如何做好工业主机安全 -(德迅卫士)

德迅云安全李恒
130 阅读7分钟

前言

主机安全卫士是一款面向工业控制系统中的监控主机、工程师站、操作站、数据服务器等设备进行安全加固的终端安全防护产品。针对工控终端业务环境相对固定、稳定第一的特点,系统采用了白名单机制,拦截一切未知程序和脚本的执行,既可有效抵御已知和未知的恶意代码,又规避了传统杀毒软件病毒库更新不及时的问题,从根本上保障主机运行环境的安全。

481392d3edb586aa543289fd4064ff9f_format,f_auto.webp

为什么选择德迅卫士

工控主机安全卫士这类产品问世前,针对工控系统主机普遍采用的安全防护手段就是安装防病毒软件,来阻止机器上的恶意软件运行和传播。常见于国外的工业自动化厂商,在自家控制系统出厂时就搭配了防病毒软件一同交付,如Emerson DCS会搭配McAfee,西门子会搭配Trend Micro或Symantec等。但毫无疑问的是,这些防病毒软件的病毒库会在交付到用户现场的那一刻就很难再更新了。

说到底,防病毒软件是一种基于黑名单的查杀方式,“黑名单”是指“坏的”、“不被允许的”,即只有在恶意软件被加入黑名单时才会被阻止运行,黑名单之外的软件和行为被认为都是正常、可信的。

但是,防病毒软件的特征库更新是必然晚于恶意软件的发现的,具有天然的滞后性,并不能对付未知的、新的恶意程序的攻击,如0Day攻击,APT攻击等。并且其对来自操作人员的行为攻击完全无能为力。 不同于用于IT网络中使用的PC环境,工业主机有其独特的特点:

(1)网络封闭: 工业主机直接的接入企业的工业控制网络,很少能连接到互联网,在规避了大量接入外网风险的同时,也使系统管理员放松了应对网络攻击的警惕。

(2)信息资产价值更大*:工业主机存储的信息包含大量企业的流程、工艺、运行记录等机密数据,相较办公数据其价值更大,一旦丢失泄露对企业造成的风险、危害也更大。

(3)使用的软件和协议有其专业性:工程师站和操作员站其运行的是专业的DCS、SCADA系统软件如WinCC等,可以实时监控系统运行的状态并及时调整其运行,下层连接的PLC、阀门、仪表等设备运行的是ModBus、OPC、IEC101/104等工控专业协议,传统防病毒软件、终端管理软件对其行为分析完全无能为力。

(4)移动存储介质使用风险更大:工业主机由于其封闭性,更普遍使用U盘、移动硬盘等移动存储设备传递数据,但是由于系统漏洞多、升级慢,其遭受攻击的可能性更大,如Stuxnet震网病毒即通过此种途径传播,一旦病毒入侵,就会在内网迅速复制传播,感染整个网络。

基于上述工业主机独有的一些特点,工业主机安全卫士应运而生。

它的初衷是专门针对工控网络中的Windows、Linux主机(操作员站、工程师站、服务器、终端),它提供完全适用于工控行业的安全防护(完全兼容、没有“删除、清理”等动作),首先为保障关键业务的运行,它能建立稳定的运行环境,同时它能有效遏止至今已经爆发的工控病毒(如“震网”、Havex、“勒索”等)及其变种的运行。

78694ea5ecfc14c5c71e6602d1fff5da_9a843836a6b24b8abcef74a98bb5417e_th.jpg

德迅卫士的六大招式

德迅卫士采用自适应安全架构,有效解决传统专注防御手段的被动处境,为系统添加强大的实时监控和响应能力,帮助企业有效预测风险,精准感知威胁,提升响应效率,保障企业安全的最后一公里。

资产清点

可自动识别系统内部资产情况,并与风险和入侵事件自动关联,提供灵活高效的回溯能力。

  • 细粒度梳理关键资产

  • 业务应用自动识别

  • 良好的扩展能力

  • 与风险和入侵全面关联

风险发现

可主动、精准发现系统存在的安全风险,提供持续的风险监测和分析能力。

  • 持续安全监控和分析

  • 多种应用/系统风险

  • 强大的漏洞库匹配

  • 专业具体的修复建议

入侵检测

可实时发现入侵事件,提供快速防御和响应能力

  • 全方位攻击监控

  • 高实时入侵告警

  • 可视化深度分析

  • 多样化处理方式

合规基线

构建了由国内信息安全等级保护要求和CIS组成的基准要求,帮助用户快速进行企业内部风险自测,发现问题并及时修复。

  • 支持等保/CIS等多重标准

  • 自动识别需检查的基线

  • 一键任务化检测

  • 企业自定义基线检查

病毒查杀

结合多个病毒检测引擎,能够实时准确发现主机上的病毒进程,并提供多角度分析结果,以及相应的病毒处理能力。

  • 多引擎病毒检测

实时监控告警

  • 主动病毒阻断

  • 沙箱验证修复

远程防护

远程防护用于对远程桌面登录进行防护,防止非法登录。支持多重防护规则,增强远程桌面安全。

  • 微信认证登录

  • 手机验证码登录

  • 二级密码登录

  • 区域所在地登录

edea372c6fe942c1e3091ad6153f41ce_17051608555700000004F81C.jpg

核心架构

德迅云安全的核心平台架构,主要由 Agent、Engine、Console三部分构成,为产品服务提供基础的、灵活的、稳固的核心能力支持。

(1)Agent - 主机探针

Agent只需要一条命令就能在主机上完成安装,且自动适配各种物理机、虚拟机和云环境,运行稳定、消耗低,能够持续收集主机进程、端口和账号信息,并实时监控进程、网络连接等行为,还能与Server端通信,执行其下发的任务,主动发现主机问题。

(2)Engine - 安全引擎

Server作为核心平台的信息处理中枢,支持横向扩展分布式部署,能够持续分析检测从各个Agent上接收到的信息和行为并进行保存,可从各个维度的信息中发现漏洞、弱密码等安全风险和Webshell写入行为、异常登录行为、异常网络连接行为、异常命令调用等异常行为,从而实现对入侵行为实时预警。

(3)Console - 控制中心

以Web控制台的形式和用户交互,清晰展示各项安全监测和分析结果,并对重大威胁进行实时告警,帮助用户更好更快地处理问题,提供集中管理的安全工具,方便用户进行系统配置和管理、安全响应等相关操作。

image.png

结语:

德迅安全卫士默默运行于工业主机身后,一旦遭遇攻击或入侵,能利用自身各种招式抵挡风险。在刀光剑影的工业信息安全江湖里,这样小小的一枚“暗器“,不惹人注目,却有着十足的杀伤力。集各种招式于一身的德迅安全卫士,的确是保护工业主机安全的利器。

avatar
文章
阅读
粉丝