提供工業ICS / SCADA 網路資訊安全解決方案

Radiflow iSID 工業威脅偵測
近年來ICS工業控制系統(Industrial Control System)資安攻擊事件頻傳,而與IT(Information Technology)系統有顯著的差異,就是OT(Operational Technology)網路控制的是影響民眾生命油水電關鍵基礎設施,OT網路一旦遭受資訊攻擊,生命與財產的危害是影響盛遽,甚至可能動搖國本。如何有效針對OT網路進行資安分析與威脅偵測,預警惡意程式的攻擊,進而提供有效的防護資訊,是這幾年企業組織與政府機關最重視的議題。然而OT環境內ICS的資訊安全並不好達成,原因在於ICS設備是以工業自動化的設計理念出發,設備運作需要符合長時間的高可用與強固耐用為主,當初設計製造時並沒有現代資訊安全所重視的安全機制,如:加密或身分驗證機制等保護機制。在面對駭客攻擊或人為操作疏失時,毫無預防跟抵抗的能力。
來自以色列的Radiflow為關鍵基礎設施提供全面的網路安全解決方案,可用於識別工業網路威脅,隔離惡意活動並防止威脅在網路中傳播。 Radiflow的產品組合包括,入侵檢測系統IDS(Intrusion Detection Systems) - iSID 與工業網路安全閘道 - iSEG。請見下列詳細的功能說明。
產品介紹
Radiflow的ICS解決方案包含IDS工業網路入侵偵 iSID,並可以搭配提升IDS能見度的iSAP。
Radiflow iSID工業威脅檢測系統是一種用於SCADA網路的伺服器平台應用程式,可分析OT作業環境的網路流量以預防網路威脅。
Radiflow iSID結合了兩種不同的能力:SCADA / ICS自動學習網路建模資產盤點和網路行為異常檢測,利用接收所有網路流量(Mirroring or TAP),並分析和生成網路拓撲模型,並作為檢測指示異常的非基準行為。並可以經由與第三方產品解決方案的整合,進一步增強iSID的功能,包括與Aperio的惡意行為分析資料庫和來自Sixgill的暗網攻擊情報通盤整合已加強偵測的能力。
產品特色:
- 網路拓撲和操作行為的自動學習
- 針對SCADA的DPI協定的網路流量分析
- 監督PLC中的配置變化
- 針對模型的異常檢測分析
- 針對簽名檔的已知漏洞檢測
- 非侵入式網路操作
- 中央或分佈式佈署
- 自動學習降低誤報率
主要功能
IDS分析會分析所收到的封包進行Deep Packet Inspection (DPI),將使用的頻寬與ICS工業網路協定,存取端口以及連接設備之間的流量分類與檢測。藉由符合正常或異常行為的參數和條件之間的變化加以判別。檢測過程會基於已知行為,自動經過過適當定義的自學過程不斷微調。
為此,IDS提供六個核心功能:
- 網路裝置能見度(Network Visibility):基於SCADA網路的自動學習,通過被動(Optional:主動)掃描所有ICS流量,識別OT環境內所有裝置。
- 維護管理(Maintenance Management):以特定時間或裝置監控維護作業是否合法,並有留下稽核紀錄。
- 攻擊檢測(Cyber Attacks):持續檢測PLC特定與特定協定的漏洞或可疑的指令攻擊。
- 政策監控(Policy Monitor):在每一對裝置連線上定義政策,並偵測是否符合政策。
- 異常檢測(Anomaly Detection):與之前定義的正常網路基準相比,檢測異常活動,包括更新設備,網路拓撲更改,異常存取和韌體更改監測。
- 量測操作行為(Measuring Operational Behavior):檢測連線中的異常延遲,與負載過大導致的丟包和重傳率。
將所有ICS流量從遠端OT環境發送到中央iSID威脅檢測系統
iSAP Smart Probe是一種經濟且高速解決不同網段IDS監控的解決方案,提升跨網段不同廠區的ICS網路活動的能見度,以便在中心站點以iSID進行IDS威脅入侵偵測。
由於將大量數據發送到中央IDS,通過將流量從遠端傳送到中央IDS來增加網路行為偵測的涵蓋,可能會產生網路流量過載問題。Radiflow的iSAP解決了這個問題。安裝在每個遠端站點,它接收來自本地Switch的所有工業乙太網路的流量(Mirroring or TAP),並過濾掉大部分不相關的流量數據,保留SCADA流量(EX:ModBus)。
iSAP通過為每個遠端網路站點僅需要一個iSAP設備。每個iSAP都安全地連接到位於中央的iSID威脅檢測服務器,在該服務器上分析企業範圍內的網絡和設備活動。
為了進一步降低帶寬消耗,iSAP使用Radiflow的專利壓縮演算法,可以將資料壓縮達到1:10的比率。一旦在中心位置接收,iSID服務器就能夠解壓縮發送的數據進行威脅入侵偵測。
產品規格
工業乙太網路接口
- 2個100/1000 SFP接口
- 8個10/100 Base-T接口
本地裝置接口
- RS-232接口
- 用於臨機啟動Console的USB端口
體積重量與安裝方式
- 安裝:DIN=
- 外殼:堅固耐用 - IP 30級,無風扇
- 重量:1.4Kg(直流供電),1.8Kg(交流供電)
- 尺寸:(mm)148h x 72w x 123d
工作環境參數
- 工作溫度:-40 o C至75 o C
- 儲存溫度:-40 o C至85 o C
- 工作濕度:5%-90%
Radiflow技術受到世界各國的政府單位以及監管機構推薦,在工業控制系統(Industrial Control Systems, ICS)以及關鍵基礎建設(Crutical Infrastructure, CI)面臨網路攻擊威脅的狀況下,其成熟的建置經驗全世界已經有70 家以上成交客戶導入,並已經佈署10,000+台的裝置在世界各地頂級的ICS製造商。