一種用于評估和管理網絡的網絡安全的計算機實現的方法，包含利用處理器檢索拓撲數據和網絡流量數據，其中拓撲數據指示網絡的拓撲。該方法可還包含：經由處理器，從多個網絡數據收集器檢索網絡流量數據；經由處理器，基于拓撲數據和網絡流量數據生成攻擊樹；利用攻擊樹和拓撲數據，更新客戶模型數據庫；以及基于攻擊樹和拓撲數據，輸出安全評估。

背景技術

本公開涉及工業安全，并且更具體地涉及工業邊界安全的被動評估。

工業控制系統環境中的工業安全服務提供商在評估所采用的網絡安全配置的質量時面臨著多重挑戰。尤其是，評估網絡中采用的訪問控制列表(ACL)的質量會帶來很多挑戰，如果處理不當，其可能無法提供簡化的安全評估。可能會因為所采用的ACL的質量可在針對不同網絡區域的不同網絡邊界上被不同地觀察到而出現挑戰。自動收集這些信息會帶來很多挑戰。例如，工業控制系統網絡環境通常在高度隔離的環境中包括多層交換機、路由器，因此需要與每個層進行物理連接以進行網絡流量和配置檢索和記錄。探測技術可能不太理想，因為工業環境可能包括對主動網絡探測高度敏感的裝置。在某些情況下，在工業環境中運行的許多已安裝的傳統可編程邏輯控制器(PLC)可能非常易受由于使用諸如網絡映射器(例如NMAP)的網絡發現工具而導致的故障狀態錯誤的影響。用于工業環境中的網絡安全評估的現有方法和裝置可能不提供有效的規則使用驗證和/或與先進的攻擊矢量不相關。在許多情況下，資產所有者可能會簡單地選擇不將這些活動作為網絡審計檢查過程的一部分執行。相反，他們可能僅僅專注于尋找高度差異的開放網絡規則(例如，“允許任意”、“允許IP”、對通信端口沒有限制等)。然而，分析可能高度依賴網絡安全從業者的判斷和經驗。

手動評估可以作為傳統策略的一部分來實施。安全分析師手動地檢查和將應用的ACL與防火墻和多層分組處理裝置進行關聯在許多情況下是通常采用的做法，在這些情況下只提供網絡裝置的離線配置。這種方法可能僅限于安全分析師讀取和處理大量網絡規則(大多數情況下)的能力。隨著人工參與和分析的增加，手動地驗證ACL相對于所記錄的流量的選項可能變得不足并且容易出錯。

其它傳統的網絡安全評估的策略可能包含使用自動化現有評估工具。一般來說，現有自動化工具可以分為以下兩類：第一類自動化解決方案可能包含防火墻/交換機/路由器配置審計和合規工具，這些工具可能專注于收集和處理針對安全最佳實踐的內部知識庫(KB)所應用的配置。第二類可能包含防火墻策略優化工具，這些工具可用作連接工具，該工具利用路由表、點擊計數和日志等可用信息來提供歷史流量分析和規則集優化。應用的網絡規則相對于實際流量的評估只有在審計服務器可以訪問裝置的情況下才有可能。無論哪種情況，傳統現有防火墻配置審計工具通常都需要連接到目標網絡裝置。例如，對于工業控制環境的評估，通過防火墻、工業防火墻、多層網絡交換機、路由器等的連接可能是有問題的，以便驗證所觀察的流量對應于配置的ACL條目，并且不存在“未使用的或者過寬的網絡規則“。在其它情況下，網絡基礎架構和安全配置可能由第三方IT管理服務提供商(MSP)常規控制，合同義務是限制對其員工的管理訪問。這可能會導致難以通過各種防火墻、多層網絡交換機、路由器等進行連接。

傳統的網絡安全評估系統也可能缺乏一種機制來模擬考慮到當前采用安全配置的網絡可利用的最近披露的脆弱性的影響。換句話說，盡管關于脆弱性和(離線)防火墻配置的信息都可用，但可能沒有任何自動化機制將這些信息關聯起來，并警告資產所有者有關新的攻擊矢量，這些攻擊矢量可能會針對現有的有效ACL執行攻擊。除了上述問題之外，采用“周期性防火墻配置審計”方法通常會暴露受控工業網絡環境的受攻擊面。隨著暴露的增加，攻擊矢量和惡意滲透的風險也會增加。

發明內容

根據一些實施例，描述了一種用于評估和管理網絡的網絡安全的計算機實現的方法。該方法可以包含利用處理器檢索拓撲數據和網絡流量數據，其中拓撲數據指示網絡的拓撲。該方法可還包含：經由處理器，從多個網絡數據收集器中檢索網絡流量數據；經由處理器，基于拓撲數據和網絡流量數據生成攻擊樹；利用攻擊樹和拓撲數據，更新客戶模型數據庫；并且基于攻擊樹和拓撲數據輸出安全評估。