因为,工控环境
并没有我们想的那么简单
第二重境界:工业协议白名单
对于普通防火墙来说
做个五元组白名单,没啥难度
尤其,到了NGFW满天飞的时代
让他们做个深度协议协议识别,也没问题
文章插图
可是,真到了工控场景就会发现
曾经识别的几百上千种协议完全用不上
工控设备,完全不说“人话”
这些稀奇古怪的协议,把防火墙整懵逼
文章插图
常见的几十种,偏门的上百种
都是通用场景碰不上的
而且,不是记住协议端口、协议号就完事
对于每种协议,都要深度识别
文章插图
不仅要识别出工控协议类型
还要知道里面具体的指令含义
然后,形成协议白名单,精准管控
这样才稳妥
这就万无一失了吗
并没有,还有第三重
↓
第三重境界:业务工艺白名单
五元组也好,协议管控也好
都只能算是一种静态控制
在此基础之上,还要引入工艺流程
文章插图
比如在油气传输控制中
“关闭阀门”、“加压”
单独看这两个控制指令,都没毛病
可是,如果跟工艺流程结合起来
一边“加压”,一边“关阀门”
就可能是一组危险指令
文章插图
所以
一份经得起考验的“白名单”
必须要跟生产场景的工艺流程融合起来
需要从业务角度
来判断指令的合理性
文章插图
听老王balabala讲完
我也着实吃了一惊
原来小小一份“白名单”
竟然都有这么多学问
这时候,老王又开腔了
文章插图
此时
老王再次晃起了那串钥匙
接着说道:
“要说这顶流工控墙
我用的这家就是
那带钥匙的墙是他家新款——”
文章插图
这一说,我立马想起来了
原来是“威猛努力特持久”的
文章插图
那就让我们来康康
威努特工控防火墙
是如何建立三重白名单的
↓
文章插图
在第?重固化过程中
这部分由数据处理模块完成
形成主机访问路径表
进行五元组访问次数统计
最终得到访问控制规则表
这其中还包括正常访问次数阈值
比如某个控制指令频繁下发
那就有可能是违规或者威胁行为
(所以,之一重白名单也不简单)
文章插图
在第?重固化过程中
协议规则学习模块发挥作用
它在第1重基础上,解析工业协议
检查协议规约和功能码值域特征
最终,沉淀为“协议白名单”
文章插图
威努特支持100+工业协议识别
30+工业协议深度识别
包括铁路RSSP、TRDP等偏门协议
对于一些特种行业
甲方不方便公开协议
威努特则提供协议解析引擎
供客户做二次开发,自定义规则
↓
文章插图
在第?重固化过程中
威努特采用业务规则学习模块
引入业务工艺流程
对各种规则、协议进行关联分析
说白了,就是要揪出那些
看似合法却发生在错误时间/地点的动作
文章插图
到了这一重,极考验厂商的项目经验
只有真正深扎工控场景,熟悉工艺
甚至得到工业老师傅的手把手真传
才能洞悉藏在合法协议里的非法动作
文章插图
三重固化走下来
才有了一份值得信赖的白名单
实现从业务工艺的角度
推荐阅读
- 刘涛还珠格格演的谁 刘涛还珠格格
- 用猝不及防造句 猝不及防造句
- 手机电池的鼓包预防方法 手机电池鼓包是什么原因造成的
- 毛里塔尼亚是个什么样的国家 毛里塔尼亚是哪个国家
- 消防设备电源监控系统 消防设备
- 合肥南站 ****** 热线 合肥南站
- 轻便安全帽 安全帽的防护作用
- 启初防晒是物理还是化学 七厨房
- 游泳的水温最适宜的是多少度防抽筋 游泳适合多少度的水温
- 雾霾形成的主要原因是什么防治雾霾产生的措施有哪些 雾霾形成的主要原因是什么