itle="1.jpg" alt="1.jpg" width="700" height="466"/>

朱凱  Cyberbit中國(guó)區(qū)技術(shù)總經(jīng)理

　　先簡(jiǎn)單的回顧一下工業(yè)的發(fā)展歷程，我們可以看到從工業(yè)1.0到工業(yè)2.0這兩個(gè)階段其實(shí)整個(gè)工業(yè)是通過(guò)能源和機(jī)械發(fā)展來(lái)促進(jìn)工業(yè)化發(fā)展，從3.0開(kāi)始電子和IT的技術(shù)開(kāi)始介入了工業(yè)發(fā)展的歷程，到今天從網(wǎng)絡(luò)也好或者從IT、OT的融合也好，也是逐漸的有了更深入的發(fā)展。所以我們可以看到從3.0開(kāi)始計(jì)算機(jī)技術(shù)和電子技術(shù)到網(wǎng)絡(luò)技術(shù)因此深入到切入了工業(yè)發(fā)展的歷程，為工業(yè)發(fā)展提供技術(shù)支撐。我們今天講的是工業(yè)互聯(lián)網(wǎng)安全，所以我們會(huì)看到隨著電子技術(shù)和網(wǎng)絡(luò)技術(shù)的支撐發(fā)展，其實(shí)在全球開(kāi)始出現(xiàn)了各種各樣的OT系統(tǒng)被攻擊的實(shí)際案例，我們可以看到從2013年—2018年，從這幾個(gè)案例當(dāng)中觀察一下，2013年—2017年攻擊技術(shù)背景可能更多的是針對(duì)于專門的公共系統(tǒng)進(jìn)行攻擊，這種攻擊更多的會(huì)具有一些國(guó)家政府的背景，為什么蟲(chóng)今天我們安全的角度來(lái)看，我個(gè)人認(rèn)為工業(yè)互聯(lián)網(wǎng)安全重要程度對(duì)國(guó)家的重要程度或者行業(yè)社會(huì)是要遠(yuǎn)遠(yuǎn)超越IT系統(tǒng)安全的，實(shí)際上已經(jīng)遠(yuǎn)遠(yuǎn)落后IT系統(tǒng)的安全。

　　我們看一些案例，英國(guó)機(jī)場(chǎng)被攻擊他們不愿意支付贖金，他們實(shí)際的運(yùn)作就是靠手寫的方式，這個(gè)帶來(lái)的危害程度還是可以去彌補(bǔ)，但是一旦真的對(duì)運(yùn)營(yíng)系統(tǒng)照成很大的危害可能就會(huì)危機(jī)到生命，那么所以為什么我提到OT系統(tǒng)要比IT系統(tǒng)安全更加重要呢？因?yàn)槲覀冎澜裉煸谧母魑欢伎催^(guò)聽(tīng)過(guò)很多的這樣新聞或者故事，誰(shuí)誰(shuí)被攻擊了，誰(shuí)誰(shuí)的數(shù)據(jù)被竊取。其實(shí)對(duì)于在座的每一個(gè)人來(lái)說(shuō)不是親身的在這樣一個(gè)事情當(dāng)中沒(méi)有切身體會(huì)，對(duì)于今天講的工業(yè)互聯(lián)網(wǎng)安全是不一樣的，因?yàn)楣I(yè)安全的危害或者損害一旦發(fā)生它就會(huì)非常真切的產(chǎn)生一些物理?yè)p害，我們可以想象一下假如說(shuō)今天沒(méi)有油沒(méi)有電或者說(shuō)沒(méi)有氣，甚至家里的水也停了，可以想想對(duì)生活所造成的危害程度，是不是遠(yuǎn)遠(yuǎn)超過(guò)IT系統(tǒng)事故帶來(lái)的重要性。

　　現(xiàn)在看到的這個(gè)是發(fā)生在2005年并不是網(wǎng)絡(luò)安全攻擊事件這是錯(cuò)誤的操作，之所以拿這樣一個(gè)案例出來(lái)做參考，圖片還是有一定的沖擊力，可以讓各位切身的想象一下工業(yè)系統(tǒng)一旦發(fā)生安全事件，它可以造成這樣一些物理?yè)p害，物理?yè)p害在今天來(lái)說(shuō)可以由網(wǎng)絡(luò)攻擊去實(shí)現(xiàn)的。這個(gè)是國(guó)外的一家研究所，對(duì)于像石油燃?xì)夤咀隽艘粋€(gè)調(diào)查，這個(gè)調(diào)查認(rèn)為這樣一些客戶給出了他們的一些反饋可以看看這個(gè)當(dāng)中還是忽略了一點(diǎn)就是人的要素，今天的主持人來(lái)自于網(wǎng)安培訓(xùn)基地的，作為一個(gè)培訓(xùn)基地肯定是培訓(xùn)人的，今天的技術(shù)只是手段，但是最后通過(guò)技術(shù)去做安全人才是最重要的要素，這個(gè)是咱們毛主席說(shuō)過(guò)的一個(gè)話，武器始終是要人來(lái)用的。因?yàn)槲议L(zhǎng)期在一線會(huì)去接觸客戶，所以我們也確實(shí)看到從OT安全確實(shí)落后IT安全很多年，我們看多了很多的問(wèn)題，恐懼原于未知我們?cè)诳梢?jiàn)上會(huì)有一些問(wèn)題，前面也講到了上云，那么上云就意味著IT和OT的互聯(lián)，這個(gè)不需要討論。第三個(gè)就是IT安全系統(tǒng)沒(méi)有辦法去兼容OT系統(tǒng)，IT協(xié)議的特殊性以及架構(gòu)的特殊性和IT系統(tǒng)完全是不一樣的，所以以往的技術(shù)手段沒(méi)有辦法在IT系統(tǒng)里面應(yīng)用。

　　最后一個(gè)也是和云有關(guān)，到底是誰(shuí)負(fù)責(zé)OT的安全？現(xiàn)在用戶很難把安全的技術(shù)手段推下去，因?yàn)镮T和OT是兩波人不同的部門，大家都會(huì)說(shuō)該你負(fù)責(zé)還是該我負(fù)責(zé)，或者想負(fù)責(zé)的人又不懂，不想負(fù)責(zé)的人又懂。實(shí)際上從我們這個(gè)角度來(lái)看怎么樣解決OT和IT的挑戰(zhàn)？

　　第一個(gè)就是要有領(lǐng)導(dǎo)的支持這個(gè)是非常重要的，從我們國(guó)家來(lái)說(shuō)在去年開(kāi)始實(shí)施的《網(wǎng)絡(luò)安全法》還有等保2.0都是從領(lǐng)導(dǎo)層有了制度支撐，才能夠讓我們真真切切的有一個(gè)高層的指導(dǎo)重視OT的安全。

　　第二個(gè)也挺匹配柯主任所提到的，我們不能保護(hù)我們不知道的東西。

　　第三個(gè)利用第三方的合規(guī)評(píng)估，最近在國(guó)內(nèi)比較有名的安全媒體上有這樣一個(gè)文章，覺(jué)得現(xiàn)在合規(guī)是安全的障礙，合規(guī)是阻礙了安全的實(shí)施或者是安全的發(fā)展，但是從我個(gè)人的角度來(lái)說(shuō)我認(rèn)為不是這樣的，因?yàn)楹弦?guī)從我們的角度來(lái)看是一個(gè)方向，也就是說(shuō)是一個(gè)指南針，技術(shù)只是一個(gè)手段怎么樣讓我們的安全能夠順著指南針走向一個(gè)正確的方向。第四個(gè)對(duì)于企業(yè)也好，或者對(duì)于組織也好，我們要把IT和OT的風(fēng)險(xiǎn)提高到一個(gè)高度，把它作為風(fēng)控來(lái)進(jìn)行控制管理。作為Cyberbit我們畢竟是廠商，我們作為廠商能夠做什么事情幫助用戶？我們從這樣幾個(gè)層面幫助用戶搭建從IT到OT的防御盾牌。

　　第一、我們會(huì)去幫助用戶做可見(jiàn)性。

　　第二、無(wú)代理（期望）技術(shù)，這也是專門針對(duì)OT的領(lǐng)域，由于OT的特殊性很多設(shè)備不可能像IT設(shè)備去安裝一些代理的軟件插件更多的要靠其他的手段來(lái)做輔助，還是因?yàn)镺T安全人員少于IT安全人員，不能讓技術(shù)手段過(guò)于復(fù)雜。

　　第三、專用傳感器，這也是源自于OT和IT的區(qū)別。

　　第四、一個(gè)系統(tǒng)去管理所有的安全事件，這個(gè)可能和柯主任提到的態(tài)勢(shì)感知有一點(diǎn)點(diǎn)像，我們希望能從更高的高度幫助用戶看到所有的事件去做這樣一個(gè)管理。

　　接下來(lái)我會(huì)從Cyberbit技術(shù)層面來(lái)和各位分享一下怎么樣去幫助用戶建立防御盾牌，Cyberbit實(shí)際上在之前是阿爾比特系統(tǒng)公司的網(wǎng)絡(luò)安全部門孵化出來(lái)的，我們Cyberbit成立于2015年但是實(shí)際上我們?cè)?002年作為部門已經(jīng)存在的，實(shí)際上我們從2010年開(kāi)始一直在聚焦ICS系統(tǒng)安全，咱們?nèi)绻P(guān)注OT安全的都知道在2010年發(fā)生一個(gè)事情針對(duì)伊朗核設(shè)施攻擊，可以說(shuō)這個(gè)攻擊算是打開(kāi)了OT安全的潘多拉魔盒，最早的OT攻擊可以追訴到1982年當(dāng)時(shí)美國(guó)對(duì)蘇聯(lián)的天然氣管道攻擊，1982年在座的各位和我一樣可能都是毛頭小孩，在2010年在座的各位都已經(jīng)上互聯(lián)網(wǎng)，所以傳播的速度以及廣度是以前所不能比擬的，所以2010年開(kāi)始整個(gè)OT或者叫關(guān)鍵工業(yè)基礎(chǔ)設(shè)施的安全開(kāi)始得到了重視或者說(shuō)受到了威脅開(kāi)始增大。所以在2010年以來(lái)我們Cyberbit在國(guó)外為這樣一些不同的垂直領(lǐng)域用戶提供了技術(shù)手段去幫助用戶進(jìn)行一定的安全防護(hù)，Cyberbit一共有四大產(chǎn)品線，其實(shí)專注于OT領(lǐng)域的是最下方的這樣一個(gè)產(chǎn)品，它主要是針對(duì)OT網(wǎng)絡(luò)里面去基于像DPI技術(shù)為用戶做到可視化。另外也會(huì)有EDR產(chǎn)品從IT的層面幫助用戶提高檢測(cè)能力。第三個(gè)SOR安全自動(dòng)化取證的平臺(tái)，通過(guò)編排取證讓用戶能夠?qū)φ麄€(gè)區(qū)域安全事件有一個(gè)集中的管控能力和響應(yīng)能力以及調(diào)查能力。最后在最右方為了幫助用戶解決人的問(wèn)題，技術(shù)只是手段，我現(xiàn)在有器械但是工匠沒(méi)有，我需要靠這樣一個(gè)平臺(tái)去培養(yǎng)人。

　　所以整個(gè)四大產(chǎn)品線，如果我們放到OT領(lǐng)域來(lái)說(shuō)是有機(jī)組合，但是這四大產(chǎn)品也可以拆分出來(lái)獨(dú)立運(yùn)動(dòng)。所以從演講主題來(lái)說(shuō)幫助用戶建設(shè)從Z到OT的盾牌分五步來(lái)走，第一步會(huì)讓用戶增加IT安全性，今天來(lái)說(shuō)IT安全性已經(jīng)不算是很大的問(wèn)題，因?yàn)槊恳粋€(gè)用戶在IT的投入上面都是非常的大，而且不管是從技術(shù)手段也好從人員也好都有很好的儲(chǔ)備。但是第二個(gè)對(duì)于今天這種IT和OT融合可能會(huì)有完成，前面的幻燈片可以看到一直到工業(yè)3.0所有的工業(yè)技術(shù)手段還是獨(dú)立的網(wǎng)絡(luò)，今天工業(yè)4.0融合已經(jīng)是現(xiàn)實(shí)不存在討論的，現(xiàn)實(shí)就是我們?cè)谝郧暗腎T對(duì)于工業(yè)用戶來(lái)說(shuō)，在原來(lái)的IT網(wǎng)之外多了一張網(wǎng)是OT，又由于IT和OT的不同需要把兩個(gè)網(wǎng)做一個(gè)融合，這對(duì)于工業(yè)用戶來(lái)說(shuō)涉及到架構(gòu)的規(guī)劃。通過(guò)我們和前端用戶的交流，確實(shí)咱們國(guó)家的工信部也在找一些各個(gè)行業(yè)比較突出的單位再去做一些規(guī)劃和試點(diǎn)，這是很好的開(kāi)始。第三個(gè)就是獲得一個(gè)完整的OT可見(jiàn)性，這里面可以簡(jiǎn)單的分享一下個(gè)人的看法，在我們和前端用戶做交流溝通的過(guò)程當(dāng)中會(huì)發(fā)現(xiàn)一個(gè)問(wèn)題，IT和OT到底誰(shuí)來(lái)負(fù)責(zé)安全？IT的人員會(huì)用IT的思維去思考OT的安全。這個(gè)時(shí)候就會(huì)有一個(gè)問(wèn)題，IT的安全人員因?yàn)殚L(zhǎng)期的時(shí)間積累已經(jīng)有很豐富的經(jīng)驗(yàn)，這個(gè)時(shí)候他的思維可能會(huì)是比較高級(jí)，但是OT的安全就是一片空白，這個(gè)時(shí)候用IT思維看OT安全的安全和可行性的時(shí)候，可能IT人員覺(jué)得你這個(gè)技術(shù)太落伍，或者覺(jué)得你的規(guī)劃起點(diǎn)是不是有點(diǎn)低，但是他沒(méi)有意識(shí)到OT因?yàn)殚L(zhǎng)期的滯后本身的起點(diǎn)就是比較低的，而且OT是有特殊性的，比如說(shuō)像IT里面所有的協(xié)議都能搞定，但是在OT里面充斥著幾十種協(xié)議。所以在第三步里面我們會(huì)通過(guò)技術(shù)手段去幫助用戶獲得OT的可見(jiàn)性，恐懼源自于未知我讓你變成已知。

　　第四個(gè)我們會(huì)為OT用戶創(chuàng)造一個(gè)行為基線，社會(huì)當(dāng)中有各種法規(guī)條例，基線就相當(dāng)于網(wǎng)絡(luò)運(yùn)行當(dāng)中的法律法規(guī)，你一旦有行為超出這個(gè)之外就有告警產(chǎn)生，能夠讓用戶及時(shí)的知道有哪些非法的行為在他的OT里面。包括像對(duì)已知的安全漏洞還有未知的，以及還有不同的OT設(shè)備，比如說(shuō)從人機(jī)界面到IGO之間異常的行為，都會(huì)為用戶從基線角度去做告警分析。

　　第五個(gè)通過(guò)我們這樣一個(gè)SOAR這樣一個(gè)平臺(tái)，它不只是針對(duì)OT，這個(gè)平臺(tái)上OT只是其中的一小部分，因?yàn)榻裉祀S著IT和OT的融合，OT已經(jīng)不獨(dú)善其身的網(wǎng)絡(luò)它和OT有一個(gè)很深度的結(jié)合，這種情況之下我們需要有中央的控制平臺(tái)來(lái)從全網(wǎng)去收集相應(yīng)的事件告警來(lái)做一個(gè)整體的調(diào)查，我們發(fā)現(xiàn)一個(gè)OT事件一定是從別的地方過(guò)來(lái)的，這樣一個(gè)平臺(tái)可以幫助我們從整體掌握數(shù)據(jù)，所以我們可以去分析這樣一個(gè)安全事件的源頭以及發(fā)生的過(guò)程，最后由用戶或者幫助用戶去完成這樣一個(gè)畫像，把整個(gè)事情的來(lái)龍去脈弄清楚。

　　回到五個(gè)步驟當(dāng)中，其中和工業(yè)互聯(lián)網(wǎng)最密切的一個(gè)技術(shù)手段就是SCADAShield，這個(gè)需要非常深的在OT領(lǐng)域做一個(gè)部署，通過(guò)探針可以在生產(chǎn)線拿到必要的數(shù)據(jù)，通常不管把傳感器也好還是其他的設(shè)備也好就像人的神經(jīng)原或者像手指，指揮所有的做出反應(yīng)的是大腦，大腦是探測(cè)感知的平臺(tái)。在這里主要是通過(guò)對(duì)OT進(jìn)行被動(dòng)檢測(cè)，以及工業(yè)協(xié)議DPI的分析來(lái)幫助用戶獲得充分的可見(jiàn)性去檢查威脅也好，或者是操作的風(fēng)險(xiǎn)也好，那么來(lái)去幫助用戶做可見(jiàn)性，我們今天大街上隨處可見(jiàn)攝像頭看不到警察，但是有攝像頭盯著也不敢輕舉妄動(dòng)就是這個(gè)意思。目前在工控協(xié)議領(lǐng)域可以對(duì)95%的協(xié)議提供支撐，像電力、石油、燃?xì)獬Ｒ?jiàn)的協(xié)議。因?yàn)楣I(yè)協(xié)議的特殊性私有性可被用戶自訂性的特殊性，我們可能需要針對(duì)用戶的環(huán)境做一個(gè)定制，但是通常對(duì)于新的用戶需求，幾周可以幫助用戶把這個(gè)做出來(lái)。去年我們?cè)跉W洲參加了ENCS評(píng)估也有比較好的得分，我們?cè)诖怪鳖I(lǐng)域已經(jīng)部署了垂直案例幫助用戶。

　　同樣因?yàn)楣I(yè)領(lǐng)域的特殊性或者因?yàn)楹弦?guī)性的要求，不管是國(guó)內(nèi)國(guó)外，我們?cè)谌ツ暌餐瞥隽艘苿?dòng)工具箱去幫助用戶在特殊的廠站做實(shí)時(shí)檢測(cè)部署，整個(gè)部署也非常的簡(jiǎn)單，它只需要連上去做一個(gè)發(fā)現(xiàn)，可能在這里兩個(gè)小時(shí)的時(shí)候就可以拿到必要的數(shù)據(jù)做離線分析。所以我們之后再回過(guò)頭來(lái)看看，整個(gè)Cyberbit提供的四大產(chǎn)品，其實(shí)在OT網(wǎng)絡(luò)的領(lǐng)域當(dāng)中我們構(gòu)成了很有機(jī)的閉環(huán)去為用戶實(shí)現(xiàn)整體安全。