我们的整体性安全事件和功能错误监测解决方案

许多工业组织仍认为公司 IT 和 OT（运营技术）网络安全是一个特别刺手的问题。但这些问题通常是分开处理的。尽管保护和 SCADA 部门对 IT 的要求有所不同，但融合需求已变得日益重要。在这个网络威胁不断增加并且无所不在的新时代，公司已不再考虑或选择结构变革方法，正好相反，这两个领域之间的融合被视为任务关键型目标。

要实现高效安全，网络安全专业人士和 OT 工程师需要协同工作，并通过共享学习和通用词汇平台支持员工。

我们的 StationGuard 解决方案

OMICRON 团队采用特定流程和优先级来监控 OT 环境，同时结合利用识别、提取和关联威胁数据和功能问题的能力来打造集中式管理系统。该管理系统专为满足 IT 和电力工程师的需求而构建。

“是时候将 IT 和 OT 团队带到熟悉的环境了。”

- Amro Mohamed, 区域网络安全销售专家

我们的 StationGuard 入侵检测系统 (IDS) 能够检测出您的控制中心、变电站和发电厂系统中任何违禁或可能危险的流量。例如，可以导入工程文件，从而根据用途自动创建通信权限并向设备分配角色。然后，StationGuard 将触发警报并显示以下所有信息：类别、源和目标、具体描述以及事件发生的大致时间点。

为了更好地了解事件警报，安全官和电力工程师需要协作。只有负责变电站、发电厂或控制中心的工程师了解各个设备的操作适当还是不适当。我们的解决方案与其他解决方案的主要区别在于，通过这些描述追溯电网故障真正原因的效果。因此，在讨论相关问题和设备时，保护工程师和 IT 专业人员都能相互了解，从而促进高效沟通。

借助此链接了解我们 StationGuard 解决方案及其功能的所有优势。

StationGuard

下面来了解 StationGuard 解决方案的独特功能。我们看一下示例情景。与发电厂或变电站中恶意软件进行通信的受劫持历史数据库服务器。

我们的解决方案可以分析出每个事件以下方面的问题：

您的系统中发生了什么安全事件？

我们通过 GridOps 警报仪表板来分析位于“Munich North”变电站中的 StationGuard IDS 传感器所报告的一条警报。

GridOps 警报仪表板是 StationGuard 解决方案必不可少的部分。其目的是汇总系统中具体发生的问题。

我们使用传感器级别视图来进一步分析具体的警报及其网络环境。

在仪表板中，您可以从上到下依次看到电网级别概览以及发电厂、变电站或控制中心网络。这将使您能够清晰地看到特定的警报。

每个警报都包含情景化信息，帮助您了解事件的性质并抑制事件。

StationGuard IDS 检测到异常活动并进行报告。HMI 通过站内的路由器将异常“Socks”网络流量发送至外部历史数据库服务器。我们可以从变电站的视角，了解到 HMI 和路由器与 WAN 之间的通信。历史数据库位于路由器后面。从这个角度理解，路由器是执行者。

您可以通过查看网络级别 IDS 传感器仪表板和我们独特的网络视图，实时分析安全和功能问题，这对 IT 和 OT 专业人员都很有帮助。

事件日志中的消息详细信息可提供有关相应设备、MAC/IP 地址、所使用的应用程序、协议等的更多信息。

注：在 HMI 与外部历史数据库之间建立连接很常见。在该系统中，此连接基于 MySQL，因此，MySQL 连接位于 HMI 的允许列表之中。由于通信已更改为 Socks 连接且使用同一端口号，因此违反了此权限。可能是 HMI 和/或外部历史数据库上的恶意应用程序引发了此问题。
StationGuard 在警报中显示执行者（路由器）或受害者 (HMI) 相关信息，包括当前设备名称，已识别出的 OSI 顶层会显示在警报消息中。这里是指识别出的“Socks”应用程序。“Socks”是一种代理应用程序，可用于重定向第三方设备上的通信，从而促进穿过防火墙的通信。这在 IT 环境中可能比较有用，但攻击者也可能利用该应用程序创建隧道，从而泄漏数据或与“指挥和控制服务器”建立连接。2016 年乌克兰“Industroyer”网络攻击中可能也利用了该手段。

安全事件是在何时发生的？

每个警报都提供事件发生的大致时间以及最后更新时间，包括有关该活动的附加信息。因此，后面的时间戳通常会反映出活动的持续时间。这在设备间通信中可能为数微秒时间，而在开关命令中则可能为数十秒时间。

系统警报的发生时间为 UTC 时间 2022 年 05 月 10 日 19:43:01.607，偏移量 +03:00。

通常这些警报在工程师现场维护或常规测试期间触发。详细信息中还说明了正常操作或维护期间是否检测到警报。

此处的活动发生在正常操作期间。发生该事件时没有工程团队在现场。因此，“在维护期间发生”设置为“否”。

事件发生在您的网络中的哪个位置？

最重要的是，GridOps 为我们提供了设备清单仪表板，可大大提高对整个电网的可见性。网络图表显示执行者和受害者都位于站控制级别，对应下面映射中所示的 Purdue 级别 2。

利用实时设备清单和拓扑映射，可通过 GridOps 警报仪表板中所显示的每条警报，了解事件来源以及发生事件的站点信息。

事件中涉及哪些对象？

由于 StationGuard 使用允许列表方法来检测可疑或违禁流量，我们会在一开始便对变电站中所有设备的通信进行定义和批准。

您可以通过工程工具导出 IEC 61850 SCD（变电站配置描述），或者从网络工程文档电子表格中导出这些信息，然后再将之导入 StationGuard。

该警报显示流量未被批准。我们发现了与事件相关的内部执行者。执行者的 IP 地址为 192.168.1.123，目标 IP 地址为 192.168.1.200。

为促进安全官与保护和 SCADA 工程师之间的有效沟通，GridOps 会显示出每项设备的工程名称，而不只是 IP 地址。可以从工程文件和电子表格中导入这些工程名称。

StationGuard 所发出的每条警报突出了引发或参与事件的实体、所涉及的设备类型、执行者以及所识别出的目标。

现在我们可以轻松读取电压电平、间隔以及涉及事件的设备名称。

安全事件是如何执行的？

我们发现，攻击者试图在 MySQL 连接所使用的同一端口（TCP 端口 3306）上建立 Socks 代理连接。

StationGuard 所发出的每条警报将提供操作的性质、活动的执行方式以及引发该事件的执行者操作相关信息。事件至少由一个操作引发，而大多数情况下涉及多项活动。

IDS 为何开始发出警报？

仍然存在一些问题：

IDS 为何在此发出警报？
违反了哪些通信权限或策略？通信权限为何如此设置？
为何这不是源设备的合法通信？

StationGuard 会显示所允许的通信；其他所有通信默认禁止。我们看到允许通过路由器在 HMI 与历史数据库服务器之间建立连接。此外，“MySQL”应用程序位于该连接的允许列表中；发生警报的原因是不再使用 MySQL。

最后，StationGuard 可帮助分析引发事件的可能问题。还可以提供解决所有上述根源问题的分步指导。警报是分析的起点。此时我们最关注的是以下问题：

问：这是否是新（服务器端）端口号服务上的连接，或者同一连接的应用程序是否发生变化？
答：我们发现原因是后者。目标端口号相同，但应用程序层从 MySQL 更改为 Socks。该活动似乎有点可疑。
问：所有相关设备是否分配正确的角色？该设备是否存在未使用过的功能？
答：该问题需要 OT 了解设备及其用途。相关 OT 工程师确认，除了数据库连接，HMI 预计不会有任何其他传出连接。

现在怀疑，该行为可能是由 HMI 上的恶意软件引发的。StationGuard 会记录每个事件的网络捕获行为。我们会捕获这些证据，然后提交给 HMI 供应商。

警报的上下文可帮助您快速确定事件发生的可能原因。这些信息在许多方面都有用，例如，可用于评估安全控制缺陷和设备漏洞，以及确定缓解策略。

在上述假设示例中，我们记录了可能的响应链：从变电站中的 HMI 检测到可疑行为开始，直至跟踪该 HMI 设备中的恶意软件感染。其中说明了 StationGuard 如何结合使用 GridOps，在单个应用程序中检测、跟踪、显示和分析电网 OT 网络中的可疑行为。在确定安全事件所涉及的具体问题、时间、位置、对象、根源和手段时，我们的统一接口可实现 IT 安全官与 OT 专家之间的高效协作，从而充分利用两者的能力。

使用我们的 GridOps 组件升级 StationGuard

StationGuard 组件 GridOps 是一款集中解决方案，可提供有关数字电网中许多运营任务的整体视图，其中第一版中提供了安全运营和设备清单功能。通过安全警报分析、设备清单以及漏洞管理功能，GridOps 可将保护工程师和 IT 专家整合在一个团队应用程序中。IT 安全官可以利用 OT 知识来增强电网网络安全，OT 工程师也可以在熟悉的环境下参与电网网络安全运营工作。

GridOps 主要功能
GridOps 可提供一些强大的功能，辅助电网安全运营。您可以 ...