|
在工業(yè)控制器、醫(yī)療設備、制造生產(chǎn)線、能源基礎設施等網(wǎng)絡化物理系統(tǒng)(CPS, Cyber Physical Systems)中,安全團隊長期面臨一個令人頭疼的問題:沒人能說清楚設備到底叫什么。
-
同一臺控制器,在不同協(xié)議下,可能報出三個不同名稱。
-
有的控制器隱藏了產(chǎn)品代碼。
-
廠商發(fā)布的公告中充斥著模糊的型號系列,而非具體的型號變體。
-
CVE漏洞信息也常常模棱兩可,讓人無法確定是否適用于眼前的設備。
這就是OT領域的命名危機。攻擊者利用固件缺陷、配置差異、未打補丁的模塊輕松突破。防御者卻在架子上兩臺幾乎一模一樣的PLC之間糾結:到底是哪一臺?
Claroty推出CPS Library,在Claroty CTD、xDome上線
Claroty發(fā)布了 CPS Library,這是業(yè)內首個由AI驅動的映射引擎,能夠在設備幾乎不報自身信息的情況下,確定性地識別資產(chǎn),精準匹配漏洞。它不是普通的梳理資產(chǎn)清單的功能,而是一個 “通用轉換器”。
背后有羅克韋爾自動化(Rockwell Automation)、施耐德電氣(Schneider Electric)等主流廠商提供的數(shù)據(jù)和驗證支持。
其底層是multi-agent AI system(多智能體AI系統(tǒng)),它能采集:
然后,把它們整合為一個單一的“ground truth(真實)”產(chǎn)品代碼。CPS Library使用一個龐大的證據(jù)圖譜(evidence graph),包含了經(jīng)過OEM廠商驗證的參考值,AI Agents通過多重證據(jù)交叉比對,精準識別設備身份。
資產(chǎn)層混亂,削弱整個防御體系
Claroty研究團隊Team82發(fā)布了一份報告《Resolving the CPS Identity Crisis》,量化了當前CPS資產(chǎn)識別的混亂現(xiàn)狀。
-
88%的CPS資產(chǎn)無法傳輸精確的產(chǎn)品代碼。
-
76%的資產(chǎn)名稱不一致(同一個設備不同協(xié)議報不同名)。
-
41%不廣播操作系統(tǒng)版本。
-
33%不廣播操作系統(tǒng)名稱。
-
四分之三的型號在不同協(xié)議或集成下有多個命名變體。
-
Claroty應用其全新的、由AI驅動的數(shù)據(jù)核對流程后,某知名OEM廠商的數(shù)據(jù)映射準確率從4%躍升至83%。
這些數(shù)字不僅反映了身份識別混亂,還反映了系統(tǒng)性暴露風險。當資產(chǎn)層本身就是一團霧,上面所有的防御都站不穩(wěn):風險報告、CVE匹配、補丁驗證、補償控制、合規(guī)、事件響應......很多企業(yè)的“最后一公里修復”以無奈的聳肩告終:連設備到底是哪一款都搞不清楚,拿什么去打補丁?
Claroty CPS Library 優(yōu)化漏洞管理
與IT資產(chǎn)不同,CPS設備是模塊化生態(tài)系統(tǒng)。同一個型號可能代表不同CPU、網(wǎng)卡或接口模塊的硬件,每種配置都引入了不同的固件分支和各自獨特的安全漏洞。
某個CVE漏洞可能僅在控制器與特定通信模塊配對時才會生效。另一個漏洞可能僅適用于預裝特定操作系統(tǒng)版本的設備。但由于廠商很少在公告中包含細粒度信息,運維人員只能靠猜測。
CPS Library把那些數(shù)字世界里根本找不到的細節(jié)也拉了進來:
-
默認配置
-
固件版本
-
廠商批準的補丁級別
-
可替換組件之間的關系
然后,它會將這些信息與從網(wǎng)絡流量中捕獲的真實標識符進行匹配,即使設備省略了最關鍵的字段也能正常工作。實測效果:
-
漏洞歸因準確率提升25%
-
56%的設備獲得了全新或更新的修復指導
-
誤報率下降27%
-
漏報率下降29%
多專業(yè) Agent 協(xié)同,CPS Library 帶來安全新突破
Claroty CPS Library的架構不是單一模型,而是由多個專業(yè)Agent組成:
-
自然語言處理引擎(NLP engines):解析混亂的、源自協(xié)議的命名字符串。
-
統(tǒng)計推理器(Statistical reasoners):為相關性分配置信度。
-
領域引導邏輯模塊(Domain-guided logic modules):理解硬件迭代、更換周期、固件兼容性。
-
集成投票系統(tǒng)(Ensemble voting system):抑制噪聲及協(xié)調矛盾數(shù)據(jù)。
-
人機交互驗證循環(huán)(Human-in-the-loop verification loop):持續(xù)豐富證據(jù)圖譜,基于新的真實數(shù)據(jù)重新訓練模型。
傳統(tǒng)方法依賴于單一且不完善的信號,比如Modbus標識符或廠商PDF文件,而CPS Library是幾百個信號一起上。
Claroty把CPS Library定位為基礎架構,非附加功能。CPS Library是一個經(jīng)過廠商驗證的規(guī)范化參考系統(tǒng),其他安全層都可以接入。
Claroty CPS Library 從根源上處理安全問題
當前針對CPS的漏洞管理流程實際上是失效的,根本原因在于命名層從未穩(wěn)定過。
底層的不一致直接導致上層的混亂:CVE官方發(fā)布的內容殘缺不全,廠商在不同產(chǎn)品線之間自相矛盾,運維人員則需要花費數(shù)天時間去解讀跨越幾十種變體配置的型號系列。
直到現(xiàn)在,防御者一直在用類似“一堆便簽紙”的設備身份來保護世界上最敏感的基礎設施。而攻擊者多年來正是從這種模糊性中獲益。
標準化CPS身份不僅僅是一個可視化問題,它是應對所有網(wǎng)絡物理風險的前提條件。
工業(yè)、醫(yī)療、能源等領域需要對每個可能暴露給攻擊者的聯(lián)網(wǎng)設備進行精確、確定性的追溯。
Claroty 總代 Cyberworld科明大同,Claroty CPS Library努力把所有噪聲變成確定性的映射:一個產(chǎn)品身份、一組漏洞、一條修復路徑。
|
