|
在工業(yè)控制器�����、醫(yī)療設(shè)備����、制造生產(chǎn)線、能源基礎(chǔ)設(shè)施等網(wǎng)絡(luò)化物理系統(tǒng)(CPS, Cyber Physical Systems)中��,安全團(tuán)隊(duì)長期面臨一個令人頭疼的問題:沒人能說清楚設(shè)備到底叫什么����。
-
同一臺控制器�,在不同協(xié)議下��,可能報出三個不同名稱����。
-
有的控制器隱藏了產(chǎn)品代碼。
-
廠商發(fā)布的公告中充斥著模糊的型號系列���,而非具體的型號變體�。
-
CVE漏洞信息也常常模棱兩可���,讓人無法確定是否適用于眼前的設(shè)備����。
這就是OT領(lǐng)域的命名危機(jī)���。攻擊者利用固件缺陷���、配置差異、未打補(bǔ)丁的模塊輕松突破�。防御者卻在架子上兩臺幾乎一模一樣的PLC之間糾結(jié):到底是哪一臺��?
Claroty推出CPS Library��,在Claroty CTD��、xDome上線
Claroty發(fā)布了 CPS Library��,這是業(yè)內(nèi)首個由AI驅(qū)動的映射引擎�,能夠在設(shè)備幾乎不報自身信息的情況下����,確定性地識別資產(chǎn),精準(zhǔn)匹配漏洞��。它不是普通的梳理資產(chǎn)清單的功能��,而是一個 “通用轉(zhuǎn)換器”���。
背后有羅克韋爾自動化(Rockwell Automation)、施耐德電氣(Schneider Electric)等主流廠商提供的數(shù)據(jù)和驗(yàn)證支持��。
其底層是multi-agent AI system(多智能體AI系統(tǒng))�����,它能采集:
然后,把它們整合為一個單一的“ground truth(真實(shí))”產(chǎn)品代碼�����。CPS Library使用一個龐大的證據(jù)圖譜(evidence graph)��,包含了經(jīng)過OEM廠商驗(yàn)證的參考值�����,AI Agents通過多重證據(jù)交叉比對�,精準(zhǔn)識別設(shè)備身份。
資產(chǎn)層混亂��,削弱整個防御體系
Claroty研究團(tuán)隊(duì)Team82發(fā)布了一份報告《Resolving the CPS Identity Crisis》����,量化了當(dāng)前CPS資產(chǎn)識別的混亂現(xiàn)狀。
-
88%的CPS資產(chǎn)無法傳輸精確的產(chǎn)品代碼����。
-
76%的資產(chǎn)名稱不一致(同一個設(shè)備不同協(xié)議報不同名)。
-
41%不廣播操作系統(tǒng)版本��。
-
33%不廣播操作系統(tǒng)名稱���。
-
四分之三的型號在不同協(xié)議或集成下有多個命名變體����。
-
Claroty應(yīng)用其全新的、由AI驅(qū)動的數(shù)據(jù)核對流程后����,某知名OEM廠商的數(shù)據(jù)映射準(zhǔn)確率從4%躍升至83%。
這些數(shù)字不僅反映了身份識別混亂����,還反映了系統(tǒng)性暴露風(fēng)險。當(dāng)資產(chǎn)層本身就是一團(tuán)霧����,上面所有的防御都站不穩(wěn):風(fēng)險報告、CVE匹配����、補(bǔ)丁驗(yàn)證����、補(bǔ)償控制、合規(guī)���、事件響應(yīng)......很多企業(yè)的“最后一公里修復(fù)”以無奈的聳肩告終:連設(shè)備到底是哪一款都搞不清楚�����,拿什么去打補(bǔ)�。
Claroty CPS Library 優(yōu)化漏洞管理
與IT資產(chǎn)不同�,CPS設(shè)備是模塊化生態(tài)系統(tǒng)。同一個型號可能代表不同CPU����、網(wǎng)卡或接口模塊的硬件,每種配置都引入了不同的固件分支和各自獨(dú)特的安全漏洞�。
某個CVE漏洞可能僅在控制器與特定通信模塊配對時才會生效。另一個漏洞可能僅適用于預(yù)裝特定操作系統(tǒng)版本的設(shè)備���。但由于廠商很少在公告中包含細(xì)粒度信息���,運(yùn)維人員只能靠猜測。
CPS Library把那些數(shù)字世界里根本找不到的細(xì)節(jié)也拉了進(jìn)來:
-
默認(rèn)配置
-
固件版本
-
廠商批準(zhǔn)的補(bǔ)丁級別
-
可替換組件之間的關(guān)系
然后��,它會將這些信息與從網(wǎng)絡(luò)流量中捕獲的真實(shí)標(biāo)識符進(jìn)行匹配�,即使設(shè)備省略了最關(guān)鍵的字段也能正常工作。實(shí)測效果:
多專業(yè) Agent 協(xié)同,CPS Library 帶來安全新突破
Claroty CPS Library的架構(gòu)不是單一模型�����,而是由多個專業(yè)Agent組成:
-
自然語言處理引擎(NLP engines):解析混亂的�、源自協(xié)議的命名字符串。
-
統(tǒng)計(jì)推理器(Statistical reasoners):為相關(guān)性分配置信度�。
-
領(lǐng)域引導(dǎo)邏輯模塊(Domain-guided logic modules):理解硬件迭代、更換周期�����、固件兼容性��。
-
集成投票系統(tǒng)(Ensemble voting system):抑制噪聲及協(xié)調(diào)矛盾數(shù)據(jù)���。
-
人機(jī)交互驗(yàn)證循環(huán)(Human-in-the-loop verification loop):持續(xù)豐富證據(jù)圖譜����,基于新的真實(shí)數(shù)據(jù)重新訓(xùn)練模型���。
傳統(tǒng)方法依賴于單一且不完善的信號����,比如Modbus標(biāo)識符或廠商PDF文件�,而CPS Library是幾百個信號一起上。
Claroty把CPS Library定位為基礎(chǔ)架構(gòu)��,非附加功能�����。CPS Library是一個經(jīng)過廠商驗(yàn)證的規(guī)范化參考系統(tǒng)��,其他安全層都可以接入����。
Claroty CPS Library 從根源上處理安全問題
當(dāng)前針對CPS的漏洞管理流程實(shí)際上是失效的,根本原因在于命名層從未穩(wěn)定過��。
底層的不一致直接導(dǎo)致上層的混亂:CVE官方發(fā)布的內(nèi)容殘缺不全���,廠商在不同產(chǎn)品線之間自相矛盾����,運(yùn)維人員則需要花費(fèi)數(shù)天時間去解讀跨越幾十種變體配置的型號系列�����。
直到現(xiàn)在,防御者一直在用類似“一堆便簽紙”的設(shè)備身份來保護(hù)世界上最敏感的基礎(chǔ)設(shè)施��。而攻擊者多年來正是從這種模糊性中獲益����。
標(biāo)準(zhǔn)化CPS身份不僅僅是一個可視化問題,它是應(yīng)對所有網(wǎng)絡(luò)物理風(fēng)險的前提條件��。
工業(yè)�、醫(yī)療、能源等領(lǐng)域需要對每個可能暴露給攻擊者的聯(lián)網(wǎng)設(shè)備進(jìn)行精確�����、確定性的追溯��。
Claroty 總代 Cyberworld科明大同��,Claroty CPS Library努力把所有噪聲變成確定性的映射:一個產(chǎn)品身份�����、一組漏洞�、一條修復(fù)路徑。
|
