CN106576052A - 分析工业控制环境中的网络安全性风险 - Google Patents
分析工业控制环境中的网络安全性风险 Download PDFInfo
- Publication number
- CN106576052A CN106576052A CN201580043030.3A CN201580043030A CN106576052A CN 106576052 A CN106576052 A CN 106576052A CN 201580043030 A CN201580043030 A CN 201580043030A CN 106576052 A CN106576052 A CN 106576052A
- Authority
- CN
- China
- Prior art keywords
- data
- risk
- safety
- networked devices
- vulnerability
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Abstract
一种分析包括多个联网设备(145)的工业控制系统(ICS)(150)中的网络安全性风险的方法(300),其包括提供(301)处理器(110)和存储网络安全性算法的存储器(115)。处理器运行网络安全性算法并且实现数据收集(302)以通过扫描所述多个设备来编译至少包括包含关于所述多个联网设备的一个或多个网络风险的易损性数据的安全性数据,使用将数字得分关联到风险中的每一个的规则引擎(122)来处理(303)安全性数据,整合(304)数据(包括跨所述多个联网设备对风险排序)以及将风险布置到至少一个逻辑分组中,以及在用户站(125)上显示(305)一个或多个逻辑分组。
Description
对相关申请的交叉引用
本申请要求享有2014年8月13日提交的题为“ANALYZING CYBER-SECURITY RISKS INAN INDUSTRIAL CONTROL ENVIRONMENT”的临时申请序列号62/036,920的权益,该申请以其整体通过引用并入本文。
技术领域
所公开的实施例涉及针对与工业控制系统相关联的网络的网络安全性。
背景技术
计算机系统使用在执行各种不同的任务中。例如,计算机系统和装备的工业网络使用在控制和/或监视称为工业控制系统(ICS)的工业系统中。这样的ICS可以结合制造、功率生成、能量分配、废物处置、运输、电信、炼油和水处理使用。ICS可以经由其它网络(包括公司网络和因特网)既直接又间接地连接和可访问。
工业网络因而可能既易受内部网络攻击又易受外部网络攻击。作为防范外部网络攻击的预防措施,可以采取防火墙或其它安全性措施以将工业网络从其它网络分离。
在ICS中,网络安全性具有日益增加的关注度,并且一般难以快速确定对整个系统的网络风险的潜在来源。现代ICS一般包含包括WINDOWS服务器和工作站的装备、交换机、路由器、防火墙、安全系统、专用实时控制器和现场设备的混合。通常该装备是来自不同厂商的装备的混合物。
而且,ICS操作者可能不具有在ICS中运行的所有设备/装备的完整理解或存货清单(inventory)。该装备中任何一个的未解决的安全易损性可以破坏生产或导致ICS中的不安全条件。这样的系统故障可能是恶意攻击、不满的雇员、病毒的结果,或者仅仅是与缺少网络安全性措施耦合的错误的结果。甚至独立装备可以是易损的,因为病毒可以经由通用串行总线(USB)存储器“棒”直接被引入。
发明内容
提供本发明内容呈现简要地指示本公开的性质和实质的概述。它主张以下理解:其将不用于解释或限制权利要求的范围或含义。
所公开的实施例认识到,在工业控制系统(ICS)中不存在将网络安全性状态和网络风险整合成单个焦点的集中式接口,以使得能够向用户提供情形感知、决策支持、优先化和评价以使得能够采取(多个)抢先安全性增强动作。相应地,存在对于网络安全性风险分析系统和算法的所认识到的需要,该算法编译ICS(例如工厂)网络环境中的潜在网络安全易损性,基于对ICS的风险而优先化安全易损性以引导(多个)用户采取缓解易损性的(多个)动作。所公开的网络安全性风险分析系统将针对ICS中的设备的安全性状态和网络风险的种类整合成可以显示在用户接口或“仪表盘”上的单个焦点供应。
存在由所公开的网络安全性算法和方法提供的若干显著方面。一个是所致使的风险评价的近实时连续性质,并且另一个是域特定知识(即ICS系统的理解)对网络安全性风险的计算的应用。
要指出的是,对于单个个人而言,跟上由所公开的网络安全性算法为了分析和计算网络安全性风险所利用的测量参数和事件的绝对(sheer)体积将是不可能的。甚至在个人团队的情况下,这也将不是可能的。而且,所监视的联网设备中的一些每秒能够生成数千个事件,使得将不可能提供所公开的网络安全性算法和方法提供的本质上实时的监视。
如本文所使用的,ICS网络中的术语“网络安全性风险”一般是指有缺陷的、经误配置的或以其它方式易受网络攻击的任何网络安全性控制。安全性风险包括但不限于,遗失补丁、过期防病毒软件、过度安全性特权、不恰当的使用和未经授权的改变。如本文所使用的,“有缺陷的”被限定为不存在(遗失)就位的控制或就位的控制对于任务而言是不足的,“经误配置的”被限定为适当的控制就位但是被以一种方式配置或定位在一个地方,致使其部分或总体上是无效的,并且“易损的”被限定为当适当的控制就位时,但是其过期或者没有补丁,使得其是易损的/易受网络攻击。除易损性之外,网络安全性风险可以此外是威胁水平(即易损性可能被利用到的程度)以及后果(即如果针对网络安全性风险而测量的联网设备被成功利用则将感受到影响有多严重)的函数。
附图说明
图1是根据示例实施例的集成到ICS中的示例网络安全性风险分析系统。
图2A示出具有与可以受益于所公开的网络安全性风险分析系统的那些层级的下部四个联网的五个不同层级的分布式控制系统(DCS)。
图2B示出被划分成多个安全性区段的示例工业工厂,每一个安全性区段具有其自身的路由器或防火墙。
图3是根据示例实施例的示出分析ICS中的网络安全性风险的示例方法中的步骤的流程图。
图4A-E示出根据示例实施例的可以由集成到ICS的网络中的所公开的风险分析系统生成的各种示例仪表盘视图,ICS包括被监视的分组成多个不同的安全性区段的多个联网设备。
具体实施方式
参照随附各图来描述所公开的实施例,其中贯穿各图而使用相同的参考标记以指代类似或等同的元件。图未按比例绘制并且它们仅仅被提供以说明本文所公开的各方面。以下参照示例应用来描述若干所公开的方面以用于说明。应当理解的是,阐述众多具体细节、关系和方法以提供本文所公开的实施例的完整理解。
然而,相关领域普通技术人员将容易认识到,所公开的实施例可以在没有具体细节中的一个或多个的情况下或利用其它方法来实践。在其它实例中,未详细示出公知的结构或操作以避免使本文所公开的方面模糊。所公开的实施例不受动作或事件的所图示的次序限制,因为一些动作可以以不同的次序发生和/或与其它动作或事件同时发生。另外,并不要求所有所图示的动作或事件以实现依照本公开的方法。
图1是根据示例实施例的集成到ICS 150的网络中的示例网络安全性风险分析系统(风险分析系统)100,ICS 150包括被监视的多个联网设备。如以上所指出的,ICS 150可以结合各种不同的控制系统应用使用,所述控制系统应用包括例如牵涉在制造、功率生成、能量分配、废物处置、运输、电信和水处理中的控制系统。
风险分析系统100包括中心服务器105,其被示出包括处理器110(例如微控制器、数字信号处理器(DSP)或微控制器单元(MCU)),处理器110具有其上存储所公开的算法和数据库数据(包括存储包括针对网络中的相应设备的网络风险的易损性数据116a的安全性数据库116)的(多个)相关联的存储器115。如以上所指出的,除了易损性之外,网络安全性风险可以是威胁水平和后果的函数,所述威胁水平是易损性可能被利用到的程度,所述后果是如果针对网络安全性风险所测量的联网设备被成功地利用则将感受到影响有多严重。通过使用所公开的算法,处理器110被示出实现数据收集模块121、规则引擎和整合模块122,以及用户接口(UI)模块123。由ICS 150实现的网络可以是有线(例如线缆)网络、无线网络、光学网络或这三者的任何组合(例如有线和无线网络)。
图1中的被监视设备被示出为工作站135、服务器140和网络设备145,它们为诸如分布式控制系统(DCS)之类的控制系统120的控制级120c的部分。控制系统120还被示出包括其它网络级,其为设备级120a和输入输出(IO)级120b。在图1中未示出可以包括控制系统120中的其它网络级的商业级120e和工厂级120d,但是以下在所示并且以下关于图2描述的DCS 120’中示出和描述。
存在可以与所公开的实施例一起使用的对易损性数据和事件数据(如果存在的话)的数据搜集以向数据收集模块121提供的三个基本方案。第一方案使用被监视设备上的本地代理,其本质上是本地运行的程序,收集涉及易损性数据和事件数据(如果存在的话)的感兴趣的信息并且将其向上发送至中心设备,所述中心设备在此为数据收集模块121。第二方案是使用内置协议远程调用到设备中。WMI和SNMP是这些协议的示例(WMI用于WINDOWSPC,SNMP用于网络设备)。每一次人们想要易损性数据和事件数据(如果存在的话),他们通过适当的协议请求它。第三方案使用已经内置到设备或程序中的特征以订阅相关信息。该方案不要求在第一方案中所需要的定制代理,因为该能力已经被内置到被监视设备中,其也不要求在第二方案中所需要的数据请求。存在对数据的初始订阅(其可能通过配置被监视设备或通过所提供的接口而发生),并且然后在其发生时自动向数据收集模块121发送涉及易损性数据和事件数据(如果存在的话)的所有相关数据。SYSLOG是该第三方案的示例。
假定本地代理存在于网络中的所有设备上,本地代理一般(诸如使用每一个设备上的无代理收集协议(例如Windows管理规范(WMI)、简单网络管理协议(SNMP)、Syslog)或这些方案的组合)收集数据并且向数据收集模块121发送易损性数据和事件数据(如果存在的话)。一个特定的基于本地代理的实现方式使用微软系统中心操作管理器(SCOM)以用于数据收集。风险分析系统100因而可以使用本地代理(用以从工作站135(或PC)收集数据)和无代理收集(用以从交换机、路由器、防火墙和侵入检测/预防设备搜集数据)的组合。原始数据可以由数据收集模块121存储在短期数据库(例如7天的数据)和长期数据仓库(例如12个月的数据(或更多,如果被配置的话))中。数据可以通过周期性地(轮询)被监视设备来收集或者在检测到ICS 150中的任何被监视设备上的改变或事件时(诸如防火墙或防病毒软件被禁用,或者WINDOWS安全性事件)收集。
如以上所指出的,除了将易损性数据和事件数据(如果存在的话)搜集到数据收集模块121的基于本地代理的数据收集之外,诸如如果缺少本地代理,可以使用以上描述的包括使用内置协议远程调用到设备中的第二方案。可替换地,以上描述的使用已经内置到设备或程序中以订阅相关信息的特征的第三方案也可以用于数据收集。
规则引擎和整合模块122可以利用定制开发的规则引擎来实现,该规则引擎从体现为SCOM数据库的数据收集模块121读出数据并且将其转变成归一化数据和分组。规则引擎和整合模块122用于在事件发生时从SCOM接收异步通知,并且基本上立即处理它们。规则引擎和整合模块122将结果得到的信息加载到存储器115中的安全性数据库116中。
安全性数据库116可以实现为具有定制模式的MICROSOFT结构化查询语言(SQL)数据库。易损性数据和事件由规则引擎和整合模块122加载到安全性数据库116中并且由用户站125消费(诸如通过所示的IU模块123)。用户站125被示出包括工作站125a和耦合到网络(Web)应用中的端点之一的浏览器125b。
UI模块123可以实现为通过ICS 150中的浏览器访问的网络应用。浏览器可以位于具有访问UI模块123的许可的个人计算机(PC)或其它设备(例如平板电脑)上。UI模块123可以托管在MICROSOFT互联网信息服务(IIS)中并且使用SignalR和JSON以用于对安全性数据库116的更新的实时通知,和knockout.js以用于动态网页功能。UI模块123的可替换实施例是独立应用而不是基于浏览器的应用。该应用将直接访问安全性数据库116(没有对于UI模块123(受制于该数据库上的安全性)的需要),并且使用该信息以驱动用户站125。
所公开的方法可以包括以下步骤:发现联网在ICS 150中的设备、创建存储在数据收集模块121中的针对那些设备的易损性和事件数据的数据库,以及然后将设备分组到安全性区段中以供进一步分析。例如,以下描述的图2B示出被划分成多个安全性区段的示例工业工厂200,其中所示的每一个安全性区段具有其自身的路由器/防火墙225。
出于本公开的目的,一般期望的是知晓控制网络中的什么设备处于相同的安全性区段中以用于所公开的风险计算。如本文所使用的安全性区段可以是指ANSI/ISA-99标准以改进区段和管道的控制系统安全性模型,其中粗略地,可以与彼此自由通信的控制网络中的设备被分组在相同的安全性区段中。必须经过某种管道(诸如防火墙/路由器225)的设备一般被分组到另一安全性区段中。如果存在可以通过网络传播的在一个设备上检测到的病毒或蠕虫,相同安全性区段内的所有设备可以被视为有风险,因为被感染的设备可以直接接触它们。安全性区段允许哪些设备连接到由ICS实现的网络的确定,这指示网络攻击可能扩散到哪里(如果ICS 150中的特定设备受损的话)。
数据收集模块121针对已知的易损性(例如过期的WINDOWS补丁)扫描这些设备以收集被加载到安全性数据库116中的易损性(和可选的事件、威胁和后果)数据。数据收集模块121可以基本上“连续地”(例如针对具有安全性含义的事件(例如病毒检测、WINDOWS验证故障)而言每几秒)监视设备。
可以使用用于监视设备的两个不同的示例方法。最简单的监视方法是轮询,其中以某个固定间隔(例如每小时一次)来读取值。当可能时可以使用的其它方法是向设备的操作系统注册以在人们所感兴趣的值改变的任何时间被通知。该方法一般仅对某些操作设备上的某些参数是可能的(例如WINDOWS机器上的注册表值)。当不可能注册以用于针对给定参数的通知时,一般使用轮询。监视的区域包括防病毒、应用白名单、WINDOWS安全性事件、网络安全性(包括交换机、路由器、防火墙、以及侵入检测/预防系统的状态)、备份状态、补丁状态和资产策略。
在易损性数据被收集在数据收集模块121中之后,易损性数据由具有首先归一化该数据的初始规则集合的规则引擎和整合模块122来处理。例如,如果一些设备使用SYMANTEC防病毒和其它MCAFEE防病毒,规则引擎将从每一个设备收集到的数据转变成数据或分析的公共集合。由于对一系列应用厂商和数据源的支持,认识到实现所公开的实施例的有效方式一般是在执行分析之前归一化数据。
例如,假定支持读取来自MCAFEE和SYMANTEC防病毒产品的防病毒信息。尽管来自这些厂商中的每一个的原始数据看起来非常不同,但是来自这些厂商中的每一个的数据可以修改成某种预指定的格式使得分析不需要区分这些数据源。例如,假定MCAFEE防病毒产品将其病毒定义日期存储为MM/DD/YYYY并且SYMANTEC防病毒产品将其存储为DD-MM-YYYY。人们可以选择用于数据的预期(优选)格式(例如YYYY-MM-DD),并且然后规则引擎和整合模块122的该转变部分可以在这些原始串中进行读取并且将它们转换成优选格式。这样规则自身将一般从不需要更改串或数据操纵自身,并且可以添加针对其它防病毒厂商的支持而没有对规则改变的需要。
通过使用内部评分规则的集合,可以由规则引擎和整合模块122向每一个风险指派数字得分以量化各种网络风险。简单的示例是为对ICS 150的每一个可能的网络风险给出简单的得分。假定网络风险被指派从0到100的数字值(例如0为无风险,100为非常高风险)。因此,如果防病毒未被安装或已被禁用,那可以被视为高风险值(例如100)。如果防病毒定义文件过期两周,那可能被视为低风险(例如25)。该风险值可以随着定义文件在更长时间内保持过期而增加。
还可以存在由规则引擎和整合模块122使用的更加复杂的评分规则,其将风险的重复和对所连接的设备的暴露考虑在内。这些规则可以由用户如所需要的那样来修改和细调。规则引擎和整合模块122的规则引擎然后可以使用数字得分跨ICS 150对风险排序,从而将它们布置成逻辑分组(例如安全性区段、风险来源、风险严重性)。规则引擎可以将指导文本与每一个风险相关联以帮助用户解决该风险(例如问题描述、可能的原因、对系统的潜在影响、推荐的动作,参见以下描述的图4B)。
规则引擎和整合模块122还可以使用相同分组保持历史风险信息。这允许用户随时间而看到ICS 150的网络风险并且找到其中最频繁发生网络风险的地方。来自规则引擎和整合模块122处理的结果被放置到发送至用户站125(或仪表盘)的安全性数据库116中。由于该安全性数据的敏感性质,对安全性数据库116的访问一般意图限于仅经授权的用户。
在WINDOWS域环境中,用户站125处的网络浏览器可以向风险分析系统100传递当前用户的身份。可以诸如通过读取存储在风险分析系统100中的数据来对照与权限相关联的活动目录中的分组来对此进行检查。活动目录信息可以存储在域控制器中,所述域控制器可以是服务器140的部分。用户访问的数据一般存储在安全性数据库116中。为了澄清,UI模块123(或最终用户)一般不能直接访问安全性数据库116,因为典型地存在UI模块123与安全性数据库116之间的访问层,其一般被称为网络应用编程接口(API),该接口为用于构建超文本传输协议(HTTP)服务的框架,所述框架充当访问层。网络 API处置请求用户的验证以便看看他们是否具有查看安全性数据的许可,并且将安全性数据返回给用户,如果经授权的话。如果用户请求页面并且是具有许可的分组的成员,可以允许他们查看该页面。如果他们不是适当分组的成员,他们可以接收到访问拒绝错误消息。
在没有域环境的情况下,相同功能可以在用户级执行。风险分析系统100可以配置有各个用户,并且可以向用户给出到达ICS 150的某些区域的许可。当访问系统时,用户可以被提示用户名和口令。如果登录成功,风险分析系统100然后可以检查用户的权限以确定他们是否可以访问系统的该部分。
工作站125a可以以多个方式为用户显示安全性数据库116中的易损性信息。对于相对没有经验的用户,用户站125可以提供系统问题的高级指示符,其被示出为量规、风险的数字表示以及风险的当前状态和历史视图的图表。更加有经验的用户可以扩展用户站125以便看到关于ICS 150及其网络风险的更多信息。用户可以访问系统分析视图以便看到各个机器上、区段内和跨ICS 150的趋势和状态。
图2A示出可以受益于所公开的网络安全性风险分析系统的具有联网的五个不同层级(级)的DCS 120’。网络级包括设备级120a、IO级120b、控制级120c、工厂级120d和商业级120e。设备级120a包括量规、阀门、传输器、致动器、传感器和其它设备。IO级120b包括IO模块120b’。控制级120c包括至少一个控制器120c’,其对应于图1中所示的工作站135、服务器140和联网设备145。要指出的是,控制器可以基于若干平台或者可以是专用平台,使得可以存在执行控制功能的DCS 120’中的服务器,其在技术上不是控制器。
应用于DCS 120’,风险分析系统100可以通过从级120a,120b,120c或120d(如果风险分析系统100是商业级120e的部分的话)收集数据而成为商业级120e或工厂级120d(包括控制台120d’和功能)的部分。所收集的易损性数据然后从其原始状态(如由数据收集模块121搜集的那样)转变成风险信息(通过规则引擎和整合模块122完成),并且存储在被示出为安全性数据库116的储存库中,并且使其对用户站125的工作站125a处的用户可由最终用户通过UI模块123来查看。
图2B示出划分成多个安全性区段的示例工业工厂200,其中所示出的每一个安全性区段具有其自身的路由器或防火墙(路由器/防火墙)225。工业工厂200被示出包括工业网络1 220a、工业网络2 220b、工业网络3 220c,其中每一个具有对应于图2A中所示的设备级120a、IO级120b和控制级120c的设备。取决于工厂设置,可以在各个工业网络220a,220b和220c内存在来自工厂级120d的设备。在图2B中所示的示例工业工厂200中,利用呈现在工业网络220a,220b和220c内来表示人机接口(HMI)。一般地,HMI通过某种操作者控制台站(其为图2A中的工厂级120d的部分)来执行。而且,尽管在图2B中未示出,但是一般存在用于提供针对那些显示器的信息和提供对控制器的访问的服务器。
工业网络1 220a、工业网络2 220b、工业网络3 220c每一个通过管道235连接到被示出为工业边界网络(边界网络)240的工厂级120d,所述边界网络240通过另一管道耦合到被示出为企业网络250的商业级120e,所述企业网络250耦合到因特网260。被示出为边界网络或无警戒区段(DMZ)的工厂级120d是包含和向更大且不受信的网络暴露组织的面向外的服务的物理或逻辑子网络。风险分析系统100被示出为工厂级120d的部分。
图3是示出根据示例实施例的分析ICS中的网络安全性风险的示例方法300中的步骤的流程图。步骤301包括提供处理器和存储所公开的网络安全性算法的存储器,其中处理器运行网络安全性算法。网络安全性算法自动实现步骤302至305,并且也可以实现其它步骤,包括发现多个联网设备,以及以下描述的其它可选步骤。
步骤302包括数据收集以通过扫描所述多个设备来编译至少包括包含关于所述多个联网设备的网络风险(风险)的易损性数据的安全性数据。安全性数据还可以包括涉及易损性数据中的易损性可能被利用到的程度的威胁水平数据,以及涉及如果相应联网设备被成功利用则感受到的影响程度的后果数据。数据收集可以包括针对具有安全性含义的事件基本上连续地监视所述多个设备,所述事件包括病毒检测、WINDOWS验证失败,并且监视包括防病毒、应用白名单、WINDOWS安全性事件、包括交换机、路由器、防火墙和侵入检测/预防系统的状态的网络安全性、备份状态、补丁状态和资产策略。
步骤303包括使用规则引擎处理安全性数据,其将数字得分关联到每一个风险。如以上所指出的,易损性、威胁和后果数据可以组合以计算对相应风险的数字得分。例如,组合的风险计算可以基于用于定义风险的ISO/IEC 27005:2011。针对给定设备的风险可以计算为风险=易损性*威胁*后果,其可以被缩写为R=V*T*C。执行该计算的最简单的方式是使用0和1之间的值,这允许直接相乘而不需要归一化R的结果得到的值。这些还可以被容易地表示为百分比。用于V、T和C的这些单独值可以被预先定义、用户选择或二者的组合。
假定人们正在计算系统中的关键设备的风险。由于这是关键设备,因此如果该设备受损则结果可以非常严重,因此可以指派C=1.0(或100%)的值。假定存在该设备上的两种易损性,遗失的非安全性操作补丁和没有安装防病毒软件(具有0.3(或30%)和0.95(或95%)的易损性值)。假定存在对照系统检测到的一个活动威胁,具有0.8(或80%)的威胁值的利用差口令的一系列重复的访问尝试。
计算针对该设备的V的最简单的方式是考虑最高威胁(0.95)。还可以使用其它算法,其可能考虑所有活动威胁的值,但是描述简单的计算。针对T的计算是简单的,因为存在单个威胁。通过使用这些,发现R=V*T*C=0.95*0.8*1.0=0.76(或76%)。
步骤304包括整合数据(包括跨多个联网设备对风险排序)并且将风险布置到至少一个逻辑分组中。例如,用户可能想要基于其来源拆分出风险。来自PC的风险可能进入一个分组并且来自网络设备的风险可能进入另一个。这是有用的,因为通常不同管理员负责维护PC与网络设备。另一示例将是基于站点内的逻辑分组拆分风险。控制系统通常被拆分成对应于制造过程中的步骤的功能集群。每一个集群在此可能是逻辑分组。整合数据还可以包括整合所述多个联网设备的安全性状态的类别。所述至少一个逻辑分组可以包括安全性区段,其允许连接所述多个联网设备中的哪些的确定,从而指示如果所述多个联网设备之一受损则网络攻击可能扩散到哪里,风险的来源和风险的严重性。
步骤305包括在与用户站相关联的工作站上至少显示逻辑分组。方法还可以包括生成关于每一种风险的指导文本(其包括问题描述、可能原因、对ICS的潜在影响和推荐动作),并且在用户站上显示指导文本。
所公开的独特网络安全性风险分析系统特征被认为包括以下:
1. 控制系统设备的多道次发现:诸如风险分析系统100之类的所公开的系统可以利用多个源以用于设备发现并且组合它们以编译ICS 150的控制系统120中的设备的全貌。例如,数据收集模块121可以使用作为图1中的服务器140的部分的域控制器来查询域控制器以获取所有PC的完整列表(例如图1中所示的工作站135以及包括ICS 150中的域控制器自身的140中的服务器。数据收集模块121然后还可以询问那些设备以确定其在ICS中的角色并且发现不是域的部分的另外的附连设备,诸如实时过程控制器。本领域中的已知解决方案可以从域控制器或通过询问网络获取设备列表,但是不能够进行第二道次发现以找到诸如ICS中的控制器设备之类的设备特征。
2. 数据归一化:所公开的系统能够处理和归一化针对不同、单独不兼容的数据。已知解决方案通常基于可以提供类似信息的专业化工具,但是仅针对ICS的隔离设备,而不是针对作为整体的ICS。
3. 用户指导和网络风险的排序:所公开的实施例理解各个网络风险项的原因和潜在影响。这允许所公开的算法向用户提供定制指导,这允许他们快速修正这些网络风险问题。它还可以基于对系统的潜在影响而优先化安全性问题。已知解决方案通常为安全性信息和事件管理(SIEM)系统,其跨系统收集大量数据,但是不能够提供针对该数据的上下文或对用户解决安全性问题的指导。而是,专家必须手工分析和解释数据并且提供其自身的指导和推荐。
示例
通过以下具体示例来进一步说明所公开的实施例,所述具体示例不应当解释为以任何方式限制本公开的范围或内容。
关于网络安全性风险项,以下提供几个示例。如果考虑系统上的防病毒软件,“有缺陷的”可以是指没有安装防病毒软件或者所安装的防病毒软件不是有效的(例如非安全性公司编写其自身的防病毒软件),“经误配置的”可以是指安装了防病毒软件,但是活动保护和周期性扫描被禁用,实际上关闭对系统的保护,并且“易损的”是指防病毒软件被安装和正确地配置,但是定义文件尚未更新,致使其不能够检测对系统的新的网络威胁。
关于针对网络防火墙的网络安全性风险,“有缺陷的”可以是指没有安装防火墙,“经误配置的”可以是指安装了防火墙,但是其允许所有业务通过。“易损的”可以是指防火墙以适当的设置被安装,但是其运行具有已知易损性的固件版本,这将允许攻击利用系统。
威胁示例可以是通过防病毒系统对病毒的检测、CPU、存储器或网络资源的过度消耗(DOS攻击)、向现有用户账户给出的未经授权的权限升级等。网络威胁可以是所检测到的侵入、网络资源的未预期到的消耗(同样,DOS供给)、从防火墙或其它安全性设备接收到的安全性警报或事件等。
后果示例可以是冗余对中的仅一个设备的故障(没有影响);非关键过程中的传感器保真度的损失(对生产或质量的微弱影响);关键过程的故障(对生产的主要影响),和安全相关系统的故障(对HSE的主要影响)。
图4A-D示出根据示例实施例的可以由集成到ICS的网络中的所公开的风险分析系统生成的各种示例仪表盘视图,所述ICS包括被监视的多个联网设备,其被分组到多个不同的安全性区段中。图4A示出示例列表视图,其包括当前网站网络安全性风险以及针对被示出为区段1-6的每一个安全性区段的站点风险,以及对于针对相应区段的站点风险的30天趋势。示出通知、按照区域的风险级和对于风险的30天网站趋势。图4B示出示例扩展列表视图,其还包括通知的细节,所述细节包括特定警报,以及可能原因、潜在影响和推荐动作的列表。
图4C示出针对处于风险项恶意软件之下的区段5中的被示出为EST-104的用户选择的设备的示例全屏分析视图,其中存在所示出的事件的类型、事件的来源、日期/时间和严重性。标题栏中的控件允许包含在该分析视图中的数据的筛选和分类。图4D示出针对12个安全性区段系统的示例逐个区段的站点风险。
图4E示出6区段系统的示例公告牌视图,其帮助示出系统中的信息公开的进度。系统的基本流是用户在图4E中的公告牌视图处开始,其示出系统的一般状态。用户可以将仪表盘的各个元件切换到图4A中所示的详细视图。用户还可以扩展以看到系统中的风险项的列表以及针对图4B中所示的每一个单独风险项的指导。用户还可以进入分析视图,其允许图4C中所示的系统中的数据的表格式回顾。用户可能进行筛选以看到单独的风险项如何跨整个系统出现。他们还可以导出该经筛选的视图以供将来参考或移交给某人以修复所存在的问题。
虽然以上已经描述了各种所公开的实施例,但是应当理解的是,它们仅通过示例而不是作为限制的方式呈现。例如,关于对商业网络的应用,在给定充足权限的情况下,一般将可能监视那里的商业网络设备以实现商业网络中的风险管理器。可以依照本文中的公开做出对所公开的实施例的众多改变而不脱离本公开的精神或范围。因此,本公开的宽度和范围不应当受任何以上描述的实施例限制。而是,本公开的范围应当依照随附权利要求及其等同物来限定。
Claims (12)
1.一种分析包括多个联网设备(145)的工业控制系统(ICS)(150)中的一个或多个网络安全性风险的方法(300),包括:
提供(301)处理器(110)和存储网络安全性算法的相关联的存储器(115),所述处理器运行所述网络安全性算法并且实现:
数据收集(302)以通过扫描所述多个联网设备来编译至少包括包含关于所述多个联网设备(145)的所述风险的易损性数据(116a)的安全性数据;
使用将数字得分关联到所述风险中的每一个的规则引擎(122)来处理(303)所述安全性数据;
整合(304)数据以及将所述风险布置到至少一个逻辑分组中,所述整合(304)数据包括跨所述多个联网设备对所述风险排序,以及
在用户站(125)上至少显示(305)所述逻辑分组。
2.权利要求1的方法,其中所述安全性数据还包括涉及所述易损性数据中的易损性可能被利用到的程度的威胁水平数据,以及涉及如果所述多个联网设备中的相应一个被成功利用则感受到的影响的程度的后果数据。
3.权利要求1的方法,其中所述整合数据还包括整合所述多个联网设备的安全性状态的类别。
4.权利要求1的方法,还包括生成关于所述风险中的每一个的指导文本并且在所述用户站(125)上显示所述指导文本,所述指导文本包括可能的原因、对所述ICS的潜在影响和推荐动作。
5.权利要求1的方法,其中所述规则引擎是具有用于归一化所述易损性数据的内部的规则集合的规则引擎和整合模块(122)的部分,还包括归一化所述易损性数据。
6.权利要求1的方法,所述至少一个逻辑分组包括多个具有其自身的路由器或防火墙(225)的安全性区段,所述安全性区段指示如果所述多个联网设备中的一个受损则网络攻击可能扩散到哪里。
7.一种软件产品,包括:
具有存储在其中的代码的非暂时性机器可读存储介质(115),所述代码包括可执行指令,所述可执行指令在由计算设备(110)执行时使计算设备实现一种用于分析包括多个联网设备(145)的工业控制系统(ICS)(150)中的一个或多个网络安全性风险的网络安全性算法,所述代码包括:
用于数据收集以通过扫描所述多个联网设备来编译至少包括包含关于所述多个联网设备的所述风险的易损性数据(116a)的安全性数据的代码;
用于使用将数字得分关联到所述风险中的每一个的规则引擎(122)来处理所述安全性数据的代码;
用于整合数据的代码以及用于将所述风险布置到至少一个逻辑分组中的代码,整合数据包括跨所述多个联网设备对所述风险排序;以及
用于在用户站(125)上至少显示所述逻辑分组的代码。
8.权利要求7的软件产品,其中所述安全性数据还包括涉及所述易损性数据中的易损性可能被利用到的程度的威胁水平数据,以及涉及如果所述多个联网设备(145)中的相应一个被成功利用则感受到的影响的程度的后果数据。
9.权利要求7的软件产品,其中所述整合数据还包括整合所述多个联网设备的安全性状态的类别。
10.权利要求7的软件产品,还包括用于生成关于所述风险中的每一个的指导文本并且在所述用户站上显示所述指导文本的代码,所述指导文本包括可能的原因、对所述ICS的潜在影响和推荐动作。
11.权利要求7的软件产品,其中所述规则引擎是具有针对用于归一化所述易损性数据的内部的规则集合的代码的规则引擎和整合模块(122)的部分。
12.权利要求7的软件产品,其中用于将所述风险布置到至少一个逻辑分组中的所述代码包括具有其自身的路由器或防火墙(225)的安全性区段的考虑,所述安全性区段指示如果所述多个联网设备(145)中的一个受损则网络攻击可能扩散到哪里。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201462036920P | 2014-08-13 | 2014-08-13 | |
| US62/036920 | 2014-08-13 | ||
| US14/669,980 US9930058B2 (en) | 2014-08-13 | 2015-03-26 | Analyzing cyber-security risks in an industrial control environment |
| US14/669980 | 2015-03-26 | ||
| PCT/US2015/043533 WO2016025226A1 (en) | 2014-08-13 | 2015-08-04 | Analyzing cyber-security risks in an industrial control environment |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106576052A true CN106576052A (zh) | 2017-04-19 |
| CN106576052B CN106576052B (zh) | 2020-09-29 |
Family
ID=55303028
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201580043030.3A Active CN106576052B (zh) | 2014-08-13 | 2015-08-04 | 分析工业控制环境中的网络安全性风险 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US9930058B2 (zh) |
| EP (1) | EP3180891B1 (zh) |
| JP (1) | JP6624692B2 (zh) |
| CN (1) | CN106576052B (zh) |
| AU (1) | AU2015302129B2 (zh) |
| WO (1) | WO2016025226A1 (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110546934A (zh) * | 2017-04-28 | 2019-12-06 | 霍尼韦尔国际公司 | 来自多个站点的网络安全数据的综合企业视图 |
| CN111381567A (zh) * | 2018-12-27 | 2020-07-07 | 北京安控科技股份有限公司 | 一种用于工业控制系统的安全检测系统和方法 |
| CN111400137A (zh) * | 2020-03-17 | 2020-07-10 | Oppo广东移动通信有限公司 | 监测事件的存储方法、装置、移动终端和存储介质 |
Families Citing this family (59)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9407654B2 (en) * | 2014-03-20 | 2016-08-02 | Microsoft Technology Licensing, Llc | Providing multi-level password and phishing protection |
| US10162969B2 (en) * | 2014-09-10 | 2018-12-25 | Honeywell International Inc. | Dynamic quantification of cyber-security risks in a control system |
| US20160110819A1 (en) * | 2014-10-21 | 2016-04-21 | Marc Lauren Abramowitz | Dynamic security rating for cyber insurance products |
| US10609079B2 (en) * | 2015-10-28 | 2020-03-31 | Qomplx, Inc. | Application of advanced cybersecurity threat mitigation to rogue devices, privilege escalation, and risk-based vulnerability and patch management |
| US9876810B2 (en) * | 2015-12-04 | 2018-01-23 | Raytheon Company | Systems and methods for malware lab isolation |
| JP6759572B2 (ja) | 2015-12-15 | 2020-09-23 | 横河電機株式会社 | 統合生産システム |
| JP6693114B2 (ja) * | 2015-12-15 | 2020-05-13 | 横河電機株式会社 | 制御装置及び統合生産システム |
| EP3258661B1 (en) * | 2016-06-16 | 2020-11-18 | ABB Schweiz AG | Detection of abnormal configuration changes |
| US10642988B2 (en) | 2016-08-04 | 2020-05-05 | Honeywell International Inc. | Removable media protected data transfer in a cyber-protected system |
| US10102376B2 (en) | 2016-08-22 | 2018-10-16 | International Business Machines Corporation | Implementing locale management on PaaS: locale replacement risk analysis |
| KR20180044658A (ko) * | 2016-10-24 | 2018-05-03 | 주식회사 윈스 | 이기종 보안장비 이벤트를 이용한 하이 레벨 탐지 장치 |
| CN106534094B (zh) * | 2016-10-26 | 2019-12-10 | 国网北京市电力公司 | 漏洞扫描方法、装置和系统及工业控制系统 |
| US11431792B2 (en) | 2017-01-31 | 2022-08-30 | Micro Focus Llc | Determining contextual information for alerts |
| US11240256B2 (en) | 2017-01-31 | 2022-02-01 | Micro Focus Llc | Grouping alerts into bundles of alerts |
| US11240263B2 (en) | 2017-01-31 | 2022-02-01 | Micro Focus Llc | Responding to alerts |
| US10341293B2 (en) | 2017-02-22 | 2019-07-02 | Honeywell International Inc. | Transparent firewall for protecting field devices |
| US20180255076A1 (en) * | 2017-03-02 | 2018-09-06 | ResponSight Pty Ltd | System and Method for Cyber Security Threat Detection |
| US10791136B2 (en) * | 2017-03-20 | 2020-09-29 | Fair Isaac Corporation | System and method for empirical organizational cybersecurity risk assessment using externally-visible data |
| US10581877B2 (en) | 2017-03-24 | 2020-03-03 | Honeywell International Inc. | Non-contact cybersecurity monitoring device |
| US10708282B2 (en) | 2017-03-27 | 2020-07-07 | International Business Machines Corporation | Unauthorized data access detection based on cyber security images |
| US10476902B2 (en) | 2017-04-26 | 2019-11-12 | General Electric Company | Threat detection for a fleet of industrial assets |
| US20180314833A1 (en) * | 2017-04-28 | 2018-11-01 | Honeywell International Inc. | Risk analysis to identify and retrospect cyber security threats |
| US10860803B2 (en) * | 2017-05-07 | 2020-12-08 | 8X8, Inc. | System for semantic determination of job titles |
| CN110495138B (zh) * | 2017-05-31 | 2023-09-29 | 西门子股份公司 | 工业控制系统及其网络安全的监视方法 |
| US9930062B1 (en) | 2017-06-26 | 2018-03-27 | Factory Mutual Insurance Company | Systems and methods for cyber security risk assessment |
| ES2898895T3 (es) * | 2017-06-28 | 2022-03-09 | Si Ga Data Security 2014 Ltd | Un sistema de detección de amenazas para controladores industriales |
| WO2019055235A1 (en) * | 2017-09-14 | 2019-03-21 | Siemens Corporation | SYSTEM AND METHOD FOR VERIFYING PROJECT SECURITY VULNERABILITIES OF AUTOMATION SYSTEM |
| US11182509B2 (en) | 2018-04-29 | 2021-11-23 | Trilicon Llc | Hardware-based system for cybersecurity protection of microprocessor systems |
| CN108737417A (zh) * | 2018-05-16 | 2018-11-02 | 南京大学 | 一种面向工业控制系统的脆弱性检测方法 |
| EP3591556A1 (en) * | 2018-07-07 | 2020-01-08 | 1830291 Ontario Inc. | Automated security assessment of information systems |
| US11627151B2 (en) * | 2018-10-31 | 2023-04-11 | General Electric Company | Industrial asset cyber-attack detection algorithm verification using secure, distributed ledger |
| US10896261B2 (en) | 2018-11-29 | 2021-01-19 | Battelle Energy Alliance, Llc | Systems and methods for control system security |
| US20220147659A1 (en) * | 2019-02-14 | 2022-05-12 | Nec Corporation | Security assessment apparatus, security assessment method, and non-transitory computer readable medium |
| US11556607B2 (en) * | 2019-03-06 | 2023-01-17 | Oracle International Corporation | System and method for abstracted analysis system design for dynamic API scanning service |
| RU2728504C1 (ru) | 2019-03-29 | 2020-07-29 | Акционерное общество "Лаборатория Касперского" | Система и способ поэтапного повышения информационной безопасности элементов технологической системы |
| US11095610B2 (en) * | 2019-09-19 | 2021-08-17 | Blue Ridge Networks, Inc. | Methods and apparatus for autonomous network segmentation |
| US11568056B2 (en) | 2019-10-02 | 2023-01-31 | Honeywell International Inc. | Methods and apparatuses for vulnerability detection and maintenance prediction in industrial control systems using hash data analytics |
| US11592811B2 (en) * | 2019-10-02 | 2023-02-28 | Honeywell International Inc. | Methods and apparatuses for defining authorization rules for peripheral devices based on peripheral device categorization |
| WO2021156967A1 (ja) * | 2020-02-05 | 2021-08-12 | 日本電気株式会社 | 分析システム、方法およびプログラム |
| US11689567B2 (en) * | 2020-03-06 | 2023-06-27 | Honeywell International Inc. | Mapping an attack tree and attack prediction in industrial control and IIoT environment using hash data analytics |
| IL273321A (en) * | 2020-03-16 | 2021-09-30 | Otorio Ltd | A system and method for reducing risk in an operational network |
| CN111585968B (zh) * | 2020-04-13 | 2022-09-02 | 上海核工程研究设计院有限公司 | 一种基于功能分析的工控网络安全影响分析装置 |
| US11444980B2 (en) | 2020-04-15 | 2022-09-13 | T-Mobile Usa, Inc. | On-demand wireless device centric security for a 5G wireless network |
| US11070982B1 (en) | 2020-04-15 | 2021-07-20 | T-Mobile Usa, Inc. | Self-cleaning function for a network access node of a network |
| US11799878B2 (en) | 2020-04-15 | 2023-10-24 | T-Mobile Usa, Inc. | On-demand software-defined security service orchestration for a 5G wireless network |
| US11824881B2 (en) | 2020-04-15 | 2023-11-21 | T-Mobile Usa, Inc. | On-demand security layer for a 5G wireless network |
| US11206542B2 (en) | 2020-05-14 | 2021-12-21 | T-Mobile Usa, Inc. | 5G cybersecurity protection system using personalized signatures |
| US11057774B1 (en) | 2020-05-14 | 2021-07-06 | T-Mobile Usa, Inc. | Intelligent GNODEB cybersecurity protection system |
| US11115824B1 (en) | 2020-05-14 | 2021-09-07 | T-Mobile Usa, Inc. | 5G cybersecurity protection system |
| CN111832027A (zh) * | 2020-06-29 | 2020-10-27 | 郑州云智信安安全技术有限公司 | 一种基于云计算的网络入侵安全预警系统 |
| US11457361B2 (en) | 2020-08-31 | 2022-09-27 | T-Mobile Usa, Inc. | Wireless network that discovers hotspots for cyberattacks based on social media data |
| CN112839031A (zh) * | 2020-12-24 | 2021-05-25 | 江苏天创科技有限公司 | 一种工业控制网络安全防护系统及方法 |
| US11683334B2 (en) | 2020-12-30 | 2023-06-20 | T-Mobile Usa, Inc. | Cybersecurity system for services of interworking wireless telecommunications networks |
| CN112596984B (zh) * | 2020-12-30 | 2023-07-21 | 国家电网有限公司大数据中心 | 业务弱隔离环境下的数据安全态势感知系统 |
| US11412386B2 (en) | 2020-12-30 | 2022-08-09 | T-Mobile Usa, Inc. | Cybersecurity system for inbound roaming in a wireless telecommunications network |
| US11641585B2 (en) | 2020-12-30 | 2023-05-02 | T-Mobile Usa, Inc. | Cybersecurity system for outbound roaming in a wireless telecommunications network |
| JP7114769B2 (ja) * | 2021-03-05 | 2022-08-08 | Necプラットフォームズ株式会社 | 通信システム |
| US11916940B2 (en) * | 2021-04-12 | 2024-02-27 | Ge Infrastructure Technology Llc | Attack detection and localization with adaptive thresholding |
| WO2023057950A1 (en) * | 2021-10-07 | 2023-04-13 | Mazebolt Technologies Ltd. | Non-disruptive diagnostic and attack testing methods and systems |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070050777A1 (en) * | 2003-06-09 | 2007-03-01 | Hutchinson Thomas W | Duration of alerts and scanning of large data stores |
| CN101695033A (zh) * | 2009-09-25 | 2010-04-14 | 上海交通大学 | 基于权限提升的网络脆弱性分析系统 |
| US20100125911A1 (en) * | 2008-11-17 | 2010-05-20 | Prakash Bhaskaran | Risk Scoring Based On Endpoint User Activities |
| US20100218256A1 (en) * | 2009-02-26 | 2010-08-26 | Network Security Systems plus, Inc. | System and method of integrating and managing information system assessments |
| CN103095485A (zh) * | 2012-10-26 | 2013-05-08 | 中国航天科工集团第二研究院七〇六所 | 基于贝叶斯算法及矩阵方法相结合的网络风险评估方法 |
| US20130227697A1 (en) * | 2012-02-29 | 2013-08-29 | Shay ZANDANI | System and method for cyber attacks analysis and decision support |
| US20130247205A1 (en) * | 2010-07-14 | 2013-09-19 | Mcafee, Inc. | Calculating quantitative asset risk |
| CN103366244A (zh) * | 2013-06-19 | 2013-10-23 | 深圳市易聆科信息技术有限公司 | 一种实时获取网络风险值的方法及系统 |
| US20140137257A1 (en) * | 2012-11-12 | 2014-05-15 | Board Of Regents, The University Of Texas System | System, Method and Apparatus for Assessing a Risk of One or More Assets Within an Operational Technology Infrastructure |
| US8776168B1 (en) * | 2009-10-29 | 2014-07-08 | Symantec Corporation | Applying security policy based on behaviorally-derived user risk profiles |
Family Cites Families (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5726979A (en) * | 1996-02-22 | 1998-03-10 | Mci Corporation | Network management system |
| JP4152108B2 (ja) * | 2002-01-18 | 2008-09-17 | 株式会社コムスクエア | 脆弱点監視方法及びシステム |
| JP2005190066A (ja) * | 2003-12-25 | 2005-07-14 | Hitachi Ltd | 情報管理システム、情報管理サーバ、情報管理システムの制御方法、及び、プログラム |
| US8312549B2 (en) * | 2004-09-24 | 2012-11-13 | Ygor Goldberg | Practical threat analysis |
| US7554288B2 (en) | 2006-03-10 | 2009-06-30 | Atmel Corporation | Random number generator in a battery pack |
| JP2008112284A (ja) * | 2006-10-30 | 2008-05-15 | Fujitsu Ltd | 資源管理方法、資源管理システム、およびコンピュータプログラム |
| EP1965301A1 (en) * | 2007-02-27 | 2008-09-03 | Abb Research Ltd. | Method and system for generating a control system user interface |
| US7952999B1 (en) * | 2007-05-08 | 2011-05-31 | Juniper Networks, Inc. | Feedback control of processor use in virtual systems |
| US8219214B1 (en) * | 2008-03-18 | 2012-07-10 | Mimlitz James E | Supervisory control and data acquisition protocol converter |
| KR101011456B1 (ko) | 2008-06-30 | 2011-02-01 | 주식회사 이너버스 | 정보유출감사 방법, 이를 수행하기 위한 프로그램이 저장된 컴퓨터가 판독가능한 기록매체 및 이를 수행하기 위한 시스템 |
| JP2010198194A (ja) * | 2009-02-24 | 2010-09-09 | Nomura Research Institute Ltd | セキュリティ管理支援システム |
| US10027711B2 (en) * | 2009-11-20 | 2018-07-17 | Alert Enterprise, Inc. | Situational intelligence |
| US8712596B2 (en) * | 2010-05-20 | 2014-04-29 | Accenture Global Services Limited | Malicious attack detection and analysis |
| KR101060277B1 (ko) | 2010-11-23 | 2011-08-29 | (주)지인소프트 | 기업체의 부서별 기업구성원 pc를 차별관리하는 기업체용 통합관리 시스템 및 방법 |
| US8621637B2 (en) * | 2011-01-10 | 2013-12-31 | Saudi Arabian Oil Company | Systems, program product and methods for performing a risk assessment workflow process for plant networks and systems |
| US8856936B2 (en) * | 2011-10-14 | 2014-10-07 | Albeado Inc. | Pervasive, domain and situational-aware, adaptive, automated, and coordinated analysis and control of enterprise-wide computers, networks, and applications for mitigation of business and operational risks and enhancement of cyber security |
| US9083741B2 (en) * | 2011-12-29 | 2015-07-14 | Architecture Technology Corporation | Network defense system and framework for detecting and geolocating botnet cyber attacks |
| US8726393B2 (en) | 2012-04-23 | 2014-05-13 | Abb Technology Ag | Cyber security analyzer |
| CN104395908B (zh) * | 2012-06-21 | 2017-06-13 | 阿沃森特亨茨维尔有限责任公司 | 用于数据中心部件的网络安全监视系统和方法 |
| WO2014109645A1 (en) * | 2013-01-08 | 2014-07-17 | Secure-Nok As | Method, device and computer program for monitoring an industrial control system |
| US10026049B2 (en) * | 2013-05-09 | 2018-07-17 | Rockwell Automation Technologies, Inc. | Risk assessment for industrial systems using big data |
| US9208335B2 (en) * | 2013-09-17 | 2015-12-08 | Auburn University | Space-time separated and jointly evolving relationship-based network access and data protection system |
| EP3149597B1 (en) * | 2014-06-02 | 2019-10-02 | Bastille Networks, Inc. | Electromagnetic threat detection and mitigation in the internet of things |
| US10162969B2 (en) * | 2014-09-10 | 2018-12-25 | Honeywell International Inc. | Dynamic quantification of cyber-security risks in a control system |
| US10298608B2 (en) * | 2015-02-11 | 2019-05-21 | Honeywell International Inc. | Apparatus and method for tying cyber-security risk analysis to common risk methodologies and risk levels |
| US9800604B2 (en) * | 2015-05-06 | 2017-10-24 | Honeywell International Inc. | Apparatus and method for assigning cyber-security risk consequences in industrial process control environments |
-
2015
- 2015-03-26 US US14/669,980 patent/US9930058B2/en active Active
- 2015-08-04 EP EP15832498.8A patent/EP3180891B1/en active Active
- 2015-08-04 AU AU2015302129A patent/AU2015302129B2/en active Active
- 2015-08-04 JP JP2017507962A patent/JP6624692B2/ja active Active
- 2015-08-04 CN CN201580043030.3A patent/CN106576052B/zh active Active
- 2015-08-04 WO PCT/US2015/043533 patent/WO2016025226A1/en active Application Filing
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070050777A1 (en) * | 2003-06-09 | 2007-03-01 | Hutchinson Thomas W | Duration of alerts and scanning of large data stores |
| US20100125911A1 (en) * | 2008-11-17 | 2010-05-20 | Prakash Bhaskaran | Risk Scoring Based On Endpoint User Activities |
| US20100218256A1 (en) * | 2009-02-26 | 2010-08-26 | Network Security Systems plus, Inc. | System and method of integrating and managing information system assessments |
| CN101695033A (zh) * | 2009-09-25 | 2010-04-14 | 上海交通大学 | 基于权限提升的网络脆弱性分析系统 |
| US8776168B1 (en) * | 2009-10-29 | 2014-07-08 | Symantec Corporation | Applying security policy based on behaviorally-derived user risk profiles |
| US20130247205A1 (en) * | 2010-07-14 | 2013-09-19 | Mcafee, Inc. | Calculating quantitative asset risk |
| US20130227697A1 (en) * | 2012-02-29 | 2013-08-29 | Shay ZANDANI | System and method for cyber attacks analysis and decision support |
| CN103095485A (zh) * | 2012-10-26 | 2013-05-08 | 中国航天科工集团第二研究院七〇六所 | 基于贝叶斯算法及矩阵方法相结合的网络风险评估方法 |
| US20140137257A1 (en) * | 2012-11-12 | 2014-05-15 | Board Of Regents, The University Of Texas System | System, Method and Apparatus for Assessing a Risk of One or More Assets Within an Operational Technology Infrastructure |
| CN103366244A (zh) * | 2013-06-19 | 2013-10-23 | 深圳市易聆科信息技术有限公司 | 一种实时获取网络风险值的方法及系统 |
Non-Patent Citations (1)
| Title |
|---|
| HOLGER REIBOLD: ""openvas kompakt professionelles computed-und internet-know-how"", 《ISBN:978-3-939316-73-2》 * |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110546934A (zh) * | 2017-04-28 | 2019-12-06 | 霍尼韦尔国际公司 | 来自多个站点的网络安全数据的综合企业视图 |
| CN110546934B (zh) * | 2017-04-28 | 2022-03-04 | 霍尼韦尔国际公司 | 来自多个站点的网络安全数据的综合企业视图 |
| CN111381567A (zh) * | 2018-12-27 | 2020-07-07 | 北京安控科技股份有限公司 | 一种用于工业控制系统的安全检测系统和方法 |
| CN111381567B (zh) * | 2018-12-27 | 2021-11-05 | 北京安控科技股份有限公司 | 一种用于工业控制系统的安全检测系统和方法 |
| CN111400137A (zh) * | 2020-03-17 | 2020-07-10 | Oppo广东移动通信有限公司 | 监测事件的存储方法、装置、移动终端和存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3180891A4 (en) | 2018-03-28 |
| AU2015302129B2 (en) | 2019-09-19 |
| US20160050225A1 (en) | 2016-02-18 |
| CN106576052B (zh) | 2020-09-29 |
| JP2017525055A (ja) | 2017-08-31 |
| EP3180891A1 (en) | 2017-06-21 |
| EP3180891B1 (en) | 2019-11-13 |
| AU2015302129A1 (en) | 2017-02-02 |
| US9930058B2 (en) | 2018-03-27 |
| JP6624692B2 (ja) | 2019-12-25 |
| WO2016025226A1 (en) | 2016-02-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106576052A (zh) | 分析工业控制环境中的网络安全性风险 | |
| EP3192232B1 (en) | Dynamic quantification of cyber-security risks in a control system | |
| CN113016168B (zh) | 工业系统事件检测和对应的响应 | |
| EP3156930B1 (en) | System and method for assessing cybersecurity awareness | |
| CN104509034B (zh) | 模式合并以识别恶意行为 | |
| EP3511823A1 (en) | Method and system of managing artifacts during its lifecycle on a cloud computing system | |
| CN102171657B (zh) | 实体信誉评分的简化传送 | |
| CN108737425A (zh) | 基于多引擎漏洞扫描关联分析的脆弱性管理系统 | |
| Rubio et al. | Analysis of Intrusion Detection Systems in Industrial Ecosystems. | |
| US20150301515A1 (en) | Method, Device and Computer Program for Monitoring an Industrial Control System | |
| US20120047581A1 (en) | Event-driven auto-restoration of websites | |
| JP2015222597A (ja) | プロセス制御システムのための一体型統合脅威管理 | |
| WO2021216163A2 (en) | Ai-driven defensive cybersecurity strategy analysis and recommendation system | |
| JP2015191390A (ja) | セキュリティ対処支援システム | |
| KR100918370B1 (ko) | 웹관리시스템 및 그 방법 | |
| CN115733646A (zh) | 网络安全威胁评估方法、装置、设备及可读存储介质 | |
| Lemaire et al. | Extracting vulnerabilities in industrial control systems using a knowledge-based system | |
| EP2656322B1 (en) | Intrusion detection | |
| CN110378120A (zh) | 应用程序接口攻击检测方法、装置以及可读存储介质 | |
| CN110493200A (zh) | 一种基于威胁地图的工控系统风险量化分析方法 | |
| Formicola et al. | Assessing the impact of cyber attacks on wireless sensor nodes that monitor interdependent physical systems | |
| De Faveri et al. | Visual modeling of cyber deception | |
| Francia III et al. | Critical infrastructure protection and security benchmarks | |
| KR102540904B1 (ko) | 빅데이터 기반의 취약보안 관리를 위한 보안 토탈 관리 시스템 및 보안 토탈 관리 방법 | |
| Oser | Security Risks of IoT Devices: From Device Characteristics to Future Risk Score Predictions |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |