在 “灯塔资讯中心” 工具发布两年之际,我们在Blog中正式宣布发布“知风 Zhifeng.io”系统的 BETA版本,知风的独特设计是来自灯塔实验室在长期安全研究实践过程中提出的,可以做到更精准的物联网与工控资产分析。知风的运用的分析方法是一种创新且独特的自动化快速分析手段,该技术旨在快速清查与定位各种物联网与工控资产使用企业与组件级别暴露面。
在这个BETA版本中,您可以在知风系统中更快的定位摄像头、打印机甚至是指纹机等各类物联网资产,在工控方面您可以更快速精准定位全球各种主流品牌的SCADA、PLC软硬件产品,同时利用“知风”积累的企业和系统数据,您还可以分析各个行业和企业资产联网情况。
Zhifeng.io
“知风”出现的背景
随着网络化和信息化的普及,越来越多工业企业为满足运营、数据通信和运维需求,将工控网络与信息网络相连接,某些特殊情况下甚至直接将工业控制系统接入互联网中。经工业信息安全权威机构统计,我国存在大量工业控制相关软硬件资产直接接入互联网的情况,随着网络空间搜索引擎的出现和工控协议、设备识别方法的公开,使得人们可以利用Shodan、Censys、ZoomEye等开放式网络空间搜索引擎直接检索和访问联网的工业控制设备和系统,同样间接的暴露针对企业和相关系统的攻击面。
“知风”提出了一种互联网联网工控资产自动化分析方式,基于分析结果将可真正帮助用户了解目前接入互联网的工控资产是何企业所属,接入时间,系统名称等。利用“知风”积累的企业和系统数据,您使用“知风”时只需输入企业简称或系统简称,即可了解目标系统企业和系统是否有工控资产联网情况,借助“知风”您也可以了解您的企业、系统是否存在遭受互联网攻击的可能。
什么是“知风”?
“知风”是一个针对互联网联网工控资产与企业的关联分析系统,您可搜索任何企业名称来了解该企业是否存在接入互联网的工控系统和资产类型,您也可以搜索特定的系统名称来了解该系统是否接入过互联网。
发布“知风”的初衷
目前大量工业企业可能由于企业规模、建设规划、系统集成、管理运维、生产运营等多种原因可能将工控系统接入互联网,而其中原因可能是企业网络运维人员自身也不了解的,而“知风”积累的海量数据将可以告诉用户,自己的系统和企业是否曾经接入互联网,以便评估是否是由未授权导致的系统接入互联网。
系统工作方式
“知风”数据跨度长达3年,其系统分析的最原始联网工控资产数据来源渠道主要来自于各种网络空间搜索引擎如 Shodan、Censys、ZoomEye 、FOFA等公开平台,我们通过独有的IP核查与关联分析技术来鉴定联网工控资产、系统的所属,对系统和企业进行标识。“知风”系统本身是一个“被动”,“非接触式”的综合分析数据管理系统,整体依托开放平台提供的原始数据展开关联分析。
“知风”系统的分析方式
“知风”提出了一种针对互联网联网工控资产IP与企业相关联的一种自动化与快速分析的专利方法,该方法又称IP核查,我们主要利用各种网络空间搜索引擎公开的数据渠道,通过自动化的手段整合各种网络空间搜索引擎联网工控资产数据以及不限于如下多维度信息,来帮助我们确认互联网联网工控资产与企业之间的对应关系:
1、系统标题
2、系统内容标识
3、系统版权标识
4、系统应用可能的使用情况
5、服务组件通信返回的特定标识
6、联网设备的各种工程信息
7、工控协议返回的特定标识
8、系统、软硬件返回的指定特征值
9、IP运营商等基础信息
10、IP真实使用位置
我们对互联网联网工控资产的定义
我们定义的联网工控资产不仅限于连接互联网的PLC、RTU等关键工控设备,任何属于工业企业场景下由工控企业“内生”的联网资产均属于“知风”系统定义的互联网联网工控资产对象,具体如下:
- PLC(可编程逻辑控制器)
- SCADA/HMI(监控组态类软件以及人机交互软硬件)
- RTDB/HISDB(实时历史数据库)
- RTU/传感器/DTU
- IOServer(数据通信组件)
- 各种工控协议的通信接口(Modbus/IEC104/DNP3/DLT 698/OPCUA)
- 工业企业内网向外映射发布的视频监控设备
- 工业企业内网向外映射发布的Web生产管理系统
联网工控资产的安全性?
“知风”作为基础数据分析和检索系统本身并不对相关联网的企业和系统的安全进行直接评判和分析,我们认为直接将没有保护的工业控制系统软硬件接入互联网是极其不安全的,虽然其中少量的联网工控资产之于整个IPv4空间40亿IP地址,可以说是及其微小的,但随着网络空间探测技术、无状态扫描技术的普及,工控设备探测方式的公开,致使攻击者快速、广泛的寻找所关心的目标及其容易的。尤其将SCADA、PLC等重要系统通过端口映射的方式直接从企业内部网络发布或直接接入互联中,将会直接暴露攻击面,即使该资产具有一定的应用安全防护,而对于攻击者来说也直接暴露了进入企业内网的接口。
数据的可靠性
为了保证数据可靠性“知风”系统接入了多个开放的数据源,并且尽量扩展了数据收集的广度、宽度、深度,并且“知风”系统收录横跨互联网3年历史的联网工控资产企业数据,对于采取的自动分析方法“知风”也通过独有科学分析与专利方法展开自动化分析,从而来保证数据的准确性。但由于各个平台数据展现形式和三方接入数据导致自动化分析的差异,个别数据依然可能存在误差的情况,如果您对查询结果有任何疑问,均可与我们取得联系:[email protected]
关于隐私保护
“知风”注重安全与隐私保护,目前仅可以通过键入企业简称和系统简称查询该企业、系统是否联网、联网年份时间以及模糊资产类型,并且我们对使用系统的查询频次进行了严格限制,以便防止数据被恶意滥用。对于“知风”系统查询返回的结果与开放的网络空间搜索引擎具体区别在于:查询结果本身并不涉及企业资产IP等安全隐私敏感信息。
有任何疑问?
如果您对查询反馈的结果有任何疑问或对系统运行方式有任何疑问,
均可与我们取得联系:
[email protected]
交流社区
我们创建了一个用于临时交流讨论的群组,用于意见与相关技术交流,目前限时限额开放中。