0x01 引言
文章详细介绍了资产指纹技术在信息安全领域(ISC)的应用,特别是在深度识别方面的优势和技术细节。资产指纹技术作为一种广泛应用于网络安全领域的技术手段,通过对目标资产进行深度扫描和分析,可以获取关于目标资产的详细信息和特征,为网络安全专业人员提供重要的数据支持。
ICS资产指纹深度识别技术是工控设备主动探测子系统的重要环节,决定了最终能否识别出资产的模块、固件、版本等信息。
0x02 必要性
在工控系统中,设备与设备、设备与软件的数据交互和传输大量的使用了行业专有与私有的通信协议,如IEC101/104、DNP3、Modbus等通用工控协议,像大量的PLC也使用了私有通信协议传输数据,如西门子S7系列的PLC使用了S7私有协议,三菱Q系列PLC使用了MELSEC以太网协议,针对ICS资产的指纹深度识别可以实现资产更深层次的信息采集。
0x03 解决方案
对于大量应用了私有化工控协议的资产,对其识别的解决方案是内置长时间积累下来的指纹库。
指纹识别的基本工作流程是,对工控协议特定功能码的数据报文进行封装,并发送到目标IP,对探测目标IP返回的数据报文进行判断与解析,根据对回复数据包解析的内容得出设备的详细信息。
如下图是对使用Modbus协议的设备的探测过程:
图 1 Modbus协议设备探测过程示意图
通过该协议的测试过程,可以有效、准确的得出被探测目标的设备厂商信息、模块信息以及版本信息等。
在使用ICS资产指纹深度识别技术后主要有以下特点。
(1)有效的探测手段
资产识别模块在高速稳定带宽的条件下可以快速的对目标端口的扫描任务进行扫描,完成扫描后会对数据进行更新存储,通过对协议探测的准确结果,可以有效的辅助我们验证目标IP的具体情况,数据具有高有效性。
(2)准确的指纹识别
资产识别模块在识别扫描过程中通过使用封装了工控协议的指纹库进行交互探测,指纹插件会判断发包与收包的符合性,以及是否满足协议的要求标准,有严格的判断规则和逻辑,具有100%的正确性,一旦通过工控协议识别为某种工控设备,便可以精准确认设备对该协议的支持情况,符合条件的还会读取设备的具体模块信息。
(3)快速的探测方式
使用工控协议和设备/软件私有协议的探测报文直接使用函数进行封装,所有探测的协议均不会任合其他第三方API或者通信库,可以极大的提高发包收包的效率。
0x04 总结 文章详细介绍了资产指纹技术在信息安全领域的应用,特别是在深度识别方面的优势和技术细节。该技术通过深度扫描和分析目标资产,为网络安全专业人员提供了重要的数据支持,有助于加强网络安全管控、提升风险管理能力,并在商业智能和数据分析等领域中发挥潜在价值。
