你听到那个消息了吗?有一种新的类似震网病毒的恶意软件在网络空间里四处游荡。它被称为Irongate,它使用中间人(MiTM)技术在可编程逻辑控制器(PLC)和软件程序之间切换,用恶意代码取代动态链接库(DLL)文件。恶意代码,由火眼实验室高级逆向工程(FLARE)团队发现,目标是模拟西门子控制系统环境。好消息是,工业控制系统(ICS)恶意软件似乎是某种形式的测试,因此不是威胁。但制造商不应该轻易摆脱这种影响,因为我们知道像Stuxnet这样的恶意软件BlackEnergy能做什么。
正是这样的消息让许多网络安全供应商急于想出一种方法来阻止ICS恶意软件。本周,Bayshore网络该公司就是这样做的。该公司宣布,其Bayshore IT/OT网关有能力保护工业运营免受Stuxnet、BlackEnergy、Irongate等攻击。
“我们一直支持恶意软件检测,作为对任何类型的网络应用程序进行深度内容检查的一部分,”Bayshore的创始人兼首席科学家弗朗西斯·西安弗罗卡(Francis Cianfrocca)说。“但事实是,各种不法分子已经找到了利用标准类型的恶意软件渗透控制系统,尤其是人机界面的方法,这令人恐惧。”因此,该公司扩展了其恶意软件检测能力,并将其应用于通过网络链接访问hmi的协议,他说。
具体来说,Bayshore IT/OT网关的设计具有对工业通信协议的先进理解,例如Modbus TCP, DNP3和以太网/IP,并且能够检测承载在这些协议上的恶意软件的渗透。此外,它使用基于xml的策略语言,可以快速适应it或OT环境中的任何专有协议,并具有访问高级分析等应用程序的能力。
Bayshore基于策略的方法区别于入侵检测系统(IDS)和防火墙等it安全解决方案使用的白名单方法。为此,Bayshore从多个来源构建安全策略,包括内部研究、客户创建的规则和外部可信来源,包括ICS-CERT、OWASP、Stix/Taxii,以及领先的防御威胁英特尔供应商和服务提供商。
Bayshore IT/OT网关是一种基于云的服务,但也可以作为虚拟机或本地设备使用。然而,即使在云中,它也提供对机器操作命令的细粒度内容检查,并可以根据机器发送和接收的应用程序流量类型来识别机器。
“我们从了解[工业]机器如何工作以及它们如何在网络上通信的角度出发,这使我们与其他专注于计算机网络和Windows漏洞的安全供应商不同,”Cianfrocca说。“我们有能力查看机器正在做的一切,并在协议流中检测恶意软件。”
