相关资产IP、端口、协议、访问次数、是否属于非法访问。每个网络组内都包含一个外网标识,若组内有资产访问外网,则需要用户密切关注该资产,预防外部入侵行为;同时,可以识别出资源占用最多的资产节点。支持基于不同资产间业务流流向,分析攻击路径。
>>>> OT业务拓扑可视化
OT业务拓扑功能模块支持根据资产区域创建业务拓扑,系统将根据所选区域以网络组为对象将资产信息、网络访问关系、主机信息等多维度数据进行分析,生成业务拓扑。OT业务拓扑的关键技术
>>>> 连接跟踪流量采集提升了UDP采集性能OT业务拓扑采用连接跟踪的方式采集流量,为每一个经过网络堆栈的数据包生成一个新的连接记录项,所有属于此连接的数据包都被唯一地分配给这个连接,并标识连接的状态。采用连接跟踪的方式,更有利于抓取UDP连接,解析的流程更简单、快捷,采集的性能更高。>>>> 标准化采集提升了工业环境可视化视角OT业务拓扑构建了一套数据采集标准,将各类元数据采集标准化,有效解决了工业环境中东西向和南北向的流量数据融合的问题,以及工业数据与常规通信融合的问题。“一张图”融合全局业务数据,提升了工业互联网安全业务可视化全局视角。>>>> 实现了高性能可扩展的自动化布局技术
OT业务拓扑将数论运算、图论算法(BFS到PageRank)高度集合,深度适配GoogleV8引擎,兼容90%浏览器。突破了重绘重排渲染、拖拽交互、数据关联、关系连线、结构化存储等技术难点,解决了数据序列化和反序列化、数据驱动及深度交互操作等问题。针对工业环境海量的流量、日志、事件、告警信息进行整合,解决了ES分片(主分片Primary Shard和副本Replicas)合并查询性能问题。针对企业生产控制系统的行为基线、安全基线和合规标准,封装算法引擎,集成业务拓扑功能插件,增强了产品的可扩展性。
OT业务拓扑的核心价值
>>>> 增强OT网络的可管理性基于OT业务拓扑,提升了企业资产及其访问关系的安全可见性,通过了解OT环境资产的访问关系、数据流向来达到网络的可见性。通过对OT中各种工业协议数据包的发现和索引,分析网络路径不同资产间的网络流量信息,分析其访问关系是否合法合规,增强了OT网络的可视、可管、可控。>>>> 降低企业安全风险基于OT业务拓扑,识别OT网络中的威胁,以降低风险并确保关键流程的持续运行。针对资产间访问关系以及设备告警,安帝科技通过自研网络安全漏洞库、安全事件库、威胁情报库以及安全态势感知平台等信息,整合外部安全漏洞挖掘与情报研究资源,支持及时处置风险大、级别高的告警,提升了漏洞执行效率与事件处置效率,加强了企业OT网络安全攻击防御,降低了企业安全风险。>>>> 提升安全运营效率基于OT业务拓扑,帮助企业安全管理运维人员全面、直观了解网络中的资产基本信息、业务访问关系、异常访问行为,针对违规外联及时下发“一键断网”等策略,为网络环境中潜在威胁分析提供支持,提高了安全运维人员工作效率。同时,安帝科技即将推出SOAR(安全编排自动化与响应),通过剧本及时处置风险,减少了人工运营成本,极大了安全营运效率,实现全生命周期的工业互联网安全防护体系。>>>> 推动网络行为学落地OT业务拓扑展示不同资产设备详情与业务访问关系。通过机器学习算法构建正常业务行为基线,监测企业内网资产的历史时序波动规律,发现资产设备异常行为,及时对异常行为产生告警,对告警资产溯源分析并处置。针对新入网的资产设备进行自适应策略学习配置,支持手动、自动两种方式实时创建、更改端口白名单、进程白名单、网络白名单等访问控制策略。基于资产行为、业务访问关系,结合策略自学习,识别资产异常行为。支持对资产统一管理、动态下发规则策略,帮助企业实现工业网络环境微隔离,减少违规外联、数据泄漏、勒索病毒等攻击事件。
安帝科技丨ANDISEC
北京安帝科技有限公司是新兴的工业网络安全能力供应商,专注于网络化、数字化、智能化背景下的工业网络安全技术、产品、服务的创新研究和实践探索,基于网络空间行为学理论及工业网络系统安全工程方法,围绕工业网络控制系统构建预防、识别、检测、保护、响应、恢复等核心能力优势,为电力、水利、石油石化、轨道交通、烟草、钢铁冶金、智能制造、矿业等关键信息基础设施行业提供安全产品、服务和综合解决方案。坚持IT安全与OT安全融合发展,坚持产品体系的自主可控,全面赋能客户构建“业务应用紧耦合、用户行为强相关、安全风险自适应、网络弹性稳增强”的主动防御和纵深防御相结合的安全保障体系。截至2021年底,公司主要产品已应用于数千家“关基”企业,其中工业网络安全态势感知平台已部署4000余家客户,虚实结合工业网络靶场服务超过50家客户。
点击“在看”鼓励一下吧