【技术实现步骤摘要】
【国外来华专利技术】用于被动评估工业边界安全的系统和方法
技术介绍
本公开涉及工业安全,并且更具体地涉及工业边界安全的被动评估。工业控制系统环境中的工业安全服务提供商在评估所采用的网络安全配置的质量时面临着多重挑战。尤其是,评估网络中采用的访问控制列表(ACL)的质量会带来很多挑战,如果处理不当,其可能无法提供简化的安全评估。可能会因为所采用的ACL的质量可在针对不同网络区域的不同网络边界上被不同地观察到而出现挑战。自动收集这些信息会带来很多挑战。例如,工业控制系统网络环境通常在高度隔离的环境中包括多层交换机、路由器,因此需要与每个层进行物理连接以进行网络流量和配置检索和记录。探测技术可能不太理想,因为工业环境可能包括对主动网络探测高度敏感的装置。在某些情况下,在工业环境中运行的许多已安装的传统可编程逻辑控制器(PLC)可能非常易受由于使用诸如网络映射器(例如NMAP)的网络发现工具而导致的故障状态错误的影响。用于工业环境中的网络安全评估的现有方法和装置可能不提供有效的规则使用验证和/或与先进的攻击矢量不相关。在许多情况下,资产所有者可能会简单地选择不将这些活动作为网络审计检查过程的一部分执行。相反,他们可能仅仅专注于寻找高度差异的开放网络规则(例如,“允许任意”、“允许IP”、对通信端口没有限制等)。然而,分析可能高度依赖网络安全从业者的判断和经验。手动评估可以作为传统策略的一部分来实施。安全分析师手动地检查和将应用的ACL与防火墙和多层分组处理装置进行关联在许多情况下是通常采用的做法,在这些情况下只提供网络装置的离线配置。这种方法可能仅限于安全分析师读取和处理大量网络规则(大多 ...
【技术保护点】
1.一种用于评估和管理网络的网络安全的计算机实现的方法,包括:利用处理器检索拓扑数据和网络流量数据,其中,所述拓扑数据指示所述网络的拓扑;经由所述处理器,从多个网络数据收集器检索网络流量数据;经由所述处理器,基于所述拓扑数据和所述网络流量数据,生成攻击树;利用所述攻击树和所述拓扑数据,更新客户模型数据库;以及基于所述攻击树和所述拓扑数据,输出安全评估。
【技术特征摘要】
【国外来华专利技术】1.一种用于评估和管理网络的网络安全的计算机实现的方法,包括:利用处理器检索拓扑数据和网络流量数据,其中,所述拓扑数据指示所述网络的拓扑;经由所述处理器,从多个网络数据收集器检索网络流量数据;经由所述处理器,基于所述拓扑数据和所述网络流量数据,生成攻击树;利用所述攻击树和所述拓扑数据,更新客户模型数据库;以及基于所述攻击树和所述拓扑数据,输出安全评估。2.根据权利要求1所述的计算机实现的方法,其中,检索所述拓扑数据包括传送用于所述拓扑数据的用户输入的提醒,并且响应于所述提醒,从客户端接收所述拓扑数据。3.根据权利要求1所述的计算机实现的方法,其中,检索所述拓扑数据包括从收集器装置接收所述拓扑数据。4.根据权利要求1所述的计算机实现的方法,其中,生成所述攻击树包括:经由所述处理器,解析所述拓扑数据和所述网络流量数据,以确定所述网络中的多个潜在漏洞;经由所述处理器,解析所述网络流量数据,以确定与所述网络的所述拓扑中的多个节点相关联的一个或多个网络规则;基于所述一个或多个网络规则和所述网络流量数据,经由所述处理器,计算与所述多个潜在漏洞相关联的风险概率;以及基于所述一个或多个网络规则和所述网络流量数据,生成所述攻击树,其中,所述攻击树包括所述多个潜在漏洞以及与所述多个潜在漏洞相关联的所述风险概率。5.根据权利要求4所述的计算机实现的方法,其中,更新所述客户模型数据库包括:经由所述处理器,利用所述网络中的所述多个潜在漏洞、与所述多个潜在漏洞相关联的所述风险概率以及所述攻击树,更新客户风险模型记录。6.根据权利要求1所述的计算机实现的方法,其中,输出所述安全评估包括:经由所述处理器,确定包括用于配置所述网络的至少一个建议步骤的风险缓解建议。7.根据权利要求1所述的计算机实现的方法,其中,输出所述安全评估还包括:经由所述处理器,监视所述网络,以确定一个或多个网络配置是否指示升高的网络安全风险。8.一种用于评估和管理工业控制系统网络的网络安全的系统,包括:处理器,被配置为:检索拓扑数据和网络流量数据,其中,所述拓扑数据指示所述网络的拓扑;从多个网络数据收集器检索网络流量数据;基于所述拓扑数据和所述网络流量数据生成攻击树;利用所述攻击树和所述拓扑数据,更新客户模型数据库;以及基于所述攻击树和所述拓扑数据,输出安全评估。9.根据权利要求8所述的系统,其中,检索所述拓扑数据包括传送用于所述拓扑数据的用户输入的提醒,并且响应于所述提醒从客户端接收所述拓扑数据。10.根据权利要求8所述的系统,其中,检索所述拓扑数据包括从收集器装置接收所述拓扑数据。11.根据权利要求8所述的系统,其中,生成所述攻击树包括:经由所述处理器,解析所述拓扑数据和所述网络流量数据,以确定所述网络中的多个潜在漏洞;经由所述处理器,解析所述网络流量数据,以确定与所述网络的所述拓扑中的多个节点相关联的一个或多个网络规则;基于所述一个或多个网络规则和所述网络流量数据,经由所述处理器,计算与所述多个潜在漏洞相关联的风险概率;以及基于所述一个或多个网络规则和所述网络流量数据,生成所述攻击树,其中,所述攻击树包括所述多个潜在漏洞以及与所述多个潜在漏洞相关联的所述风险概率。12.根据权利要求11所述的系统,其中,更新所述客户模型数据库包括:经由所述处理器,利用所述网络中的所述多个潜在漏洞、与所述多个潜在漏洞相关联的所述风险概率以及所述攻击树,更新客户风险模型记录。13.根据权利要求8所述的系统,其中,输出所述...
【专利技术属性】
技术研发人员:约翰·W·克劳福德,莱安德罗·普夫勒格·德·阿吉亚尔,曹子骍,
申请(专利权)人:西门子股份公司,
类型:发明
国别省市:德国,DE
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。